华为ensp中路由器IPSec VPN原理及配置命令(超详解)

2024-05-13 16:52

本文主要是介绍华为ensp中路由器IPSec VPN原理及配置命令(超详解),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

作者主页:点击!

ENSP专栏:点击!

创作时间:2024年5月13日2点11分


虚拟专用网络(VPN)是一种通过公用网络建立安全连接的技术。它可以使您的设备看起来像是连接到另一个网络,例如公司或家庭网络,即使您实际上位于其他位置。

VPN的工作原理

虚拟专用网络(VPN)通过在您的设备和远程服务器之间创建加密隧道来工作。该隧道可保护您的互联网流量免受窥探,即使您使用的是公共 Wi-Fi 网络。

VPN 的优点

使用 VPN 有很多优点,包括:

  • 保护您的在线隐私:VPN 可以隐藏您的 IP 地址并加密您的互联网流量,这可以帮助您保护您的在线隐私并防止黑客窃取您的数据。
  • 绕过地理限制:VPN 可用于访问受地理限制的网站和服务。例如,如果您在美国,可以使用 VPN 访问仅在英国可用的网站。
  • 安全地连接到公司网络:VPN 可用于安全地连接到公司网络,即使您不在办公室。这对于远程工作或访问公司资源非常有用。
  • 护您的 Wi-Fi 连接保:如果您经常使用公共 Wi-Fi 网络,VPN 可以帮助保护您的连接免受窥探。

VPN的模式

VPN 有两种主要模式:隧道模式和传输模式。

隧道模式

隧道模式是 VPN 的最常见模式。在这种模式下,VPN 设备会将整个数据包(包括 IP 头部和有效载荷)封装在一个新的 IP 数据包中,然后通过安全隧道路由。这将隐藏您的原始 IP 地址并加密您的数据。

隧道模式通常用于以下情况:

  • 连接两个或多个网络,例如公司总部和分支机构。
  • 保护敏感数据,例如信用卡信息和医疗记录。
  • 绕过地理限制。

传输模式

传输模式主要用于保护端到端通信。在这种模式下,VPN 设备只会加密和解密数据包的有效载荷,而不会修改数据包的头部信息。这可以降低 VPN 的开销,但会泄露您的原始 IP 地址。

传输模式通常用于以下情况:

  • 保护两台设备之间的通信,例如笔记本电脑和服务器。
  • 远程访问公司网络。
特性隧道模式传输模式
加密加密整个数据包只加密有效载荷
开销较高较低
安全性较高较低
典型用途连接网络、保护敏感数据、绕过地理限制

保护端到端通信、远程访问网络

VPN的加密和验证

加密算法可以分为两大类:对称加密算法和非对称加密算法。

对称加密算法

对称加密算法是指加密和解密使用相同密钥或相关密钥的加密算法。这意味着,如果知道加密密钥,就可以轻松地计算出解密密钥。因此,在使用对称加密算法时,密钥的安全性至关重要。

对称加密算法通常具有以下特点:

  • 加密和解密速度快
  • 计算量小
  • 易于实现

举例:

DES

数据加密标准 (DES) 是一种由美国国家标准技术研究所 (NIST) 发布的对称加密算法,曾是广泛使用的标准加密算法。DES 使用 64 位密钥,将明文分成 64 位的块进行加密和解密。

然而,DES 的密钥长度只有 64 位,安全性已不再满足现代需求。在 1997 年,DES 被破解,因此不再被推荐用于新的应用。

3DES

三重数据加密标准 (3DES) 是为了增强 DES 安全性而提出的改进算法。3DES 使用 DES 算法对明文进行三次加密和解密,每次使用不同的密钥。3DES 使用 168 位密钥,安全性比 DES 高得多。

3DES 的安全性仍然被认为是足够的,但其加密速度和计算量都比现代加密算法要高。

AES

高级加密标准 (AES) 是美国国家标准技术研究所 (NIST) 发布的一种对称加密算法,是目前最流行的对称加密算法之一。AES 使用 128 位、192 位或 256 位密钥,将明文分成 128 位的块进行加密和解密。

