搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      華為技術(shù)和ipsec安全策略模擬實(shí)驗(yàn)配置步驟

      網(wǎng)絡(luò)技術(shù)干貨圈 ? 來源:網(wǎng)絡(luò)技術(shù)干貨圈 ? 2023-06-26 16:29 ? 次閱讀

      2b1ea508-13fb-11ee-962d-dac502259ad0.png

      網(wǎng)段地址:
      R1
      G0/0/0 192.168.1.100 24
      G0/0/1 200.1.13.1 24

      R3
      G0/0/0 200.1.13.2 24
      G0/0/1 200.1.23.2 24

      R2
      G0/0/0 192.168.2.100 24
      G0/0/1 200.1.23.1 24

      PC1:192.168.1.1 24
      PC2:192.168.2.1 24

      第一步

      配置Security ACL,用于匹配站點(diǎn)間通信網(wǎng)絡(luò)之間的感興趣流。
      配置:

      [R1-acl-adv-3000]rule2permitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255

      IPSec使用高級(jí)ACL定義需要保護(hù)的數(shù)據(jù)流。IPSec根據(jù)ACL的規(guī)則來確定哪些報(bào)文需要安全保護(hù),哪些報(bào)文不需要安全保護(hù)。
      在隧道發(fā)起端,匹配(permit)高級(jí)ACL的數(shù)據(jù)流將被保護(hù),即經(jīng)過IPSec加密處理后再發(fā)送;不能匹配高級(jí)ACL的數(shù)據(jù)流則直接轉(zhuǎn)發(fā)。
      在隧道接收端,對(duì)數(shù)據(jù)流進(jìn)行解密,并檢查解密后的數(shù)據(jù)流是否匹配了ACL規(guī)則,丟棄不匹配ACL規(guī)則的報(bào)文。

      ACL配置原則

      1.若不同的數(shù)據(jù)流需要采用不同的安全策略來保護(hù),則需要為之創(chuàng)建不同的ACL。

      2.若不同的數(shù)據(jù)流可以采用相同的安全策略來保護(hù),則可以在一條ACL中配置多條rule來保護(hù)不同的數(shù)據(jù)流。但是ACL中序列號(hào)大的rule不能完全包含序列號(hào)小的rule 的內(nèi)容。

      3.IPSec兩端ACL規(guī)則定義的協(xié)議類型要一致,如:一端使用IP協(xié)議,另一端也必須使用IP協(xié)議。

      4.同一個(gè)安全策略組中配置的ACL不能包含相同的rule規(guī)則。采用IKEv2進(jìn)行協(xié)商時(shí),同一個(gè)安全策略組中所有安全策略的引用的ACL的rule之間不能存在交集。

      5.建議IPSec隧道兩端配置的ACL規(guī)則互為鏡像,即一端ACL規(guī)則的源地址和目的地址分別為另一端ACL規(guī)則的目的地址和源地址。

      第二步

      配置IKE安全提議,決定處理IKE流量的安全機(jī)制(可選:可以采用默認(rèn)
      IKE安全提議)

      IKE對(duì)等體通過IKE安全提議來協(xié)商建立IKE SA所需要的
      加密算法、
      認(rèn)證方法、
      認(rèn)證算法、
      Diffie-Hellman組標(biāo)識(shí)
      安全聯(lián)盟生存周期

      [R1]ikeproposal10(創(chuàng)建IKE安全提議)

      [R1-ike-proposal-10]authentication-algorithm?(配置認(rèn)證算法)
aes-xcbc-mac-96Selectaes-xcbc-mac-96asthehashalgorithm
md5SelectMD5asthehashalgorithm
sha1SelectSHAasthehashalgorithm
sm3Selectsm3asthehashalgorithm
[R1-ike-proposal-10]authentication-algorithmmd5

      [R1-ike-proposal-10]encryption-algorithm?(配置加密算法)
3des-cbc168bits3DES-CBC
aes-cbc-128UseAES-128
aes-cbc-192UseAES-192
aes-cbc-256UseAES-256
des-cbc56bitsDES-CBC
[R1-ike-proposal-10]encryption-algorithmaes-cbc-128

      [R1-ike-proposal-10]authentication-method?(配置認(rèn)證方法)
digital-envelopeSelectdigitalenvelopekeyastheauthenticationmethod
pre-shareSelectpre-sharedkeyastheauthenticationmethod
rsa-signatureSelectrsa-signaturekeyastheauthenticationmethod
[R1-ike-proposal-10]authentication-methodpre-share

