eNSP之IPsec 虚拟专用网配置

原创 已于 2025-01-10 16:21:08 修改 · 1.4w 阅读 · 157
标签
#ipsec #华为 #网络
于 2020-11-11 17:03:48 首次发布
本文介绍如何配置IPsec虚拟专用网,以确保数据传输安全。包括选择加密算法(如AES)、认证算法(如SHA1),配置IKE提议及对等体,设置访问控制列表,创建IPSec策略等关键步骤。

eNSP之IPsec 虚拟专用网配置

VPN的定义

1、互联网存在各种安全隐患

	— 网上传输的数据有被窃听的风险
	— 网上传输的数据有被篡改的危险
	— 通信双方有被冒充的风险

案例

2、VPN (Virtual Private Network,虚拟专用网)

3、VPN建立“保护”网络实体之间的通信

	— 使用加密技术防止数据被窃听
	— 数据完整性验证防止数据被破坏、篡改
	— 通过认证机制确认身份,防止冒充

在这里插入图片描述

VPN类型

1、站点到站点

在这里插入图片描述

2、远程访问VPN

在这里插入图片描述

站点到站点的VPN配置——IPsec VPN

拓扑

在这里插入图片描述

需求

不允许研发小组与研发服务器通过互联网传输数据。
通过建立IPsec VPN使得异地的研发小组与研发服务器传输数据。

配置步骤

1、基础IP信息配置

(基础配置大家小学就学过了,这里不做演示。)

2、配置路由

[R1]ip route-static 0.0.0.0 0 100.0.0.2
[R2]ip route-static 0.0.0.0 0 200.0.0.2

3、IPSec VPN配置

1) 加密、认证算法介绍
	· 加密与解密
		- 加密:明文数据 ‘m’ --> 密文数据 ‘c’
		- 解密:密文数据 ‘c’ --> 明文数据 ‘m’
		
 	· 加密算法分类
 		- 对称加密算法
 			对称加密算法使用同一个共享密钥参与加密与解密的计算,计算速度快,但这种方法安全性较低。
 	如下图,加密时,使用加密函数 E(共享密钥‘k’,明文‘m’)生成密文 ‘c’,解密时使用解密函数 D(共享密钥‘k’,密文‘c’) 生成明文‘m’。

在这里插入图片描述

 			> DES(Data Encryption Standard,数据加密标准)
 			> 3DES
 			> AES(Advanced Encryption Standard,高级加密标准)
 		- 非对称加密算法
 			非对称加密算法有公钥与私钥之分,公钥可以公开,用于对数据加密,私钥只有自己知道,用于对数据解密。
 			比如,A要发送数据给B,A就用B的公钥对数据进行加密再发给B,B收到后用自己的私钥对其进行解密。
 			即使传输过程中数据被窃取,没有私钥也不能知道数据里的具体信息。
 			并且,公钥与私钥相互不能通过计算推导出来,这就很大程度上保证了数据的安全性。
 			缺点:计算效率比对称加密算法低很多,大约要慢1500倍左右。
 			>	RSA(三位数学家名字的首字母)

在这里插入图片描述

 · 认证算法
 	- 哈希(HASH)
 		> MD5算法
 			MD5 (Message-digest Algorithm 5,信息-摘要算法)
 			创建了一个128位(16字节)的签名,很多协议都使用该算法做验证
 			目前,已有人证明不同的输入数值通过MD5计算可以得到相同的数字签名,
 			说明MD5的签名可能具有一定程度的虚假性
			MD5执行速度较快,但其安全性相对SHA稍差一点
		> SHA算法
			SHA (Secure Hash Algorithm,安全散列算法)
			已成为美国国家标准,它可以产生160位的签名(20字节的长度)
			为了更加安全,现在已经开发了SHA-256和SHA-512等
		> DH算法
			DH (Diffie-Hellman,迪菲-赫尔曼)
				— 一般被用来实现IPSec中的Internet密钥交换
				—  DH算法将对称加密算法和非对称加密算法综合在一起
			DH算法支持可变的密钥长度
				— 其中DH组1为768,DH组2为1024,DH组5为1536,DH组14为2048
				— 密钥的有效长度越长,安全性也就越强,同时CPU的资源占用率也就越高