AES128、256 和 512 是 AES 的三种密钥长度版本。它们的区别在于密钥长度的不同。

  • AES128 使用 128 位密钥,是 AES 的最常见版本。
  • AES256 使用 192 位密钥,具有更高的安全性。
  • AES512 使用 256 位密钥,具有最高的安全性。

非对称加密算法

非对称加密算法是指加密和解密使用不同密钥的加密算法。这意味着,即使知道公钥(用于加密),也无法计算出私钥(用于解密)。因此,非对称加密算法可以用于安全地交换密钥。

非对称加密算法通常具有以下特点:

  • 加密和解密速度慢
  • 计算量大
  • 难以实现

举例:

Diffie-Hellman 密钥交换 (DH)

Diffie-Hellman 密钥交换是一种非对称加密协议,用于安全地在公共信道上交换密钥。

DH 协议的优点是:可以安全地在公共信道上交换密钥,不需要预先共享密钥

DH 协议的缺点是:加密和解密速度慢,计算量大

group1、2、5、7 是 DH 协议中常用的素数群。素数群是指由一个素数 p 和其所有非零模 p 剩余的元素组成的集合。在 DH 协议中,素数群用于计算公钥和共享密钥。

group 的数字越大,安全性越高,但计算量也越大。在实际应用中,应根据安全性和性能需求选择合适的 group。

特性对称加密算法非对称加密算法
密钥加密和解密使用相同密钥或相关密钥

加密和解密使用不同密钥

加密/解密速度
计算量
易用性易于实现难以实现
典型应用数据加密、通信加密

密钥交换、数字签名

IPSec 安全关联

IPSec 安全关联 (SA) 是 IPSec 协议中用于建立安全通信通道的基本单元。SA 包含用于加密和解密数据包的密钥、算法和其他参数。

SA 的类型

IPSec SA 有两种类型:传输模式和隧道模式

SA 的建立通常需要以下步骤:

  1. IKE 阶段 1:**IKE 阶段 1 用于建立用于身份验证和密钥交换的安全通道。
  2. IKE 阶段 2:**IKE 阶段 2 用于协商 SA 的具体参数,例如加密算法、密钥长度和生存时间。

SA 的安全性取决于以下因素:

  • 加密算法:应使用强加密算法,例如 AES-256。
  • 密钥长度:密钥长度应足够长,以防止被破解。
  • 生存时间:SA 的生存时间应设置得合理,既要保证安全,又要避免频繁的 SA 重建。

总结

IPSec 安全关联是 IPSec 协议中用于建立安全通信通道的基本单元。SA 的安全性对于保护网络通信至关重要。

实验拓扑

配置VPN将192.168.1.0 区域和 192.168.2.0 区域可以互相访问

AR1的基本配置

基本的ip和路由配置很简

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 100.0.0.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route0s	
[Huawei]ip route-s	
[Huawei]ip route-static 0.0.0.0 0 100.0.0.2
[Huawei]

配置acl策略

[huawei]acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.1
68.2.0 0.0.0.255
[Huawei-acl-adv-3000]rule permit ip source any destination any 
[Huawei-acl-adv-3000]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 3000
  • rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 :此规则拒绝来自 192.168.1.0 至 192.168.1.255(含)范围内的 IP 地址的流量,这些 IP 地址的发往 192.168.2.0 至 192.168.2.255(含)范围内的 IP 地址。
  • rule permit ip source any destination any :此规则允许所有其他流量(任何源 IP 和任何目标 IP)。

此配置定义了一个 IKE 提案,其中 SHA-1 用于身份验证,预共享密钥用于身份验证方法,AES-CBC 具有 128 位密钥用于加密,DH 组 2 用于密钥交换。

[Huawei]ike proposal 10 
[Huawei-ike-proposal-10]authentication-algorithm sha1
[Huawei-ike-proposal-10]authentication-method pre-share 
[Huawei-ike-proposal-10]encryption-algorithm aes-cbc-128
[Huawei-ike-proposal-10]dh group2
[Huawei-ike-proposal-10]q
  • [Huawei]ike proposal 10: Creates an IKE proposal named "10".
  • [Huawei-ike-proposal-10] :进入 IKE 提案 10 的配置模式。
  • authentication-algorithm sha1 :将 IKE 的身份验证算法设置为 SHA-1。此算法用于在 IKE 协商期间验证其他设备的身份。
  • authentication-method pre-shared :将IKE的认证方法设置为预共享密钥。这意味着两个路由器必须共享一个预配置的密钥才能建立连接。
  • encryption-algorithm aes-cbc-128 :使用 128 位密钥将 IKE 数据的加密算法设置为 AES-CBC。此算法对 IKE 协商期间交换的数据进行加密。
  • dh group2 :将 Diffie-Hellman (DH) 组设置为组 2。DH 是一种密钥交换协议,用于安全地建立用于加密的共享密钥。组 2 提供中等级别的安全性。

