<acronym id="s8ci2"><small id="s8ci2"></small></acronym>
<rt id="s8ci2"></rt><rt id="s8ci2"><optgroup id="s8ci2"></optgroup></rt>
 <acronym id="s8ci2"></acronym>
<acronym id="s8ci2"><center id="s8ci2"></center></acronym>

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統消息
      • 評論與回復
      查看更多
      查看更多
      查看更多
      VIP于 到期 續費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發帖/加入社區
      會員中心
      創作中心
      發布
      創作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      華為技術和ipsec安全策略模擬實驗配置步驟

      網絡技術干貨圈 ? 來源:網絡技術干貨圈 ? 2023-06-26 16:29 ? 次閱讀

      2b1ea508-13fb-11ee-962d-dac502259ad0.png

      網段地址:
      R1
      G0/0/0 192.168.1.100 24
      G0/0/1 200.1.13.1 24

      R3
      G0/0/0 200.1.13.2 24
      G0/0/1 200.1.23.2 24

      R2
      G0/0/0 192.168.2.100 24
      G0/0/1 200.1.23.1 24

      PC1:192.168.1.1 24
      PC2:192.168.2.1 24

      第一步

      配置Security ACL,用于匹配站點間通信網絡之間的感興趣流。
      配置:

      [R1-acl-adv-3000]rule2permitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255

      IPSec使用高級ACL定義需要保護的數據流。IPSec根據ACL的規則來確定哪些報文需要安全保護,哪些報文不需要安全保護。
      在隧道發起端,匹配(permit)高級ACL的數據流將被保護,即經過IPSec加密處理后再發送;不能匹配高級ACL的數據流則直接轉發。
      在隧道接收端,對數據流進行解密,并檢查解密后的數據流是否匹配了ACL規則,丟棄不匹配ACL規則的報文。

      ACL配置原則

      1.若不同的數據流需要采用不同的安全策略來保護,則需要為之創建不同的ACL。

      2.若不同的數據流可以采用相同的安全策略來保護,則可以在一條ACL中配置多條rule來保護不同的數據流。但是ACL中序列號大的rule不能完全包含序列號小的rule 的內容。

      3.IPSec兩端ACL規則定義的協議類型要一致,如:一端使用IP協議,另一端也必須使用IP協議。

      4.同一個安全策略組中配置的ACL不能包含相同的rule規則。采用IKEv2進行協商時,同一個安全策略組中所有安全策略的引用的ACL的rule之間不能存在交集。

      5.建議IPSec隧道兩端配置的ACL規則互為鏡像,即一端ACL規則的源地址和目的地址分別為另一端ACL規則的目的地址和源地址。

      第二步

      配置IKE安全提議,決定處理IKE流量的安全機制(可選:可以采用默認
      IKE安全提議)

      IKE對等體通過IKE安全提議來協商建立IKE SA所需要的
      加密算法、
      認證方法、
      認證算法、
      Diffie-Hellman組標識
      安全聯盟生存周期

      [R1]ikeproposal10(創建IKE安全提議)

      [R1-ike-proposal-10]authentication-algorithm?(配置認證算法)
aes-xcbc-mac-96Selectaes-xcbc-mac-96asthehashalgorithm
md5SelectMD5asthehashalgorithm
sha1SelectSHAasthehashalgorithm
sm3Selectsm3asthehashalgorithm
[R1-ike-proposal-10]authentication-algorithmmd5

      [R1-ike-proposal-10]encryption-algorithm?(配置加密算法)
3des-cbc168bits3DES-CBC
aes-cbc-128UseAES-128
aes-cbc-192UseAES-192
aes-cbc-256UseAES-256
des-cbc56bitsDES-CBC
[R1-ike-proposal-10]encryption-algorithmaes-cbc-128

      [R1-ike-proposal-10]authentication-method?(配置認證方法)
digital-envelopeSelectdigitalenvelopekeyastheauthenticationmethod
pre-shareSelectpre-sharedkeyastheauthenticationmethod
rsa-signatureSelectrsa-signaturekeyastheauthenticationmethod
[R1-ike-proposal-10]authentication-methodpre-share