      [R1-ike-proposal-10]dh?(配置Diffie-Hellman組標(biāo)識(shí))
group1768bitsDiffie-Hellmangroup
group142048bitsDiffie-Hellmangroup
group21024bitsDiffie-Hellmangroup
group51536bitsDiffie-Hellmangroup
[R1-ike-proposal-10]dhgroup2

      可選:執(zhí)行命令integrity-algorithm { aes-xcbc-96 | hmac-md5-96 | hmac-sha1-96 |
      hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512 } 配置完整性算法。

      [R1-ike-proposal-10]saduration?(配置IKE密鑰有效期)
INTEGER<60-604800>Valueoftime(inseconds),defaultis86400
[R1-ike-proposal-10]saduration10000

      配置完成:
[R1-ike-proposal-10]displaythis
[V200R003C00]
#
ikeproposal10
encryption-algorithmaes-cbc-128
dhgroup2
authentication-algorithmmd5
saduration10000
#
return

      display ike proposal
      //查看IKE默認(rèn)Proposal,如果沒有特殊安全需求建議保
      持默認(rèn)的IKE Proposal

      第三步

      配置IKE對(duì)等體,
      調(diào)用第二步配置的IKE安全提議,
      選擇IKE版本(version1/version 2),
      配置IKE身份認(rèn)證參數(shù),
      決定IKE version 1第一階段的交換模式,
      可以選擇主模式或野蠻模式。

      [R1]ikepeerxwl?(配置IKEpeer和IKE版本號(hào))
v1OnlyV1SA'scanbecreated
v2OnlyV2SA'scanbecreated
PleasepressENTERtoexecutecommand
[R1]ikepeerxwlv1

      IKEv1要求兩端配置的ACL規(guī)則互為鏡像(IKE方式的IPSec安全策略)或發(fā)起方配置的ACL
      規(guī)則為響應(yīng)方的子集(模板方式的IPSec安全策略)。
      IKEv2取雙方ACL規(guī)則交集作為協(xié)商結(jié)果。

      修改ACL時(shí)注意:
      ACL參數(shù)的修改是實(shí)時(shí)生效的,修改后隧道立即被拆除,在下次進(jìn)行隧道協(xié)商時(shí)使用新
      的參數(shù)。

      [R1-ike-peer-xwl]remote-address?
IP_ADDRIPaddress
STRING<1-254>Hostname
[R1-ike-peer-xwl]remote-address200.1.23.1(配置對(duì)端IP地址或地址段。)

      [R1-ike-peer-xwl]pre-shared-keycipherhuawei(配置身份認(rèn)證參數(shù))

      [R1-ike-peer-xwl]ike-proposal10(引用已配置的IKE安全提議。)

      [R1-ike-peer-xwl]exchange-mode?(配置模式為主模式或者野蠻模式)
aggressiveAggressivemode
mainMainmode
[R1-ike-peer-xwl]exchange-modemain

      [R1-ike-peer-xwl]peer-id-type?(配置peer建立時(shí)ID的類型)
ipSelectIPaddressasthepeerID
nameSelectnameasthepeerID

      配置完成
[R1-ike-peer-xwl]displaythis
[V200R003C00]
#
ikepeerxwlv1
pre-shared-keycipher%$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal10
remote-address200.1.23.1
#
return

      第四步

      配置IPSec安全提議,配置處理實(shí)際感興趣的安全機(jī)制,
      包括封裝模式,ESP的加密與驗(yàn)證算法,AH的驗(yàn)證算法。

      如果只創(chuàng)建ipsec proposal ,則繼承默認(rèn)策略

      [R1]ipsecproposalxwl(創(chuàng)建安全提議)

      [R1-ipsec-proposal-xwl]encapsulation-mode?(配置報(bào)文封裝模式)
transportOnlythepayloadofIPpacketisprotected(transportmode)
tunnelTheentireIPpacketisprotected(tunnelmode)
[R1-ipsec-proposal-xwl]encapsulation-modetunnel

      [R1-ipsec-proposal-xwl]espauthentication-algorithm?(配置ESP方式采用的認(rèn)證算法)
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm
[R1-ipsec-proposal-xwl]espauthentication-algorithmmd5