 	- 校验文件
 		> 网站下载的文件(例如www.kali.org)
2)配置IKE(Internet Key Exchang
最低0.47元/天 解锁文章
eNSP—防火墙+IPSec 站点到站点的虚拟专用网
m0_46237205的博客
04-10 6273
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
华为eNSP IPsec VPN配置指南
外游者
04-10 9682
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP配置IPsec VPN的步骤,并解析每一条关键命令的含义。
华为eNSP网络实验之IPsec协议学习
最新发布
weixin_44923273的博客
04-24 575
华为ensp网络实验之IPsec学习
eNSP虚拟专用网IPSec配置
m0_46237205的博客
10-27 6766
实验拓扑图如下: 实验目的:把两个私网打通,PC1可以ping通PC2。 1、PC的配置: PC1 PC2 2、R1基本信息配置: < Huawei >sys [Huawei]undo info-center enable [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.10.254 24 [Huawei-GigabitEthernet0/0/0]undo shut [Huawei-GigabitEthernet
华为HCIA进阶笔记:IPsec VPN原理与配置
君逍遥o
06-20 5825
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。lPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。
华为eNSP IPsec VPN配置
热门推荐
tbhhjsnd的博客
06-17 1万+
现在可以看到PC1和PC 2是可以互相通信的, 通过按照上述步骤在eNSP配置站点到站点的IPsec VPN,我们建立了安全的通信。安全关联(Security Association,SA): 定义了通信双方之间的安全参数,如密钥、加密算法、认证算法等。[VR1] interface gigabitethernet 0/0/0 // 进入GigabitEthernet0/0/1接口配置模式。站点到站点(Site-to-Site): 用于连接不同地理位置的网络,如分公司和总部之间的连接。
eNSP-在USG5500防火墙上配置IPsec虚拟专用网
2302_76629181的博客
03-23 1551
华为eNSP防火墙上配置网关之间的IPsec VPN以实现数据安全通信
eNSP实验——防火墙 IPSec 配置
记录
05-01 3833
IPsec(Internet Protocol Security)​​ 是一种网络层安全协议,用于在公共网络(如互联网)上建立安全的端到端加密通信通道(VPN)。它通过对IP数据包进行加密和认证,确保数据的​​机密性​​、​​完整性​​和​​身份验证​​,广泛应用于企业分支机构互联、远程办公等场景。
浅谈虚拟专用网络隧道常用技术 华为Ensp中GRE over IPSec配置案列命令详情
weixin_53142987的博客
09-12 1017
GRE VPN可以在企业分支和总部之间建立虚拟的隧道,实现企业分支和总部之间内网的互通,可以在虚拟的隧道间传输组播报文。GRE协议在公网中的报文是明文形式传输,存在报文被泄密的安全隐患。GRE over IPSec 融合GRE和IPSec两种技术,先将报文用GRE封装起来,在通过IPSec进行加密传输,兼顾了IPSec不能传输组播报文的短板,同时也兼顾了GRE没有加密传输的缺陷。3.总部PC1访问分支PC2,模拟在公网抓包,此时数据报是ESP加密的,看不到企业内网的IP,使用了出口IP。
eNSP实战:USG5500防火墙IPsec虚拟专用网配置详解
weixin_29322855的博客
02-27 444
本文详细讲解了在eNSP模拟环境中配置华为USG5500防火墙IPsec虚拟专用网的完整流程。通过清晰的拓扑设计、基础网络配置、安全策略制定以及IPsec核心四步配置法,手把手指导读者建立安全的站点到站点加密隧道,并利用抓包分析验证数据加密效果,是网络工程师掌握IPsec实战技能的实用指南。
eNSP实战:基于USG5500防火墙的IPsec虚拟专用网配置详解
Apple的专栏
03-08 423
本文详细介绍了在华为eNSP模拟环境中,基于USG5500防火墙配置IPsec虚拟专用网的完整实战流程。通过清晰的拓扑设计、基础网络配置、安全策略设定及核心IPsec步骤分解,手把手指导读者从零搭建安全的加密隧道,并提供了实用的排错心法,帮助网络工程师与学习者深入掌握企业级虚拟专用网部署的关键技术与实践要点。
华为eNSP实战:USG5500防火墙IPsec虚拟专用网配置避坑指南(附拓扑图)
weixin_29324401的博客
03-10 271
本文提供了一份详尽的华为eNSP模拟器中USG5500防火墙配置IPsec虚拟专用网的实战指南。文章通过清晰的拓扑图,逐步解析了基础网络配置、安全策略设定、IPsec核心参数(包括ACL、提议、对等体与策略)的配置要点,并重点总结了路由规划、策略方向、ACL镜像等常见配置陷阱与高效的故障排查技巧,帮助网络工程师快速搭建并调试安全的站点间虚拟专用网连接。
华为eNSP配置专题-IPSec配置
日拱一卒的博客
10-26 4567
华为eNSP配置专题-IPSec配置
L2TP over IPSEC配置实例
永远是少年
08-24 7854
今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器,实现了L2TP over ipsec架构配置。 阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。 关于Client-Initiated L2TP配置,请参考下列文章,在该文章中有详细介绍,本文中就不过多赘述了。 L2TP 配置实例——Client-Initiated 一、实验拓扑及目的 实验拓扑如上所示,现在要求配置L2TP Over IPSEC,其中本地使用Vmware虚拟出一台W
ENSP期末神帖:防火墙GRE/IPSec/GRE over IPSec点对点配置 保姆级实验+避坑指南(附拓扑/配置文档)
2301_78202824的博客
06-01 3527
(没有这个策略,在防火墙出口可以接收到GRE报文,虽然防火墙有10网段路由,但是在近PC端的接口是没有icmp包的,这时候会命中default策略拒绝掉。)其中采用的方式是将tunnel划分到untrust ,此时的安全策略(控制普通报文到tunnel接口的策略)是将目的区域dmz改成了untrust。接下来又是重复的操作,这里gre over ipsec是我最开始配置的实验,当时不知道g0/0/0接口的特殊,所以配置放在文档中自行查找。//创建策略规则,越先配置的安全策略规则位置越靠前,优先级越高。
ENSP L2TP Over IPSec
Shass的博客
10-29 1720
本文拓扑沿用上一篇文章《》,相关配置有差异。
eNSP模拟器上使用USG 6000v配置虚拟专用网
邱华林的博客
05-30 3789
Hub-Spoke组网的专用网络搭建
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值