      [R1-ike-proposal-10]dh?(配置Diffie-Hellman組標識)
group1768bitsDiffie-Hellmangroup
group142048bitsDiffie-Hellmangroup
group21024bitsDiffie-Hellmangroup
group51536bitsDiffie-Hellmangroup
[R1-ike-proposal-10]dhgroup2

      可選:執行命令integrity-algorithm { aes-xcbc-96 | hmac-md5-96 | hmac-sha1-96 |
      hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512 } 配置完整性算法。

      [R1-ike-proposal-10]saduration?(配置IKE密鑰有效期)
INTEGER<60-604800>Valueoftime(inseconds),defaultis86400
[R1-ike-proposal-10]saduration10000

      配置完成:
[R1-ike-proposal-10]displaythis
[V200R003C00]
#
ikeproposal10
encryption-algorithmaes-cbc-128
dhgroup2
authentication-algorithmmd5
saduration10000
#
return

      display ike proposal
      //查看IKE默認Proposal,如果沒有特殊安全需求建議保
      持默認的IKE Proposal

      第三步

      配置IKE對等體,
      調用第二步配置的IKE安全提議,
      選擇IKE版本(version1/version 2),
      配置IKE身份認證參數,
      決定IKE version 1第一階段的交換模式,
      可以選擇主模式或野蠻模式。

      [R1]ikepeerxwl?(配置IKEpeer和IKE版本號)
v1OnlyV1SA'scanbecreated
v2OnlyV2SA'scanbecreated
PleasepressENTERtoexecutecommand
[R1]ikepeerxwlv1

      IKEv1要求兩端配置的ACL規則互為鏡像(IKE方式的IPSec安全策略)或發起方配置的ACL
      規則為響應方的子集(模板方式的IPSec安全策略)。
      IKEv2取雙方ACL規則交集作為協商結果。

      修改ACL時注意:
      ACL參數的修改是實時生效的,修改后隧道立即被拆除,在下次進行隧道協商時使用新
      的參數。

      [R1-ike-peer-xwl]remote-address?
IP_ADDRIPaddress
STRING<1-254>Hostname
[R1-ike-peer-xwl]remote-address200.1.23.1(配置對端IP地址或地址段。)

      [R1-ike-peer-xwl]pre-shared-keycipherhuawei(配置身份認證參數)

      [R1-ike-peer-xwl]ike-proposal10(引用已配置的IKE安全提議。)

      [R1-ike-peer-xwl]exchange-mode?(配置模式為主模式或者野蠻模式)
aggressiveAggressivemode
mainMainmode
[R1-ike-peer-xwl]exchange-modemain

      [R1-ike-peer-xwl]peer-id-type?(配置peer建立時ID的類型)
ipSelectIPaddressasthepeerID
nameSelectnameasthepeerID

      配置完成
[R1-ike-peer-xwl]displaythis
[V200R003C00]
#
ikepeerxwlv1
pre-shared-keycipher%$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal10
remote-address200.1.23.1
#
return

      第四步

      配置IPSec安全提議,配置處理實際感興趣的安全機制,
      包括封裝模式,ESP的加密與驗證算法,AH的驗證算法。

      如果只創建ipsec proposal ,則繼承默認策略

      [R1]ipsecproposalxwl(創建安全提議)

      [R1-ipsec-proposal-xwl]encapsulation-mode?(配置報文封裝模式)
transportOnlythepayloadofIPpacketisprotected(transportmode)
tunnelTheentireIPpacketisprotected(tunnelmode)
[R1-ipsec-proposal-xwl]encapsulation-modetunnel

      [R1-ipsec-proposal-xwl]espauthentication-algorithm?(配置ESP方式采用的認證算法)
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm
[R1-ipsec-proposal-xwl]espauthentication-algorithmmd5

      [R1-ipsec-proposal-xwl]espencryption-algorithm?(配置ESP協議使用的加密算法)
3desUse3DES
aes-128UseAES-128
aes-192UseAES-192
aes-256UseAES-256
desUseDES
sm1UseSM1
PleasepressENTERtoexecutecommand
[R1-ipsec-proposal-xwl]espencryption-algorithmaes-128

      [R1-ipsec-proposal-xwl]transform?(配置傳送數據時采用的安全協議)
ahAHprotocoldefinedinRFC2402
ah-espESPprotocolfirst,thenAHprotocol
espESPprotocoldefinedinRFC2406
[R1-ipsec-proposal-xwl]transformesp

