H3C IPV6之ipsec(ike预共享)典型组网配置案例
H3C配置IPSEC教程实例介绍
H3C配置IPSEC教程实例介绍作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。
这篇文章主要介绍了H3C配置IPSEC VPN教程实例(图文),需要的朋友可以参考下方法步骤H3C配置IPSEC VPN思路跟思科差不多,无非就是命令不一样的,下面就演示一下拓扑:RT1背后有个1.1.1.1网段,RT3背后有个3.3.3.3网段,ISP没有这两条路由RT2:system-viewSystem View: return to User View with Ctrl+Z.[RT2]int g0/0/0[RT2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[RT2-GigabitEthernet0/0/0]quit[RT2]int g0/0/1[RT2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[RT2-GigabitEthernet0/0/1]quitRT1:acl number 3000rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5authentication-metod pre-sharedh group2ike peer ciscoid-type ippre-shared-key simple ciscoremote-address 23.1.1.3local-address 12.1.1.1#ipsec proposal ciscotransform espesp authentication-algorithm md5esp encryption-algorithm 3desipsec policy cisco 10 isakmpsecurity acl 3000ike-peer ciscoproposal ciscoint g0/0/0ipsec policy ciscoip route-static 0.0.0.0 0.0.0.0 12.1.1.2RT3:acl number 3000rule 0 permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5authentication-metod pre-sharedh group2ike peer ciscoid-type ippre-shared-key simple ciscoremote-address 12.1.1.1local-address 23.1.1.3#ipsec proposal ciscotransform espesp authentication-algorithm md5esp encryption-algorithm 3desipsec policy cisco 10 isakmpsecurity acl 3000ike-peer ciscoproposal ciscoint g0/0/1ipsec policy ciscoip route-static 0.0.0.0 0.0.0.0 23.1.1.2相关阅读:路由器安全特性关键点由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性:(1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。
H3C华为-IPsecVPN配置教程
H3C华为-IPsecVPN配置教程H3C&华为-IPsecVPN配置教程第⼀篇:⽹关对⽹关IPSec-VPN⼀、H3C路由1、型号:MER5200;软件版本: version 7.1.064, Release 0809P07;固定外⽹IP;2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条,如下图:3、创建IPsecVPN3.1 “虚拟专⽹”---“IPsecVPN”---新建-如下图:3.2 名称----⾃⾏编辑;接⼝---选择外⽹出⼝,组⽹⽅式---分⽀节点;对端⽹关---对端外⽹IP;认证⽅式---预共享密钥;预共享密钥要与对端路由⼀致;3.3 保护流配置H3C路由器下有个内⽹段需要与对端通信,就添加⼏个。
本例172.16.10.0/24与10.10.11.0/24为本地内⽹,172.24.0.0/24为对端内⽹。
注:H3C设备不需要单独再做NAT配置。
4、显⽰⾼级配置4.1 ike配置:主模式、本地外⽹、对端外⽹,关闭对等体检测,算法组推荐。
如下图:4.2 IPsec配置:按照默认配置即可。
5、监控信息待对端华为路由配置完成且正确后,监控会显⽰如下信息。
6、命令⾏检查[H3C]dis acl allDis ike saDis ipsec sa⼆、华为路由1、型号:AR1220-S,软件版本:[V200R007C00SPC900],固定外⽹IP。
2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条,如下图:2、配置⾼级ACL2.1 新建“nonat”,添加⽬的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条,其他允许NAT转换;如下图2.2 新建“nj-g”,i添加本地内⽹172.24.0.0/24⾄⽬的内⽹10.10.11.0/24,172.16.10.0/24的acl,此路由⾛IPsec。
如下图2.3 创建“⽣效时间”3、NAT应⽤⾼级acl“ip业务”--“NAT”---“外⽹访问”---编辑----ACL名称选择“nonat”。
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例关键词:IKE、IPSec摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。
缩略语:缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一:基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二:与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
IPsec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标,并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPsec 的使用和管理。
H3C-ER系列路由器IPSEC-VPN的典型配置
H3C-ER系列路由器IPSEC-VPN的典型配置H3CER 系列路由器 IPSECVPN 的典型配置在当今数字化的时代,企业对于数据安全和远程访问的需求日益增长。
IPSECVPN 作为一种常用的安全通信技术,能够为企业提供可靠的数据加密和远程接入服务。
H3CER 系列路由器以其出色的性能和丰富的功能,成为了实现 IPSECVPN 的理想选择。
接下来,我们将详细介绍 H3CER 系列路由器 IPSECVPN 的典型配置过程。
一、前期准备在进行配置之前,我们需要明确一些基本信息和准备工作:1、确定两端路由器的公网 IP 地址,这是建立 VPN 连接的关键。
2、规划好 IPSECVPN 的参数,如预共享密钥、IKE 策略、IPSEC 策略等。
3、确保两端路由器能够正常连接到互联网,并且网络连接稳定。
二、配置步骤1、配置 IKE 策略IKE(Internet Key Exchange,互联网密钥交换)策略用于协商建立IPSEC 安全联盟所需的参数。