该配置提供了在华为路由器上设置IPSec VPN对端连接的基本示例。请记住替换弱预共享密钥,并考虑使用 IKEv2 在实际场景中实现更安全的通信。

[Huawei]ike peer r1-r3 v1
[Huawei-ike-peer-r1-r3]pre-shared-key cipher abc-123
[Huawei-ike-peer-r1-r3]remote-address 101.0.0.2
[Huawei-ike-peer-r1-r3]ike-proposal 10
[Huawei-ike-peer-r1-r3]q
  • [Huawei]ike peer r1-r3 v1 :使用 IKEv1 创建名为“r1-r3”的 IPSec VPN 对等连接。

  • [Huawei-ike-peer-r1-r3] :进入对等连接“r1-r3”的配置模式。

  • pre-shared-key cipher abc-123 :将用于身份验证的预共享密钥设置为“abc-123”。注意:这是一个非常弱的键,仅用于演示目的。在实际场景中,应使用强随机预共享密钥。

  • remote-address 101.0.0.2 :将远程对等体的 IP 地址指定为 101.0.0.2。

  • ike-proposal 10 :引用之前配置的名为“10”的 IKE 建议(假设您遵循了上一个提示中的配置)。该提案定义了在VPN建立期间用于安全通信的特定算法和参数。

  • [Huawei-ike-peer-r1-r3]q :退出对等连接“r1-r3”的配置模式。

配置acl允许流量通过

[Huawei]acl 3001
[Huawei-acl-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255
[Huawei-acl-adv-3001]q

此配置定义了一个名为“aqty1”的 IPSec 提案,该提案使用 SHA-1 进行 ESP 身份验证,使用 AES-128 进行 ESP 加密。

[Huawei]ipsec proposal aqty1
[Huawei-ipsec-proposal-aqty1]esp authentication-algorithm  sha1
[Huawei-ipsec-proposal-aqty1]esp encryption-algorithm aes-128
  • [Huawei-ipsec-proposal-aqty1] :进入 IPSec 提案“aqty1”的配置模式。
  • esp authentication-algorithm sha1 :将 ESP(封装安全负载)标头的身份验证算法设置为 SHA-1。该算法用于确保VPN隧道内传输的数据包的完整性。
  • esp encryption-algorithm aes-128 :使用 128 位密钥将 ESP 有效负载的加密算法设置为 AES。此算法对 VPN 隧道内的数据包进行加密以确保机密性。


该配置定义了IPSec策略,并将其应用于华为路由器上的接口。

[Huawei]ipsec policy  aqcl 10 isakmp 
[Huawei-ipsec-policy-isakmp-aqcl-10]ike-peer r1-r3	
[Huawei-ipsec-policy-isakmp-aqcl-10]proposal aqty1
[Huawei-ipsec-policy-isakmp-aqcl-10]security acl 3001
[Huawei-ipsec-policy-isakmp-aqcl-10]q
[Huawei]int g0/0/1	
[Huawei-GigabitEthernet0/0/1]ipsec policy aqcl
[Huawei-GigabitEthernet0/0/1]q
  • [Huawei]ipsec policy aqcl 10 isakmp :创建策略 ID 为 10 的名为“aqcl”的 IPSec 策略,并指定用于密钥交换 (isakmp) 的 IKEv1。
  • [Huawei-ipsec-policy-isakmp-aqcl-10] :进入IPSec策略“aqcl”的配置模式。
  • ike-peer r1-r3 :引用以前定义的名为“r1-r3”的 IKE 对等连接。这将与 VPN 隧道的远程对等体建立关联。
  • proposal aqty1 :引用之前配置的名为“aqty1”的 IPSec 提案。该提案定义了用于 VPN 隧道内 ESP 身份验证和加密的特定算法。
  • security acl 3001 :将名为“3001”的 ACL(访问控制列表)与此 IPSec 策略相关联。此 ACL 可能定义了 VPN 隧道将保护的流量(假设您事先配置了 ACL 3001)。
  • [Huawei-GigabitEthernet0/0/1]ipsec policy aqcl :将名为“aqcl”的 IPSec 策略应用于此接口。这将在接口上启用 IPSec 功能,并且与关联的 ACL (3001) 匹配的任何流量都将使用与对等体“r1-r3”建立的 IPSec 隧道进行保护。