      如果配置為ah
[R1-ipsec-proposal-xwl]ahauthentication-algorithm?
md5UseHMAC-MD5-96algorithm
sha1UseHMAC-SHA1-96algorithm
sha2-256UseSHA2-256algorithm
sha2-384UseSHA2-384algorithm
sha2-512UseSHA2-512algorithm
sm3UseSM3algorithm

      配置完成
[R1-ipsec-proposal-xwl]displaythis
[V200R003C00]
#
ipsecproposalxwl
espencryption-algorithmaes-128
#
return

      第五步

      配置IPSec安全策略,
      調用第一步配置的Security ACL;
      第二步配置的IKE Peer;
      第三步配置的IPSec安全提議。

      模板方式的IPSec安全策略配置原則:
      1.IPSec隧道只能有一端配置模板方式的IPSec安全策略,另一端必須配置IKE方式的
      IPSec安全策略。
      2.一個IPSec策略組中只能有一條安全策略引用安全策略模板,該策略的序號推薦
      其它策略的序號大,否則可能導致其它策略不生效。

      3.IPSec安全策略模板中ACL、IPSec安全提議和IKE對等體為必選配置,而其它參數為
      可選配置。

      4.在IKE協商時,要求安全策略模板中定義的參數必須與對端匹配;安全策略模板中
      沒有定義的參數由發起方來決定,響應方接受發起方的建議。

      5.一個安全策略模板可以引用多個IPSec安全提議,在響應不同對端發起的連接時匹
      配不同的IPSec安全提議。

      6.一個安全策略模板只能引用一條ACL,引用新的ACL時必須先取消引用原有ACL。
      如果接口上應用了IPSec安全策略,則修改IPSec和IKE的各項參數時,需注意在修
      改IPSec安全策略時可以直接新增或刪除IPSec安全策略或者修改IPSec安全策略中
      的各項配置。

      對于模板方式建立的IPSec安全策略:
      1.修改PFS參數在下次協商時生效,對已經協商起來的隧道不生效。
      2. 除PFS外的其它參數只能先在接口上取消應用IPSec策略,再進行修改。
      pfs 完美向前 第一個密鑰失效后第二個密鑰和第一個密鑰是有關系的 設置了pfs后,這密鑰之間沒有關系

      PFS(Perfect Forward Secrecy,完善的前向安全性)是一種安全特性,指一個密鑰被破解,并不影響其他密鑰的安全性,因為這些密鑰間沒有派生關系。此特性是通過在IKE階段2的協商中增加密鑰交換來實現的

      [R1]ipsecpolicyxwl?
INTEGER<1-10000>ThesequencenumberofIPSecpolicy
sharedShared
[R1]ipsecpolicyxwl10?
isakmpIndicatesuseIKEtoestablishtheIPSecSA
manualIndicatesusemanualtoestablishtheIPSecSA
PleasepressENTERtoexecutecommand
[R1]ipsecpolicyxwl10isakmp

      [R1-ipsec-policy-isakmp-xwl-10]ike-peerxwl(調用第二步配置的IKEPeer)

      [R1-ipsec-policy-isakmp-xwl-10]proposalxwl(調用第二步配置的IKEPeer)

      [R1-ipsec-policy-isakmp-xwl-10]securityacl3000(調用第一步配置的SecurityACL)

      配置完成:
[R1-ipsec-policy-isakmp-xwl-10]displaythis
[V200R003C00]
#
ipsecpolicyxwl10isakmp
securityacl3000
ike-peerxwl
proposalxwl
#
Return

      第六步

      在接口上調用IPSec安全策略。
[R1]interfaceGigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ipsecpolicyxwl?
PleasepressENTERtoexecutecommand

      配置完成后,需要流量進行激活隧道的建立

      [R1]iproute-static192.168.2.024200.1.13.2
[R2]iproute-static192.168.1.024200.1.23.2

      查看相關信息

      ipsec第一階段形成ike sa 的通道 使用的是udp 500的流量,源端口,目的端口都是500

      2b306824-13fb-11ee-962d-dac502259ad0.png

      Reset ike sa all 清除建立的SA 通道

      PC1:

      2b533bec-13fb-11ee-962d-dac502259ad0.png

      協商后的Iipsec proposal 參數

      2b5e71a6-13fb-11ee-962d-dac502259ad0.png

      協商后的ike peer 參數

      2b7884d8-13fb-11ee-962d-dac502259ad0.png

      IKE第二階段

      2b8a48a8-13fb-11ee-962d-dac502259ad0.png

      IKE第一和第二階段

      2ba38c96-13fb-11ee-962d-dac502259ad0.png

      審核編輯:湯梓紅
      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
      • 華為
        華為
        +關注

        關注

        215

        文章

        33839

        瀏覽量

        247646
      • IPSec
        IPSec
        +關注

        關注

        0

        文章

        55

        瀏覽量

        22693
      • 通信網絡
        通信網絡
        +關注

        關注

        20

        文章

        1996

        瀏覽量

        51615
      • ACL
        ACL
        +關注

        關注

        0

        文章

        60

        瀏覽量

        11893

      原文標題:華為技術&ipsec安全策略模擬實驗配置步驟

      文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏

        評論

        相關推薦

        ZigBee接入EPA網絡的安全策略

        ZigBee接入EPA網絡的安全策略針對ZigBee技術的特點,結合EPA控制網絡的安全規范與工業現場實際應用的需要,提出ZigBee接入EPA網絡的安全策略與基于
        發表于 03-19 16:47

        proteus與keil建立模擬實驗

        proteus與keil建立模擬實驗
        發表于 01-16 13:44

        華為技術手冊

        本帖最后由 eehome 于 2013-1-5 09:50 編輯 華為技術手冊
        發表于 08-19 23:50

        華為技術有限公司c語言編程規范

        華為技術有限公司c語言編程規范
        發表于 03-01 11:55

        IPsec的基礎知識

        。通過定義隧道的特性,定義了敏感數據包的安全保護措施。IPsec提供多種技術和加密模式。但它的工作可以分為五個主要步驟。簡要概述如下:有趣的交通啟動需要監控的敏感流量被認為是有趣的。在
        發表于 08-09 13:50

        華為技術有限公司c語言編程規范分享!

        好資源,大家一起分享??!華為技術有限公司c語言編程規范.pdf (915.01 KB )
        發表于 09-30 03:16

        可視化的安全策略形式化描述與驗證系統

        通過分析安全策略中可能出現的問題,對安全策略的一致性與完備性進行形式化定義。通過構造安全策略的狀態模型,提出策略的一致性與完備性驗證算法?;诳蓴U展訪問控制標
        發表于 04-07 09:00 ?9次下載

        金融稅控收款機信息安全策略

        文章介紹了金融稅控收款機系統的信息安全策略,包括安全審計策略, 用戶數據的保護策略, 標識和鑒別策略,
        發表于 06-15 10:47 ?24次下載

        右對齊算法解決IPsec安全策略沖突問題

        當前IPsec策略系統的策略設置方式很可能引起策略沖突。在分析和比較現有策略生成算法的基礎上,提出了右對齊
        發表于 06-26 08:36 ?9次下載

        基于有向圖模型的網絡安全策略沖突研究

        保證安全策略的協同工作和一致性是實現分布式系統安全管理需要首先解決的問題。本文提出了一種可適應的安全策略框架,在此安全策略框架中,針對現有安全策略
        發表于 01-27 15:12 ?11次下載

        云計算環境的多域安全策略驗證管理技術

        為了有效管理云系統間跨域互操作中安全策略的實施,提出一種適用于云計算環境的多域安全策略驗證管理技術。首先,研究了安全互操作環境的訪問控制規則和安全
        發表于 12-15 13:46 ?0次下載
        云計算環境的多域<b class='flag-5'>安全策略</b>驗證管理<b class='flag-5'>技術</b>

        NSA發布IPSec虛擬專用網絡安全指南,預先配置的加密套件和IPSec策略

        NSA的VPN安全指南有兩種文檔形式:安全VPN指南和帶有更詳細的配置示例的版本。NSA警告說,許多VPN供應商提供了為其設備預先配置的加密套件和I
        的頭像 發表于 07-08 15:31 ?1908次閱讀