在 H3CER 系列路由器上,我们可以按照以下步骤进行配置:(1)进入系统视图:```systemview```(2)创建 IKE 安全提议:```ike proposal 1```(3)设置加密算法和认证算法:```encryptionalgorithm aescbc-128authenticationalgorithm sha1```(4)创建 IKE 对等体:```ike peer peer1```(5)设置对等体的预共享密钥:```presharedkey simple 123456```(6)指定对等体使用的 IKE 提议:```ikeproposal 1```(7)指定对等体的对端 IP 地址:```remoteaddress ____```2、配置 IPSEC 策略IPSEC 策略用于定义数据的加密和认证方式。
以下是配置步骤:(1)创建 IPSEC 安全提议:```ipsec proposal proposal1```(2)设置封装模式和加密算法:```encapsulationmode tunneltransform espesp encryptionalgorithm aescbc-128esp authenticationalgorithm sha1```(3)创建 IPSEC 策略:```ipsec policy policy1 1 isakmp```(4)指定引用的 IKE 对等体和 IPSEC 安全提议:```ikepeer peer1proposal proposal1```(5)指定需要保护的数据流:```security acl 3000```(6)创建访问控制列表,定义需要保护的数据流:```acl advanced 3000rule 0 permit ip source 19216810 000255 destination 19216820 000255```3、在接口上应用 IPSEC 策略完成上述配置后,需要在相应的接口上应用 IPSEC 策略,以启用VPN 功能:```interface GigabitEthernet0/1ipsec apply policy policy1```三、配置验证配置完成后,我们可以通过以下方式进行验证:1、查看 IKE 安全联盟状态:```display ike sa```2、查看 IPSEC 安全联盟状态:```display ipsec sa```3、从一端向另一端发送测试数据,检查数据是否能够正常加密传输。
H3C-ER系列路由器IPSEC-VPN的典型配置
H3C ER系列路由器IPSEC VPN的典型配置ER系列路由器一端地址是静态IP,另一端是拨号方式获取IP时野蛮模式下的一对一IPSEC VPN的典型配置一、组网需求:某公司存在分支机构A和分支机构B,两端的出口路由器都是ER5200,分别为Router A 和Router B,Router A处为静态IP,Router B处为拨号方式获取的IP。
现在客户想在两个分支之间建立VPN来实现互通。
二、组网图:三、配置步骤:当一边的地址都是静态IP〔Router A〕,另外一边是拨号IP〔Router B〕时,可采用野蛮模式建立IPSEC VPN。
Router A设置:〔1〕设置虚接口:VPN→VPN设置→虚接口选择一个虚接口名称和与其相应的WAN1口绑定,单击<增加>按钮。
(2)设置IKE平安提议VPN→VPN设置→IKE平安提议输入平安提议名称,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。
(3)设置IKE对等体VPN→VPN设置→IKE对等体输入对等体名称,选择对应的虚接口ipsec0。
在“对端地址〞文本框中输入Router B的IP地址为全0,选择野蛮模式的NAME类型,分别填写两端的ID。
(4)设置IPSec平安提议VPN→VPN设置→IPSec平安提议输入平安提议名称,选择平安协议类型为ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。
(5)设置IPSec平安策略VPN→VPN设置→IPSec平安策略Router B设置:〔1〕设置虚接口、〔2〕设置IKE平安提议、〔4〕设置IPSEC平安提议、〔5〕设置IPSec平安策略,以上四步的设置与Router A对应的步骤设置一致。
〔3〕设置IKE对等体VPN→VPN设置→IKE对等体输入对等体名称,选择对应的虚接口ipsec0。
在“对端地址〞文本框中输入Router A的IP地址,选择野蛮模式的NAME类型,分别填写两端的ID。
H3C L2TP-IPSEC办公网典型组网方案
H3C L2TP-IPSEC办公网典型组网方案【一个ETHERNET口对多个分部】【拓扑图+详细配置】网络拓扑图:各设备详细配置:<BM_WUYUAN_AR1831>的配置dis cu#sysnameBM_WUYUAN_AR1831#ike local-name cnc#undo ip optionsource-routing#dialer-rule 1 ip permit #ike peer cncexchange-mode aggressivepre-shared-key cncid-type nameremote-name zxremote-address 60.0.0.1 nat traversal#ipsec proposal cnc#ipsec policy cnc 1 isakmp security acl 3000ike-peer cncproposal cnc#dhcp server ip-pool 1network 10.70.65.0 mask255.255.255.240gateway-list 10.70.65.1dns-list 202.99.224.8 202.99.224.68#interface Bri3/0link-protocol ppp#interface Dialer0link-protocol pppppp pap local-user wy12345kdxwl@service2m.nm password simple xwl9600mtu 1450ip address ppp-negotiatedialer userwy12345kdxwl@service2m.nmdialer-group 1dialer bundle 1nat outbound 3100ipsec policy cnc#interface Ethernet1/0ip address 10.70.65.1255.255.255.240#interface Atm2/0pvc 0/32map bridgeVirtual-Ethernet0#interface Virtual-Ethernet0pppoe-client dial-bundle-number1#interface NULL0#interface LoopBack0#acl number 3000rule 0 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.0 0.0.0.15rule 1 permit ip source 10.70.65.0 0.0.0.15 destination 10.70.64.0 0.0.0.255acl number 3100rule 0 deny ip destination 10.70.64.00.0.0.255rule 1 permit ip source 10.70.65.0 0.0.0.15#ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60 #user-interface con 0user-interface vty 0 4user privilege level 3set authentication password cipherN`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_WUYUAN_AR1831><BM_BANGONWAN_EUDEMON200>的配置......................Save the current configuration to the device successfully.