      [R1-ipsec-proposal-xwl]espencryption-algorithm?(配置ESP協(xié)議使用的加密算法)
3desUse3DES
aes-128UseAES-128
aes-192UseAES-192
aes-256UseAES-256
desUseDES
sm1UseSM1
PleasepressENTERtoexecutecommand
[R1-ipsec-proposal-xwl]espencryption-algorithmaes-128

      [R1-ipsec-proposal-xwl]transform?(配置傳送數(shù)據(jù)時(shí)采用的安全協(xié)議)
ahAHprotocoldefinedinRFC2402
ah-espESPprotocolfirst,thenAHprotocol
espESPprotocoldefinedinRFC2406
[R1-ipsec-proposal-xwl]transformesp

      如果配置為ah
[R1-ipsec-proposal-xwl]ahauthentication-algorithm?
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm

      配置完成
[R1-ipsec-proposal-xwl]displaythis
[V200R003C00]
#
ipsecproposalxwl
espencryption-algorithmaes-128
#
return

      第五步

      配置IPSec安全策略,
      調(diào)用第一步配置的Security ACL;
      第二步配置的IKE Peer;
      第三步配置的IPSec安全提議。

      模板方式的IPSec安全策略配置原則:
      1.IPSec隧道只能有一端配置模板方式的IPSec安全策略,另一端必須配置IKE方式的
      IPSec安全策略。
      2.一個(gè)IPSec策略組中只能有一條安全策略引用安全策略模板,該策略的序號(hào)推薦
      其它策略的序號(hào)大,否則可能導(dǎo)致其它策略不生效。

      3.IPSec安全策略模板中ACL、IPSec安全提議和IKE對(duì)等體為必選配置,而其它參數(shù)為
      可選配置。

      4.在IKE協(xié)商時(shí),要求安全策略模板中定義的參數(shù)必須與對(duì)端匹配;安全策略模板中
      沒有定義的參數(shù)由發(fā)起方來決定,響應(yīng)方接受發(fā)起方的建議。

      5.一個(gè)安全策略模板可以引用多個(gè)IPSec安全提議,在響應(yīng)不同對(duì)端發(fā)起的連接時(shí)匹
      配不同的IPSec安全提議。

      6.一個(gè)安全策略模板只能引用一條ACL,引用新的ACL時(shí)必須先取消引用原有ACL。
      如果接口上應(yīng)用了IPSec安全策略,則修改IPSec和IKE的各項(xiàng)參數(shù)時(shí),需注意在修
      改IPSec安全策略時(shí)可以直接新增或刪除IPSec安全策略或者修改IPSec安全策略中
      的各項(xiàng)配置。

      對(duì)于模板方式建立的IPSec安全策略:
      1.修改PFS參數(shù)在下次協(xié)商時(shí)生效,對(duì)已經(jīng)協(xié)商起來的隧道不生效。
      2. 除PFS外的其它參數(shù)只能先在接口上取消應(yīng)用IPSec策略,再進(jìn)行修改。
      pfs 完美向前 第一個(gè)密鑰失效后第二個(gè)密鑰和第一個(gè)密鑰是有關(guān)系的 設(shè)置了pfs后,這密鑰之間沒有關(guān)系

      PFS(Perfect Forward Secrecy,完善的前向安全性)是一種安全特性,指一個(gè)密鑰被破解,并不影響其他密鑰的安全性,因?yàn)檫@些密鑰間沒有派生關(guān)系。此特性是通過在IKE階段2的協(xié)商中增加密鑰交換來實(shí)現(xiàn)的

      [R1]ipsecpolicyxwl?
INTEGER<1-10000>ThesequencenumberofIPSecpolicy
sharedShared
[R1]ipsecpolicyxwl10?
isakmpIndicatesuseIKEtoestablishtheIPSecSA
manualIndicatesusemanualtoestablishtheIPSecSA
PleasepressENTERtoexecutecommand
[R1]ipsecpolicyxwl10isakmp

      [R1-ipsec-policy-isakmp-xwl-10]ike-peerxwl(調(diào)用第二步配置的IKEPeer)

      [R1-ipsec-policy-isakmp-xwl-10]proposalxwl(調(diào)用第二步配置的IKEPeer)

      [R1-ipsec-policy-isakmp-xwl-10]securityacl3000(調(diào)用第一步配置的SecurityACL)