        東用科技與華為防火墻構建IPSec VPN配置指導手冊

        、DNS服務器地址請向運營商索?。?、開啟防火墻DHCP服務器:5、配置防火墻安全策略與源NAT以允許內網訪問外網:6、配置點到多點IPSec服務器(不指定對端
        的頭像 發表于 03-24 11:23 ?782次閱讀
        東用科技與<b class='flag-5'>華為</b>防火墻構建<b class='flag-5'>IPSec</b> VPN<b class='flag-5'>配置</b>指導手冊

        華為防火墻的安全策略配置實例

        今天給大家介紹華為防火墻的安全策略配置實例。本文采用華為eNSP模擬器,設計了一個USG6000系列防火墻的
        的頭像 發表于 09-22 09:36 ?3160次閱讀
        <b class='flag-5'>華為</b>防火墻的<b class='flag-5'>安全策略</b><b class='flag-5'>配置</b>實例

        銳捷設備密碼安全策略

        銳捷設備密碼安全策略
        的頭像 發表于 11-27 10:27 ?771次閱讀
        銳捷設備密碼<b class='flag-5'>安全策略</b>
        華秋(原“華強聚豐”):
        電子發燒友
        華秋開發
        華秋電路(原"華強PCB")
        華秋商城(原"華強芯城")
        華秋智造
        My ElecFans
        APP
        網站地圖
        設計技術
        可編程邏輯
        電源/新能源
        MEMS/傳感技術
        測量儀表
        嵌入式技術
        制造/封裝
        模擬技術
        RF/無線
        接口/總線/驅動
        處理器/DSP
        EDA/IC設計
        存儲技術
        光電顯示
        EMC/EMI設計
        連接器
        行業應用
        LEDs
        汽車電子
        音視頻及家電
        通信網絡
        醫療電子
        人工智能
        虛擬現實
        可穿戴設備
        機器人
        安全設備/系統
        軍用/航空電子
        移動通信
        工業控制
        便攜設備
        觸控感測
        物聯網
        智能電網
        區塊鏈
        新科技
        特色內容
        專欄推薦
        學院
        設計資源
        設計技術
        電子百科
        電子視頻
        元器件知識
        工具箱
        VIP會員
        最新技術文章
        社區
        小組
        論壇
        問答
        評測試用
        企業服務
        產品
        資料
        文章
        方案
        企業
        供應鏈服務
        硬件開發
        華秋電路
        華秋商城
        華秋智造
        nextPCB
        BOM配單
        媒體服務
        網站廣告
        在線研討會
        活動策劃
        新聞發布
        新品發布
        小測驗
        設計大賽
        華秋
        關于我們
        投資關系
        新聞動態
        加入我們
        聯系我們
        舉報投訴
        社交網絡
        微博
        移動端
        發燒友APP
        硬聲APP
        WAP
        聯系我們
        廣告合作
        王婉珠:wangwanzhu@elecfans.com
        內容合作
        黃晶晶:huangjingjing@elecfans.com
        內容合作(海外)
        張迎輝:mikezhang@elecfans.com
        供應鏈服務 PCB/IC/PCBA
        江良華:lanhu@huaqiu.com
        投資合作
        曾海銀:zenghaiyin@huaqiu.com
        社區合作
        劉勇:liuyong@huaqiu.com

        • 關注我們的微信

          關注我們的微信

        • 下載發燒友APP

          下載發燒友APP

        • 電子發燒友觀察

          電子發燒友觀察
        華秋發燒友
        電子工程師社區
        華秋電路
        1-32層PCB打樣·中小批量
        華秋商城
        元器件現貨·全球代購·SmartBOM
        華秋智造
        SMT貼片·PCBA加工
        NextPCB
        PCB Manufacturer

        版權所有 ? 湖南華秋數字科技有限公司

        電子發燒友 (電路圖) 湘公網安備43011202000918 電信與信息服務業務經營許可證:合字B2-20210191 工商網監認證工商網監 湘ICP備 2023018690 號
        亚洲欧美日韩精品久久_久久精品AⅤ无码中文_日本中文字幕有码在线播放_亚洲视频高清不卡在线观看
        <acronym id="s8ci2"><small id="s8ci2"></small></acronym>
        <rt id="s8ci2"></rt><rt id="s8ci2"><optgroup id="s8ci2"></optgroup></rt>
         <acronym id="s8ci2"></acronym>
        <acronym id="s8ci2"><center id="s8ci2"></center></acronym>