<BM_BANGONWAN_EUDEMON200><BM_BANGONWAN_EUDEMON200>dis cu#sysnameBM_BANGONWAN_EUDEMON200#super password level 3 cipherN`C55QK<`=/Q=^Q`MAF4<1!!#nat alg enable ftpnat alg enable dnsnat alg enable icmpnat alg enable netbiosundo nat alg enable h323undo nat alg enable hwccundo nat alg enable ilsundo nat alg enable pptpundo nat alg enable qqundo nat alg enable msnundo nat alg enable user-defineundo nat alg enable sipfirewall mode transparentfirewall system-ip 10.70.64.253 255.255.255.0#firewall statistic system enable #interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0#interface Ethernet0/0/1#interface Ethernet1/0/0#interface Ethernet1/0/1#interface NULL0#interface LoopBack0acl number 3000rule 5 permit ip source 10.70.64.0 0.0.0.255 rule 10 permit ip source 10.70.65.00.0.0.255rule 15 permit ip source 192.168.0.00.0.0.255rule 20 deny ip#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0/0add interface Ethernet1/0/0set priority 85#firewall zone untrustadd interface Ethernet0/0/1add interface Ethernet1/0/1set priority 5#firewall zone DMZset priority 50#firewall interzone local trust packet-filter 3000 inboundpacket-filter 3000 outbound #firewall interzone local untrust #firewall interzone local DMZ #firewall interzone trust untrust packet-filter 3000 inboundpacket-filter 3000 outbound #firewall interzone trust DMZ #firewall interzone DMZ untrust #aaaauthentication-scheme default#authorization-scheme default#accounting-schemedefault#domain default##user-interface con 0user-interface aux 0user-interface vty 0 4user privilege level 3set authentication password cipher N`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_BANGONWAN_EUDEMON200><BM_BANGONWAN_P1> 的配置dis cusysnameBM_BANGONWAN_P1 #ike local-name p1#undo ip option source-routing#dialer-rule 1 ip permit #ike peer p1exchange-mode aggressivepre-shared-key cnc id-type nameremote-name zxremote-address 61.138.72.234nat traversal#ipsec proposal p1ipsec policy p1 1 isakmpsecurity acl 3000ike-peer p1proposal p1#dhcp server ip-pool 1network 10.70.65.96 mask255.255.255.240gateway-list 10.70.65.97dns-list 202.99.224.8 202.99.224.68#interface Bri3/0link-protocol ppp#interface Dialer0link-protocol pppppp pap local-user lhkdwtkf1123451@service1m.nm password simple 8810181mtu 1450ip addressppp-negotiatedialer userlhkdwtkf1123451@service1m.nm dialer-group 1dialer bundle 1nat outbound 3100ipsec policy p1#interface Ethernet1/0ip address 10.70.65.97255.255.255.240#interface Atm2/0pvc 0/32map bridgeVirtual-Ethernet0#interface Virtual-Ethernet0pppoe-client dial-bundle-number 1#interface NULL0#acl number 3000rule 0 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.96 0.0.0.15rule 1 permit ip source 10.70.65.96 0.0.0.15 destination 10.70.64.0 0.0.0.255acl number 3100rule 0 deny ip destination 10.70.64.00.0.0.255rule 1 permit ip source 10.70.65.96 0.0.0.15#ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60#user-interface con 0user-interface vty 0 4#return<BM_BANGONWAN_P1><BM_BANGONWAN_P2> 的配置dis cu#sysnameBM_BANGONWAN_P2#ike local-name p2#ip option source-routing#dialer-rule 1 ip permit#ike peer dkexchange-modeaggressivepre-shared-key cncid-type nameremote-name zxremote-address 60.0.0.1nat traversal#ipsec proposal dk#ipsec policy dk 1 isakmpsecurity acl 3010ike-peer dkproposal dk#dhcp server ip-pool 1network 10.70.65.112 