      配置完成:
[R1-ipsec-policy-isakmp-xwl-10]displaythis
[V200R003C00]
#
ipsecpolicyxwl10isakmp
securityacl3000
ike-peerxwl
proposalxwl
#
Return

      第六步

      在接口上調(diào)用IPSec安全策略。
[R1]interfaceGigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ipsecpolicyxwl?
PleasepressENTERtoexecutecommand

      配置完成后,需要流量進(jìn)行激活隧道的建立

      [R1]iproute-static192.168.2.024200.1.13.2
[R2]iproute-static192.168.1.024200.1.23.2

      查看相關(guān)信息

      ipsec第一階段形成ike sa 的通道 使用的是udp 500的流量,源端口,目的端口都是500

      2b306824-13fb-11ee-962d-dac502259ad0.png

      Reset ike sa all 清除建立的SA 通道

      PC1:

      2b533bec-13fb-11ee-962d-dac502259ad0.png

      協(xié)商后的Iipsec proposal 參數(shù)

      2b5e71a6-13fb-11ee-962d-dac502259ad0.png

      協(xié)商后的ike peer 參數(shù)

      2b7884d8-13fb-11ee-962d-dac502259ad0.png

      IKE第二階段

      2b8a48a8-13fb-11ee-962d-dac502259ad0.png

      IKE第一和第二階段

      2ba38c96-13fb-11ee-962d-dac502259ad0.png

      審核編輯:湯梓紅
      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • 華為
        +關(guān)注

        關(guān)注

        216

        文章

        34511

        瀏覽量

        252386
      • IPSec
        +關(guān)注

        關(guān)注

        0

        文章

        59

        瀏覽量

        22832
      • 通信網(wǎng)絡(luò)
        +關(guān)注

        關(guān)注

        21

        文章

        2044

        瀏覽量

        52116
      • ACL
        ACL
        +關(guān)注

        關(guān)注

        0

        文章

        61

        瀏覽量

        11992

      原文標(biāo)題:華為技術(shù)&ipsec安全策略模擬實(shí)驗(yàn)配置步驟

      文章出處:【微信號(hào):網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號(hào):網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

      收藏 人收藏

        評(píng)論

        相關(guān)推薦

        兩臺(tái)IR615和華為USG6335E建立IPsecVPN的過程

        安全策略 第四步:配置NAT策略,使trust區(qū)域的10.61.92.0/24導(dǎo)IR302的兩個(gè)子網(wǎng)地址不做NAT轉(zhuǎn)換 2、 配置兩臺(tái)IR615 第一步:進(jìn)入VPN—&g
        發(fā)表于 07-24 07:20

        InRouter與Juniper SRX如何建立IPSec隧道配置

        的Hostname為 inhandstation1 2.2 防火墻配置IPSec策略 新增Tunnels 接口,將感興趣流(從10.15.124.0/24 到192.168.1.0
        發(fā)表于 07-25 07:32

        ZigBee接入EPA網(wǎng)絡(luò)的安全策略

        ZigBee接入EPA網(wǎng)絡(luò)的安全策略針對(duì)ZigBee技術(shù)的特點(diǎn),結(jié)合EPA控制網(wǎng)絡(luò)的安全規(guī)范與工業(yè)現(xiàn)場(chǎng)實(shí)際應(yīng)用的需要,提出ZigBee接入EPA網(wǎng)絡(luò)的安全策略與基于
        發(fā)表于 03-19 16:47

        華為技術(shù)手冊(cè)

        本帖最后由 eehome 于 2013-1-5 09:50 編輯 華為技術(shù)手冊(cè)
        發(fā)表于 08-19 23:50

        華為技術(shù)有限公司c語(yǔ)言編程規(guī)范

        華為技術(shù)有限公司c語(yǔ)言編程規(guī)范
        發(fā)表于 03-01 11:55

        IPsec的基礎(chǔ)知識(shí)

        。通過定義隧道的特性,定義了敏感數(shù)據(jù)包的安全保護(hù)措施。IPsec提供多種技術(shù)和加密模式。但它的工作可以分為五個(gè)主要步驟。簡(jiǎn)要概述如下:有趣的交通啟動(dòng)需要監(jiān)控的敏感流量被認(rèn)為是有趣的。在
        發(fā)表于 08-09 13:50

        ZigBee接入EPA網(wǎng)絡(luò)的安全策略

        針對(duì)ZigBee技術(shù)的特點(diǎn),結(jié)合EPA控制網(wǎng)絡(luò)的安全規(guī)范與工業(yè)現(xiàn)場(chǎng)實(shí)際應(yīng)用的需要,提出ZigBee接入EPA網(wǎng)絡(luò)的安全策略與基于安全組態(tài)的實(shí)現(xiàn)方法。測(cè)試表明,通過
        發(fā)表于 03-18 22:00 ?21次下載

        基于多維整數(shù)空間的安全策略沖突檢測(cè)與消解

        針對(duì)當(dāng)前大部分安全策略沖突檢測(cè)與消解算法缺少靈活性和擴(kuò)展性等缺點(diǎn),提出一種基于多維整數(shù)空間的安全策略形式化描述方法,在此基礎(chǔ)上設(shè)計(jì)了一種可擴(kuò)展的安全策略沖突檢
        發(fā)表于 03-24 08:49 ?13次下載

        右對(duì)齊算法解決IPsec安全策略沖突問題

        當(dāng)前IPsec策略系統(tǒng)的策略設(shè)置方式很可能引起策略沖突。在分析和比較現(xiàn)有策略生成算法的基礎(chǔ)上,提出了右對(duì)齊
        發(fā)表于 06-26 08:36 ?9次下載

        系統(tǒng)時(shí)間響應(yīng)模擬實(shí)驗(yàn)

        系統(tǒng)時(shí)間響應(yīng)模擬實(shí)驗(yàn)   一、概述   通過機(jī)械、液壓系統(tǒng)的電子模擬,了解系統(tǒng)的模擬研究方法。研究一
        發(fā)表于 10-15 23:55 ?3294次閱讀
        系統(tǒng)時(shí)間響應(yīng)<b class='flag-5'>模擬實(shí)驗(yàn)</b>

        物流中心出貨業(yè)務(wù)模擬實(shí)驗(yàn)

        實(shí)驗(yàn)六  物流中心出貨業(yè)務(wù)模擬實(shí)驗(yàn)一、實(shí)驗(yàn)目的:掌握物流配送中心的貨物發(fā)送業(yè)務(wù)流程,了解物流中心處理貨物的工作流程及特點(diǎn)。二、實(shí)驗(yàn)內(nèi)容:
        發(fā)表于 03-18 18:12 ?1140次閱讀
        物流中心出貨業(yè)務(wù)<b class='flag-5'>模擬實(shí)驗(yàn)</b>

        云計(jì)算環(huán)境的多域安全策略驗(yàn)證管理技術(shù)

        為了有效管理云系統(tǒng)間跨域互操作中安全策略的實(shí)施,提出一種適用于云計(jì)算環(huán)境的多域安全策略驗(yàn)證管理技術(shù)。首先,研究了安全互操作環(huán)境的訪問控制規(guī)則和安全
        發(fā)表于 12-15 13:46 ?0次下載
        云計(jì)算環(huán)境的多域<b class='flag-5'>安全策略</b>驗(yàn)證管理<b class='flag-5'>技術(shù)</b>

        NSA發(fā)布IPSec虛擬專用網(wǎng)絡(luò)安全指南,預(yù)先配置的加密套件和IPSec策略

        NSA的VPN安全指南有兩種文檔形式:安全VPN指南和帶有更詳細(xì)的配置示例的版本。NSA警告說,許多VPN供應(yīng)商提供了為其設(shè)備預(yù)先配置的加密套件和I
        的頭像 發(fā)表于 07-08 15:31 ?2085次閱讀

        華為防火墻的安全策略配置實(shí)例

        今天給大家介紹華為防火墻的安全策略配置實(shí)例。本文采用華為eNSP模擬器,設(shè)計(jì)了一個(gè)USG6000系列防火墻的
        的頭像 發(fā)表于 09-22 09:36 ?8864次閱讀
        <b class='flag-5'>華為</b>防火墻的<b class='flag-5'>安全策略</b><b class='flag-5'>配置</b>實(shí)例

        銳捷設(shè)備密碼安全策略

        銳捷設(shè)備密碼安全策略
        的頭像 發(fā)表于 11-27 10:27 ?2041次閱讀
        銳捷設(shè)備密碼<b class='flag-5'>安全策略</b>