AR2的基本配置

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 100.0.0.2 24[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 101.0.0.1 24
[Huawei]int lo0
[Huawei-LoopBack0]ip add 200.0.0.1 24

AR3同理命令就不过多介绍

注意IP地址默认路由和ACL策略有所不同 分清楚源IP和目标IP

查看配置

AR1

<Huawei>dis ike peer

显示IKE的配置信息

<Huawei>display ipsec proposal

显示IPSec安全提议的配置信息

<Huawei>display ipsec policy

显示IpSec安全策略的配置信息

<Huawei>display ipsec statistics esp

显示数据包的统计信息

其余的自己查看

显示IKE SA
display ike sa显示IPSec SA
display ipsec sa

测试

服务器的IP配置

访问成功

这篇关于华为ensp中路由器IPSec VPN原理及配置命令(超详解)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/986283

相关文章

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Zookeeper安装和配置说明

一、Zookeeper的搭建方式 Zookeeper安装方式有三种,单机模式和集群模式以及伪集群模式。 ■ 单机模式:Zookeeper只运行在一台服务器上,适合测试环境; ■ 伪集群模式:就是在一台物理机上运行多个Zookeeper 实例; ■ 集群模式:Zookeeper运行于一个集群上,适合生产环境,这个计算机集群被称为一个“集合体”(ensemble) Zookeeper通过复制来实现

CentOS7安装配置mysql5.7 tar免安装版

一、CentOS7.4系统自带mariadb # 查看系统自带的Mariadb[root@localhost~]# rpm -qa|grep mariadbmariadb-libs-5.5.44-2.el7.centos.x86_64# 卸载系统自带的Mariadb[root@localhost ~]# rpm -e --nodeps mariadb-libs-5.5.44-2.el7

hadoop开启回收站配置

开启回收站功能,可以将删除的文件在不超时的情况下,恢复原数据,起到防止误删除、备份等作用。 开启回收站功能参数说明 (1)默认值fs.trash.interval = 0,0表示禁用回收站;其他值表示设置文件的存活时间。 (2)默认值fs.trash.checkpoint.interval = 0,检查回收站的间隔时间。如果该值为0,则该值设置和fs.trash.interval的参数值相等。

NameNode内存生产配置

Hadoop2.x 系列,配置 NameNode 内存 NameNode 内存默认 2000m ,如果服务器内存 4G , NameNode 内存可以配置 3g 。在 hadoop-env.sh 文件中配置如下。 HADOOP_NAMENODE_OPTS=-Xmx3072m Hadoop3.x 系列,配置 Nam

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

wolfSSL参数设置或配置项解释

1. wolfCrypt Only 解释:wolfCrypt是一个开源的、轻量级的、可移植的加密库,支持多种加密算法和协议。选择“wolfCrypt Only”意味着系统或应用将仅使用wolfCrypt库进行加密操作,而不依赖其他加密库。 2. DTLS Support 解释:DTLS(Datagram Transport Layer Security)是一种基于UDP的安全协议,提供类似于

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

hdu4407(容斥原理)

题意:给一串数字1,2,......n,两个操作:1、修改第k个数字,2、查询区间[l,r]中与n互质的数之和。 解题思路:咱一看,像线段树,但是如果用线段树做,那么每个区间一定要记录所有的素因子,这样会超内存。然后我就做不来了。后来看了题解,原来是用容斥原理来做的。还记得这道题目吗?求区间[1,r]中与p互质的数的个数,如果不会的话就先去做那题吧。现在这题是求区间[l,r]中与n互质的数的和

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal