2. 程式人生 > >在華為設備上實戰站點到站點的虛擬私有網絡

在華為設備上實戰站點到站點的虛擬私有網絡

阿新 發佈:2018-08-21
kilo keepaliv mtu 12.1 data outbound play RoCE 形式

1.實驗目的

掌握華為設備上IKE方案實施站點到站點的虛擬私有網絡
IPSec在IP層通過加密與數據來源認證等方式,來保證數據包在網絡上傳輸時的私有性、真實性、完整性和抗重放。
IPSec加密和驗證算法所使用的密鑰可以手工配置,也可以通過因特網密鑰交換IKE(Internet Key Exchange)協議動態協商。IKE協議建立在Internet安全聯盟和密鑰管理協議ISAKMP(Internet Security Association and Key Management Protocol)框架之上,采用DH(Diffie-Hellman)算法在不安全的網絡上安全地分發密鑰、驗證身份,以保證數據傳輸的安全性。IKE協議可提升密鑰的安全性,並降低IPSec管理復雜度。

目的
在Internet的傳輸中,絕大部分數據的內容都是明文傳輸的,這樣就會存在很多潛在的危險,比如:密碼、銀行帳戶的信息被竊取、篡改,用戶的身份被冒充,遭受網絡惡意×××等。網絡中部署IPSec後,可對傳輸的數據進行保護處理,降低信息泄漏的風險。

受益
IPSec通過加密與驗證等方式,從以下幾個方面保障了用戶業務數據在Internet中的安全傳輸:
數據來源驗證:接收方驗證發送方身份是否合法。
數據加密:發送方對數據進行加密,以密文的形式在Internet上傳送,接收方對接收的加密數據進行解密後處理或直接轉發。
數據完整性:接收方對接收的數據進行驗證,以判定報文是否被篡改。
抗重放:接收方拒絕舊的或重復的數據包,防止惡意用戶通過重復發送捕獲到的數據包所進行的×××。

2.實施拓撲圖

技術分享圖片

3.實驗步驟

3.1 路由問題

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 //該路由可以解決到達對端通信點以及對端加解密點的通信問題

3.2 實施ACL匹配感興趣流

這些流量將被×××做安全處理
acl number 3000
rule 5 permit ip source 10.1.10.0 0.0.0.255 destination 10.1.20.0 0.0.0.255

3.3 配置IPSEC提案

ipsec proposal 10
esp authentication-algorithm sha2-384
esp encryption-algorithm aes-128

3.4 配置IKE提案

ike proposal 10
encryption-algorithm aes-cbc-128
dh group2

3.5配置IKE對等體組,協商對等體

ike peer R2 v1
pre-shared-key simple qytang
ike-proposal 10
remote-address 12.1.1.2

3.6配置策略匯總

ipsec policy P1 10 isakmp
security acl 3000
ike-peer R2
proposal 10

4.將策略調用在接口

interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
ipsec policy P1
AR2的配置幾乎和AR1相同,大部分內容比如acl將流量的源目對調即可,請參考如下配置

acl number 3000  
 rule 5 permit ip source 10.1.20.0 0.0.0.255 destination 10.1.10.0 0.0.0.255 
#
ipsec proposal 10
 esp authentication-algorithm sha2-384
 esp encryption-algorithm aes-128
#
ike proposal 10
 encryption-algorithm aes-cbc-128
 dh group2                                
#
ike peer R1 v1
 pre-shared-key simple qytang
 ike-proposal 10
 remote-address 12.1.1.1
#
ipsec policy P1 10 isakmp
 security acl 3000
 ike-peer R1
 proposal 10
#

interface GigabitEthernet0/0/0            
 ip address 12.1.1.2 255.255.255.0 
 ipsec policy P1
#

interface GigabitEthernet0/0/2
 ip address 10.1.20.254 255.255.255.0 

#
ip route-static 0.0.0.0 0.0.0.0 12.1.1.1

5.驗證IPSEC的各種狀態以便排錯

技術分享圖片
驗證:

[Gateway1]display ike sa 
    Conn-ID  Peer            ×××   Flag(s)                Phase  
  ---------------------------------------------------------------
        2    12.1.1.2        0     RD|ST                  2     
        1    12.1.1.2        0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
[Gateway1]dis ike peer 

Number of IKE peers: 1

  Peer name       Exchange    Remote         NAT     
                  mode        name           traversal
-------------------------------------------------------
  R2              Main                       Disable 
[Gateway1]dis ike statistics v1