mask255.255.255.240gateway-list 10.70.65.113dns-list 202.99.224.8 202.99.224.68#interface Bri3/0link-protocol ppp#interface Dialer0link-protocol pppppp pap local-user lhkdtxf123gs@service2m.nm password simple 8270054mtu 1450ip addressppp-negotiatedialer userlhkdtxf123gs@service2m.nmdialer-group 1dialer bundle 1nat outbound 3001ipsec policy dk#interface Ethernet1/0ip address 10.70.65.113255.255.255.240#interface Atm2/0pvc 0/32map bridgeVirtual-Ethernet0#interface Virtual-Ethernet0pppoe-client dial-bundle-number 1#interface NULL0#interface LoopBack0ip address 10.70.65.54255.255.255.255#acl number 3001rule 0 deny ip destination 10.70.64.00.0.0.255rule 1 permit ip source 10.70.65.1120.0.0.15acl number 3010rule 0 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.112 0.0.0.15rule 1 permit ip source 10.70.65.112 0.0.0.15 destination 10.70.64.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60#user-interface con 0user-interface vty 0 4user privilege level 3set authentication password cipherN`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_BANGONWAN_P2><BM_BANGONGWAN_AR4640>的配置dis cu#sysnameBM_BANGONGWAN_AR4640#super password level 3 cipherI=G>;ZJOROP3HC6>:*%XYA!!#l2tp enable#local-user root password cipherN`C55QK<`=/Q=^Q`MAF4<1!!local-user root service-type telnetlocal-user vpn@ password simple vpnlocal-user vpn@ service-type ppplocal-user test password cipher=W6JJ`N_LBKQ=^Q`MAF4<1!!local-user test service-type ppp#ip pool 1 192.168.0.2 192.168.0.254#aaa enable#ike local-name zx#nat address-group 0 60.0.0.1 60.0.0.6#ike peer cncexchange-modeaggressivepre-shared-key cncid-type nameremote-name cncnat traversalmax-connections 100 #ike peer dkexchange-mode aggressivepre-shared-key cnc id-type nameremote-name dknat traversalmax-connections 100 #ike peer hqexchange-mode aggressivepre-shared-key cnc id-type nameremote-name hqnat traversalmax-connections 100 #ike peer p1exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p1nat traversalmax-connections 100 #ike peer p2exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p2nat traversalmax-connections 100 #ike peer p3exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p3nat traversalmax-connections 100 #ike peer p4exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p4nat traversalmax-connections 100 #ike peer qqexchange-mode aggressivepre-shared-key cnc id-type nameremote-name qqnat traversalmax-connections 100 #exchange-mode aggressivepre-shared-key cncid-type nameremote-name sbnat traversalmax-connections 100 #ike peer zqexchange-mode aggressivepre-shared-key cncid-type nameremote-name zqnat traversalmax-connections 100 #ipsec proposal cnc#ipsec policy zx 1 isakmp security acl 3001proposal cnc#ipsec policy zx 2 isakmp security acl 3001ike-peer qqproposal cnc#ipsec policy zx 3 isakmp security acl 3001ike-peer zqproposal cnc#ipsec policy zx 4 isakmp security acl 3001ike-peer hqproposal cnc#ipsec policy zx 5 isakmp security acl 3001ike-peer dkproposal cncipsec policy zx 6 isakmp security acl 3001ike-peer sbproposal cnc#ipsec policy zx 7 isakmp security acl 3001ike-peer p1proposal cnc#ipsec policy zx 8 isakmp security acl 3001ike-peer p2proposal cnc#ipsec policy zx 9 isakmp security acl 3001ike-peer p3proposal cnc#ipsec policy zx 10 isakmpike-peer p4proposal cnc#dhcp server ip-pool 10network 10.70.64.0 mask 255.255.255.0gateway-list 10.70.64.1dns-list 2.99.224.8 202.99.224.68 #interface Virtual-Template1ppp authentication-modepapip address 192.168.0.1255.255.255.0remote address pool 1#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0duplex fulldescription connect toS8016_E15/0/6tcp mss 1024ip address 60.0.0.1 255.255.255.248 firewall packet-filter 3500 inbound firewall packet-filter 3500 outbound nat outbound 3000 address-group 0ipsec policy zx#interface Ethernet0/0/1description connect to EUDEMON200e1/0/1ip address 10.70.64.1 255.255.255.0 firewall packet-filter 3500 inbound firewall packet-filter 3500 outbound #interface Ethernet1/0/0#interface Ethernet1/0/1interface NULL0#interfaceLoopback0ip address 10.70.64.99255.255.255.255#acl number 3000rule 0 deny ip destination 10.70.65.00.0.0.255rule 1 permit ip source 10.70.64.0 0.0.0.255acl number 3001rule 0 permit ip source 10.70.65.0 0.0.0.255 destination 10.70.64.0 0.0.0.255rule 1 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.0 0.0.0.255acl number 3500rule 0 deny udp source-port eq tftp destination-port eqtftprule 1 deny tcp source-port eq 135 destination-port eq135rule 2 deny udp source-port eq 135 destination-port eq135rule 3 deny udp source-port eq netbios-ns destination-port eq netbios-nsrule 4 deny udp source-port eq netbios-dgm destination-port eq netbios-dgmrule 5 deny udp source-port eq netbios-ssn destination-port eq netbios-ssnrule 6 deny tcp source-port eq 139 destination-port eq139rule 7 deny tcp source-port eq 445 destination-port eq445rule 8 deny tcp source-port eq 593 destination-port eq593rule 9 deny tcp source-port eq 4444 destination-port eq5444rule 11 deny tcp destination-port eq5554rule 12 deny tcp destination-port eq9995rule 13 deny tcp destination-port eq9996rule 14 deny tcp destination-port eq 3127rule 15 deny tcp destination-port eq 1025rule 16 deny tcp destination-port eq 137rule 17 deny tcp destination-port eq 138rule 18 deny tcp destination-port eq 5800rule 19 deny tcp destination-port eq 5900rule 20 deny tcp destination-port eq 8998#l2tp-group 1undo tunnel authenticationallow l2tp virtual-template 1#dhcp server forbidden-ip 10.70.64.240 10.70.64.254#ip route-static 0.0.0.0 0.0.0.0 60.0.0.6 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4user privilege level 3set authentication password cipherN`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_BANGONGWAN_AR4640>。
H3C IPV6之ipsec+IKE野蛮模式典型组网配置案例
组网说明:本案例采用H3C HCL模拟器来模拟IPV6 IPSEC IKE+野蛮模式典型组网配置。
为了确保数据的传输安全,在R1与R2之间建立IPSEC VPN隧道采用野蛮模式。
最后R1与R2之间采用OSPFV3路由协议互联。
配置思路:1、按照网络拓扑图正确配置IP地址2、R1与R2之间运行OSPFV3路由协议3、R1与R2采用IPSEC IKE+野蛮模式建立VPN隧道。
配置过程:第一阶段调试(基础网络配置):SW1:<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]sysname SW1[SW1]int loopback 0[SW1-LoopBack0]ip address 3.3.3.3 32[SW1-LoopBack0]quit[SW1]ospfv3 1[SW1-ospfv3-1]import-route direct[SW1-ospfv3-1]router-id 3.3.3.3[SW1-ospfv3-1]quit[SW1]int gi 1/0/1[SW1-GigabitEthernet1/0/1]port link-mode route[SW1-GigabitEthernet1/0/1]des <connect to R2>[SW1-GigabitEthernet1/0/1]ipv6 address 3::2 64[SW1-GigabitEthernet1/0/1]ospfv3 1 area 0[SW1-GigabitEthernet1/0/1]quitR1:<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname R1[R1]int loopback 0[R1-LoopBack0]ip address 1.1.1.1 32[R1-LoopBack0]quit[R1]ospfv3 1[R1-ospfv3-1]router-id 1.1.1.1[R1-ospfv3-1]import-route direct[R1-ospfv3-1]quit[R1]int gi 0/0[R1-GigabitEthernet0/0]ipv6 address 1::1 64 [R1-GigabitEthernet0/0]ospfv3 1 area 0[R1-GigabitEthernet0/0]quit[R1]int s 1/0[R1-Serial1/0]des <connect to R2>[R1-Serial1/0]ipv6 address 2::1 64[R1-Serial1/0]ospfv3 1 area 0[R1-Serial1/0]quitR2:<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname R2[R2]int loopback 0[R2-LoopBack0]ip address 2.2.2.2 32[R2-LoopBack0]quit[R2]ospfv3 1[R2-ospfv3-1]import-route direct[R2-ospfv3-1]router-id 2.2.2.2[R2-ospfv3-1]quit[R2]int s 1/0[R2-Serial1/0]des <connect to R1>[R2-Serial1/0]ipv6 address 2::2 64[R2-Serial1/0]ospfv3 1 area 0[R2-Serial1/0]quit[R2]int gi 0/0[R2-GigabitEthernet0/0]des <connect to SW1> [R2-GigabitEthernet0/0]ipv6 address 3::1 64 [R2-GigabitEthernet0/0]ospfv3 1 area 0[R2-GigabitEthernet0/0]quit第一阶段测试:物理机填写IP地址:物理机能PING通SW1:第二阶段调试(IPSEC+IKE野蛮模式关键配置点):[R1]acl ipv6 advanced 3000[R1-acl-ipv6-adv-3000]rule 0 permit ipv6 source 1::/64 destination 3::/64 [R1-acl-ipv6-adv-3000]quit[R1]ike identity fqdn r1[R1]ike proposal 1[R1-ike-proposal-1]quit[R1]ike keychain james[R1-ike-keychain-james]pre-shared-key address ipv6 2::2 64 key simple james [R1-ike-keychain-james]quit[R1]ike profile james[R1-ike-profile-james]keychain james[R1-ike-profile-james]proposal 1[R1-ike-profile-james]match remote identity address ipv6 2::2[R1-ike-profile-james]exchange-mode aggressive[R1-ike-profile-james]quit[R1]ipsec transform-set james[R1-ipsec-transform-set-james]protocol esp[R1-ipsec-transform-set-james]encapsulation-mode tunnel[R1-ipsec-transform-set-james]esp authentication-algorithm md5[R1-ipsec-transform-set-james]esp encryption-algorithm des-cbc[R1-ipsec-transform-set-james]quit[R1]ipsec ipv6-policy james 1 isakmp[R1-ipsec-ipv6-policy-isakmp-james-1]security acl ipv6 3000[R1-ipsec-ipv6-policy-isakmp-james-1]transform-set james[R1-ipsec-ipv6-policy-isakmp-james-1]ike-profile james[R1-ipsec-ipv6-policy-isakmp-james-1]remote-address ipv6 2::2[R1-ipsec-ipv6-policy-isakmp-james-1]quit[R1]int s 1/0[R1-Serial1/0]ipsec apply ipv6-policy james[R1-Serial1/0]quitR2:[R2]acl ipv6 advanced 3000[R2-acl-ipv6-adv-3000]rule 0 permit ipv6 source 3::/64 destination 1::/64 [R2-acl-ipv6-adv-3000]quit[R2]ike identity fqdn r2[R2]ike proposal 1[R2-ike-proposal-1]quit[R2]ike keychain james[R2-ike-keychain-james]pre-shared-key hostname r1 key simple james[R2-ike-keychain-james]quit[R2]ipsec transform-set james[R2-ipsec-transform-set-james]protocol esp[R2-ipsec-transform-set-james]encapsulation-mode tunnel[R2-ipsec-transform-set-james]esp authentication-algorithm md5[R2-ipsec-transform-set-james]esp encryption-algorithm des-cbc[R2-ipsec-transform-set-james]quit[R2]ike profile james[R2-ike-profile-james]keychain james[R2-ike-profile-james]proposal 1[R2-ike-profile-james]match remote identity fqdn r1[R2-ike-profile-james]exchange-mode aggressive[R2-ike-profile-james]quit[R2]ipsec ipv6-policy-template james 1[R2-ipsec-ipv6-policy-template-james-1]security acl ipv6 3000 [R2-ipsec-ipv6-policy-template-james-1]ike-profile james [R2-ipsec-ipv6-policy-template-james-1]transform-set james [R2-ipsec-ipv6-policy-template-james-1]quit[R2]ipsec ipv6-policy james 1 isakmp template james[R2]int s 1/0[R2-Serial1/0]ipsec apply ipv6-policy james[R2-Serial1/0]quit第二阶段测试:查看R1的IPSEC显示信息:查看R2的IPSEC显示信息:物理机依然可以PING通SW1:SW1依然可以PING通物理机:至此,IPV6之IPSEC IKE+野蛮模式典型组网配置案例已完成!。
多厂商VPN系列之一:加密基础与IPSec【附带思科与H3C的配置介绍】
多厂商VPN系列之一:加密基础与IPSec 【附带思科与H3C的配置介绍】在TCP/IP 协议的开发早起,并没有考虑到安全的因素,也没预料到该协议会成为以后互联网应用最广的协议。
随着网络的开放、共享的信息带来了便利的时候,也出现了病毒、木马等各种网络攻击,使得网络存在大量不安全因素、在这种情况下,各种网络安全技术应运而生。
一、安全的含义:1、源认证2、完整性3、机密性4、不可否认性。
早在古埃及的时候,就有加密出现了,在二战期间也大量被应用,只是原先的加密算法都是保密的,没有人知道原理是什么,但是后来人们发现这种想法并不适应现代的网络,在你认为这算法是安全的,可能早就被人破解了,所以基于这种情况,后续的加密算法都处于公开的,任何人都可以获取源代码,一个密码系统的成功与否的关键是密钥的生成、分发、管理。
保证密钥的安全,现在 hacker 不再从算法本身找弱点,而是从密钥中需找机会。
二、加密的类型:1、对称加密:应用最早,也是最成熟的算法,同一个密钥来加解密。
优点:加解密速度快。
密文紧凑,加密前的数据与加密后的数据大小不会发生太大的改变。
缺点:主要体现在密钥的分发、存储、管理对数字证书支持的缺点,每使用一次对称加密就需要产生一个新的密钥。
而且在网络上传输是非常困难的,如果使用者非常多,那么就会以指数增长。
算法:DES | 3DES | CAST | IDEA | AES,常用于 IPsec 中有 DES 3DES AES。
2、非对称加密同时生成公/私钥,公钥加密私钥解,私钥加密公钥解,A 与B 同时有公/私钥,把公钥发到互联网上。
这时候A 如果想发送数据给B,那么利用B 的公钥把数据进行加密得到一个 Y 发给 B,B 同时可以用私钥来进解密,把数据还原成没加密的状态。
优点:需要的密钥数量小、不存在密钥分发问题。
支持数字证书签名。
缺点:加解密数度非常慢,并且处理大量数据后比源数据大好几倍。
算法:Diffie-Hellman、RSA 、 ECC,IPsec 只应用了 DH 算法。
H3C 华为 IPsec 配置步骤
IPsec VPN工作中感受(2010-10-11 14:06:48)来这边工作2个月。
一直没有什么大的case做,每天基本都是不知道在做什么,终于有一个Case,就是和mexico对接VPN.这两个月也看了不少的VPN方面的书籍,一直等待实践的机会。
机会来了。
我就小心翼翼完成这case。
这篇文章只是心里总结。
我配置的时候也是分两个阶段配置的,根据VPN对接表来操作的,设备是HUAWEI EUDEMON 1000.有的是默认的配置,用display curr 命令看不到你配置过的命令。
1 配置IKE,其中要配置Ike proposal 和ike peer.1.1 配置 ike proposal(各种加密算法,验证算法都是在这个里面)ike proposal 6encryption-algorithm 3des-cbcdh group2sa duration 288001.2 配置ike peerike peer mexico_moralespre-shared-key 123456!AaFWike-proposal 6remote-address *.*.*.*2 配置ipse,其中要配置ipsec proposal ,ACL和ipsec policy2.1 配置 ipsec proposal(各种加密算法,验证算法都是在这个里面)ipsec proposal 6esp authentication-algorithm sha1esp encryption-algorithm 3des2.2 配置ACL(双方的ACL要相互对称)acl number 3600rule 15 permit ip source *.*.*.* 0 destination *.*.*.* 02.3配置ipsec policy (配置这个之前要断了出口VPN组)ipsec policy 1 60 isakmpsecurity acl 3600pfs dh-group2ike-peer mexico_morales proposal 6local-address *.*.*.*sa duration time-based 3600。
H3C IPSEC VPN设置方法
H3C MSR20系列路由器IPSEC VPN设置方法H3C MSR20系列路由器 IPSEC VPN 设置一例(对端除IKE名称、ACL数据流向不同外其他一致),本端ADSL接入方式,对端固定IP接入version 5.20, Release 2207P02, Basic#sysname testvpn#ike local-name testvpnike sa keepalive-timer timeout 28800#domain default enable system#telnet server enable#dar p2p signature—file cfa0:/p2p_default。
mtd#port—security enable#acl number 3001 name natrule 0 deny ip source 192。
168。
2。
0 0.0。
0。
255 destinat ion 192.168.0.0 0。
0.0.255 (对端VPN设置两个IP地址段对调)rule 20 permit ip source 192.168.2。
94 0 允许内网na t 的地址(可上网的ip)rule 30 permit ip source 192.168.2。
80 0acl number 3026rule 0 permit ip source 192。
168。
2.0 0.0。
0。
255 destina tion 192.168.0.0 0.0。
0。
255 定义VPN隧道数据流向(对端V PN设置两个IP地址段对调)#vlan 1#domain systemaccess-limit disablestate activeidle—cut disableself—service-url disable#ike peer testvpn 设置IKE 对等体exchange—mode aggressive 野蛮模式pre—shared—key cipher nWUE29323vCRHSJ19231231hkSNpRHtg= = 共享密钥id-type name ID类型为名称remote—name testpeer 远程IKE名称remote-address 202。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组网说明:本案例采用H3C HCL模拟器来模拟IPV6 IPSEC+IKE预共享密钥典型组网配置。
为了保证数据传输安全,在R1与R2建立Ipsec vpn隧道。
全网采用OSPFv3协议互通。
配置思路:1、按照网络拓扑图正确配置IP地址。
2、R1与R2建立IPSEC VPN隧道配置过程:第一阶段调试(基础网络配置:)R1:<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]sysname R1[R1]int loopback 0[R1-LoopBack0]ip address 1.1.1.1 32[R1-LoopBack0]quit[R1]ospfv3 1[R1-ospfv3-1]import-route direct[R1-ospfv3-1]router-id 1.1.1.1[R1-ospfv3-1]quit[R1]int gi 0/0[R1-GigabitEthernet0/0]ipv6 address 1::1 64[R1-GigabitEthernet0/0]ospfv3 1 area 0[R1-GigabitEthernet0/0]quit[R1]int gi 0/1[R1-GigabitEthernet0/1]des <connect to R2>[R1-GigabitEthernet0/1]ipv6 address 2::1 64[R1-GigabitEthernet0/1]ospfv3 1 area 0[R1-GigabitEthernet0/1]quitR2:<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname R2[R2]int loopback 0[R2-LoopBack0]ip address 2.2.2.2 32[R2-LoopBack0]quit[R2]ospfv3 1[R2-ospfv3-1]router-id 2.2.2.2[R2-ospfv3-1]import-route direct[R2-ospfv3-1]quit[R2]int gi 0/1[R2-GigabitEthernet0/1]des <connect to R1> [R2-GigabitEthernet0/1]ipv6 address 2::2 64 [R2-GigabitEthernet0/1]ospfv3 1 area 0[R2-GigabitEthernet0/1]quit[R2]int gi 0/0[R2-GigabitEthernet0/0]des <connect to SW1> [R2-GigabitEthernet0/0]ipv6 address 3::1 64 [R2-GigabitEthernet0/0]ospfv3 1 area 0[R2-GigabitEthernet0/0]quitSW1:<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname SW1[SW1]int loopback 0[SW1-LoopBack0]ip address 3.3.3.3 32[SW1-LoopBack0]quit[SW1]ospfv3 1[SW1-ospfv3-1]import-route direct[SW1-ospfv3-1]router-id 3.3.3.3[SW1-ospfv3-1]quit[SW1]int gi 1/0/1[SW1-GigabitEthernet1/0/1]port link-mode route [SW1-GigabitEthernet1/0/1]des <connect to R2> [SW1-GigabitEthernet1/0/1]ipv6 address 3::2 64 [SW1-GigabitEthernet1/0/1]ospfv3 1 area 0 [SW1-GigabitEthernet1/0/1]quit第一阶段测试:物理机填写IP地址:物理机能PING通SW1:第二阶段调试(IPSEC预共享密钥关键配置点):R1:[R1]acl ipv6 advanced 3000[R1-acl-ipv6-adv-3000]rule 0 permit ipv6 source 1::/64 destination 3::/64 [R1-acl-ipv6-adv-3000]quit[R1]ike keychain james[R1-ike-keychain-james]pre-shared-key address ipv6 2::2 64 key simple james [R1-ike-keychain-james]quit[R1]ike proposal 1[R1-ike-proposal-1]quit[R1]ike profile james[R1-ike-profile-james]keychain james[R1-ike-profile-james]proposal 1[R1-ike-profile-james]match remote identity address ipv6 2::2 64[R1-ike-profile-james]local-identity address ipv6 2::1[R1-ike-profile-james]quit[R1]ipsec transform-set james[R1-ipsec-transform-set-james]protocol esp[R1-ipsec-transform-set-james]encapsulation-mode tunnel[R1-ipsec-transform-set-james]esp authentication-algorithm md5[R1-ipsec-transform-set-james]esp encryption-algorithm des-cbc[R1-ipsec-transform-set-james]quit[R1]ipsec ipv6-policy james 1 isakmp[R1-ipsec-ipv6-policy-isakmp-james-1]security acl ipv6 3000[R1-ipsec-ipv6-policy-isakmp-james-1]ike-profile james[R1-ipsec-ipv6-policy-isakmp-james-1]transform-set james[R1-ipsec-ipv6-policy-isakmp-james-1]remote-address ipv6 2::2[R1-ipsec-ipv6-policy-isakmp-james-1]quit[R1]int gi 0/1[R1-GigabitEthernet0/1]ipsec apply ipv6-policy james[R1-GigabitEthernet0/1]quitR2:[R2]acl ipv6 advanced 3000[R2-acl-ipv6-adv-3000]rule 0 permit ipv6 source 3::/64 destination 1::/64 [R2-acl-ipv6-adv-3000]quit[R2]ike keychain james[R2-ike-keychain-james]pre-shared-key address ipv6 2::1 key simple james [R2-ike-keychain-james]quit[R2]ike proposal 1[R2-ike-proposal-1]quit[R2]ike profile james[R2-ike-profile-james]keychain james[R2-ike-profile-james]proposal 1[R2-ike-profile-james]local-identity address ipv6 2::1[R2-ike-profile-james]match remote identity address ipv6 2::1 64[R2-ike-profile-james]quit[R2]ipsec transform-set james[R2-ipsec-transform-set-james]protocol esp[R2-ipsec-transform-set-james]encapsulation-mode tunnel[R2-ipsec-transform-set-james]esp authentication-algorithm md5 [R2-ipsec-transform-set-james]esp encryption-algorithm des-cbc [R2-ipsec-transform-set-james]quit[R2]ipsec ipv6-policy james 1 isakmp[R2-ipsec-ipv6-policy-isakmp-james-1]security acl ipv6 3000[R2-ipsec-ipv6-policy-isakmp-james-1]transform-set james[R2-ipsec-ipv6-policy-isakmp-james-1]ike-profile james[R2-ipsec-ipv6-policy-isakmp-james-1]remote-address ipv6 2::1 [R2-ipsec-ipv6-policy-isakmp-james-1]quit[R2]int gi 0/1[R2-GigabitEthernet0/1]ipsec apply ipv6-policy james[R2-GigabitEthernet0/1]quit第二阶段测试:查看R1的IPSEC显示信息:查看R2的IPSEC显示信息:物理机依然能PING通SW1:SW1也可以PING通物理机:至此,IPV6之IPSEC预共享密钥典型组网配置案例已完成!。