----------------------------------------------------------

 IKE V1 statistics information
 Number of total peers                        : 18
 Number of policy peers                       : 1
 Number of profile peers                      : 17
 Number of proposals                          : 2
 Number of established V1 phase 1 SAs         : 1
 Number of established V1 phase 2 SAs         : 1
 Number of total V1 phase 1 SAs               : 1
 Number of total V1 phase 2 SAs               : 1
 Number of total SAs                          : 2
 Keep alive time                              : 0
 Keep alive interval                          : 0
 keepalive spi list                           : Disable
----------------------------------------------------------
[Gateway1]dis ipsec sa // 查看IPSEC SA,它用於確定網絡的兩側,同時進行數據加解密

===============================
Interface: GigabitEthernet0/0/0
 Path MTU: 1500
===============================

  -----------------------------
  IPSec policy name: "P1"
  Sequence number  : 10
  Acl Group        : 3000
  Acl rule         : 5
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 2
    Encapsulation mode: Tunnel
    Tunnel local      : 12.1.1.1
    Tunnel remote     : 12.1.1.2
    Flow source       : 10.1.10.0/255.255.255.0 0/0
    Flow destination  : 10.1.20.0/255.255.255.0 0/0
    Qos pre-classify  : Disable

    [Outbound ESP SAs] 
      SPI: 1214314935 (0x4860f9b7)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-384-192
      SA remaining key duration (bytes/sec): 1887283200/3079
      Max sent sequence-number: 10
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs] 
      SPI: 2003986867 (0x777269b3)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-384-192
      SA remaining key duration (bytes/sec): 1887436260/3079
      Max received sequence-number: 9
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N
[Gateway1]dis ipsec policy 

===========================================
IPSec policy group: "P1"
Using interface: GigabitEthernet0/0/0
===========================================

    Sequence number: 10
    Security data flow: 3000
    Peer name    :  R2
    Perfect forward secrecy: None
    Proposal name:  10
    IPSec SA local duration(time based): 3600 seconds
    IPSec SA local duration(traffic based): 1843200 kilobytes
    Anti-replay window size: 32
    SA trigger mode: Automatic
    Route inject: None
    Qos pre-classify: Disable
[Gateway1]dis ipsec statistics esp 
 Inpacket count            : 9
 Inpacket auth count       : 0
 Inpacket decap count      : 0
 Outpacket count           : 10
 Outpacket auth count      : 0
 Outpacket encap count     : 0
 Inpacket drop count       : 0
 Outpacket drop count      : 0
 BadAuthLen count          : 0
 AuthFail count            : 0
 InSAAclCheckFail count    : 0
 PktDuplicateDrop count    : 0
 PktSeqNoTooSmallDrop count: 0
 PktInSAMissDrop count     : 0

需要註意的是ensp的acl並不一定匹配,如下所示
<Gateway1>dis acl all
Total quantity of nonempty ACL number is 1

Advanced ACL 3000, 1 rule
Acl‘s step is 5
rule 5 permit ip source 10.1.10.0 0.0.0.255 destination 10.1.20.0 0.0.0.255

6.查看安全處理的報文

下圖幫您認識ESP報文,您不能在看到icmp報文,因為數據被加密處理
技術分享圖片

在華為設備上實戰站點到站點的虛擬私有網絡

相關推薦

實戰站點站點虛擬私有

kilo keepaliv mtu 12.1 data outbound play RoCE 形式 1.實驗目的 掌握華為設備上IKE方案實施站點到站點的虛擬私有網絡IPSec在IP層通過加密與數據來源認證等方式,來保證數據包在網絡上傳輸時的私有性、真實性、完整性和抗重放。

STP模式、RSTP模式下開關機是否觸發TC變更(源自考官的一道追問題目)

華為HCIE面試技巧 華為HCIE面試題聲明:本實驗用真機完成,終端采用了路由器和PC。華為交換測試版本:[SW2] dis version Huawei Versatile Routing Platform SoftwareVRP (R) software, Version 5.160 (S5700

漫談在配置PPPoE

工作 不足 基礎知識 進行 fff 還要 mage 知識點 含義 本文目錄 一、前言 二、PPPoE配置的主要思路 (一)PPPoE客戶端的配置 (二)PPPoE服務器端的配置 三、配置查看 四、與本文相關的知識點與書籍 一、前言 在網上,與PPP

IP流量統計

網絡 acl pbr 策略路由 華為9303配置流量統計的方法【配置舉例】 acl number 3000rule 0 permit icmp source 1.1.1.1 0 destination 2.2.2.2 0 //其中1.1.1.1和2.2.2.2替換為ping測試時

刪除vlan時,提示Error: The VLAN has a L3 interface.

錯誤 rst 三層 delet pad adding 系統 mar style 華為設備刪除vlan時,提示Error: The VLAN has a L3 interface,Please delete it first的解決辦法!直接刪除vlan,刪除不了,如下圖:2.

的基本配置

ret terminal 登陸 修改 密碼 auth mod ati -c <Huawei> //用戶視圖 <huawei> system-view[ huawei ] //系統試圖 [huawei]interfa

stp 、vrrp的實力應用

group oot oss 均衡 跟蹤 服務 images 流量 region 實驗名稱:華為設備stp 、vrrp的實力應用實驗拓撲:實驗目的:1.熟練地應用stp、vrrp的應用及配置 2.了解環路以及解決方案 3.使全網互通實驗思路

STP,VRRP應用實驗

5.0 sha 分享 優先 一次 -c 掩碼 images 交換網絡 實驗拓撲:實驗目的:應用STP,VRRP;了解環路以及解決;使全網互通PC1與PC3屬於vlan 10;PC2與PC4屬於VLAN 20實驗思路:把拓撲圖分為三個部分;從底層終端設備開始往上做,配置步驟:

故障排錯實驗

8.4 分享 trunk 2.4 ado spf term acl cto 實驗名稱: 華為設備網絡故障錯誤排查拓撲圖如下: 圖為老師提供 我只能把每個設備的設置截圖展示出來原有設置如下:PC1PC2PC3PC4SW1SW2: SW3:SW4:R1:R2:排錯思路:

防火墻基礎

通過 serve sid 華為設備 ces 以及 ges icm text 實驗拓撲以及要求如下:步驟:首先用模擬器搭配下圖,因為沒有配置雲,所以無法連線,但是我把接口留出來了配置雲,完成實驗拓撲配置完三朵雲之後雲上就會有Ethernet接口,把線連上使用CRT連接防火墻打

開啟ssh登錄

ssh在服務器端生成本地密鑰對 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] rsa local-key-pair create The key name will be: SSH Server_Host The ra

OSPF理論基礎和實現實驗(迎接IPv6數通時代的重要協議)

乾頤堂軍哥hcie17.3 IPv6路由基礎-OSPFv3 關於OSPFv3的詳盡描述出現在RFC2740中,OSPFv3是OSPF Version 3的簡稱,OSPFv3是運行於IPv6的OSPF路由協議,OSPFv3在OSPFv2基礎上進行了修改,是一個獨立的路由協議。當然我們可以這樣認為OSPFv3的

常用命令

常用命令 VLAN 路由 DHCP STP/VRP/ACL/ostp [Huawei-Ethernet0/0/1]0/0/1:第一個“0”代表槽位號,第二個“0”代表子卡號,“1”代表接口號<Huawei>system-view 進入系統試圖[Huawei]interf

------常用命令

華為 基礎 命令命令 作用<Huawei> 用戶模式<Huawei>system-view 進入系統模式[Huawei]interface GigabitEthernet 0/0/1 進入接口模式[Huawei]quit 退到前一模式[Huawei]re

RIP配置

RIP技術實現路由器之間互相學習路由表實驗名稱:在華為設備上配置RIP實驗環境:3臺路由器,2臺PC機實驗拓撲圖:實驗步驟:1、先新建拓撲圖添加設備,以及連接設備2、配置路由器,配置路由器上接口的IP地址,如下圖標識:3、配置RIP協議,AR-1命令如下:[Huawei]rip //啟用RIP協議[Hu

每次登陸都提示更改密碼The password needs to be changed!

通過 ini word 解決 net dmi warning pass oca 每次通過console、telnet登陸華為7706等設備都會提示:Warning:THe initial password poses security risks.//帶來安全風險 The

Receive a message from AAA of cutting user on

需求 pack ann 設備 receive 華為設備 down online scheme Issue Description 問題描述Customer configure radius service.After uplink connect to radius ser

工作中常用到的nat server配置

需求 簡單 alt ide 靜態路由 1.2 工作 分享圖片 訪問 1、簡單的網絡拓撲如下:2、需求是內部客戶端,可以正常訪問internet。並且將內部的www服務器發布到外網,使其外部用戶可以訪問內部服務器www。此實驗中,接口的ip地址已在拓撲上標記處,並且采用靜態路

經典的地址以及遠程登錄(VTY)實施

ping 界面 失敗 process ttl records ces password png AR1--------SW 首先配置路由器<Huawei>sys //進入系統視圖模式,能配置更多的命令Enter syst

實施經典的FTP實驗

byte rect ppp str remote eas vat file pad R1-------SW11.開啟FTP服務(FTP的基礎配置) <R1> <R1>sy <R1>system-view \\進入系統試圖 Enter sy