色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

怎樣通過IPsec野蠻模式實現分支之間相互通信呢

工程師鄧生 ? 來源:網絡技術干貨圈 ? 作者:圈圈 ? 2022-09-09 10:10 ? 次閱讀

一、組網及說明

86440bfa-2fcf-11ed-ba43-dac502259ad0.png

注:如無特別說明,描述中的 FW1 或 MSR1 對應拓撲中設備名稱末尾數字為 1 的設備,FW2 或 MSR2 對應拓撲中設備名稱末尾數字為 2 的設備,以此類推;另外,同一網段中,IP 地址的主機位為其設備編號,如 FW1 的 g0/0 接口若在 1.1.1.0/24 網段,則其 IP 地址為 1.1.1.1/24,以此類推。

二、實驗需求

FW1代表中心節點,FW2和FW3代表分支。

FW上使用環回口Loopback0模擬業務網段。

分支分別和中心節點通信,各分支節點之間可以相互通信。

三、配置步驟

3.1 IP、路由、安全域

FW1

#

interfaceLoopBack0

ipaddress10.1.1.1255.255.255.255

#

interfaceGigabitEthernet1/0/1

portlink-moderoute

comboenablecopper

ipaddress2.2.2.1255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static10.2.2.1321.1.1.2

iproute-static10.3.3.1322.2.2.3

#

security-policyip

rule0nameany

actionpass

FW2

#

interfaceLoopBack0

ipaddress10.2.2.1255.255.255.255

#

interfaceGigabitEthernet1/0/0

portlink-moderoute

comboenablecopper

ipaddress1.1.1.2255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static0.0.0.001.1.1.1

#

security-policyip

rule0nameany

actionpass

FW3

#

interfaceLoopBack0

ipaddress10.3.3.1255.255.255.0

#

interfaceGigabitEthernet1/0/0

portlink-moderoute

comboenablecopper

ipaddress2.2.2.3255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static0.0.0.002.2.2.1

#

security-policyip

rule0nameany

actionpass

#

3.2 IKE部分

FW1

#

ikekeychaink1

pre-shared-keyhostnamef2keycipher$c$3$rFTHo6O4pPLOHvZEwmSFGc3gjFRY7Q75Qw==

#

ikekeychaink2

pre-shared-keyhostnamef3keycipher$c$3$lo0leXtmx41UHB7Vxok9kFeOJxZnJZ0miw==

#

ikeprofilepf

keychaink1

keychaink2

dpdinterval10on-demand

exchange-modeaggressive

local-identityfqdnf1

matchremoteidentityfqdnf2

matchremoteidentityfqdnf3

FW2

#

ikekeychaink1

pre-shared-keyaddress1.1.1.1255.255.255.255keycipher$c$3$v44JHWonfkj3w9BqDNkQ+LEIFRiUlBKUgw==

#

ikeprofilepf

keychaink1

exchange-modeaggressive

local-identityfqdnf2

matchremoteidentityfqdnf1

FW3

#

ikekeychaink1

pre-shared-keyaddress2.2.2.1255.255.255.255keycipher$c$3$PKsnAPnnOgZicN73gXZd3L3ZO9OR3IuS1A==

#

ikeprofilepf

keychaink1

exchange-modeaggressive

local-identityfqdnf3

matchremoteidentityfqdnf1

3.3 IPsec部分

FW1

#

acladvanced3000

rule0permitipsource10.1.1.10destination10.2.2.10

rule5permitipsource10.1.1.10destination10.3.3.10

rule10permitipsource10.3.3.10destination10.2.2.10

rule15permitipsource10.2.2.10destination10.3.3.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicy-templatept1

transform-setts

securityacl3000

ike-profilepf

#

ipsecpolicyply1isakmptemplatept

FW2

#

acladvanced3000

rule0permitipsource10.2.2.10destination10.1.1.10

rule5permitipsource10.2.2.10destination10.3.3.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicyply1isakmp

transform-setts

securityacl3000

remote-address1.1.1.1

ike-profilepf

FW3

#

acladvanced3000

rule0permitipsource10.3.3.10destination10.1.1.10

rule5permitipsource10.3.3.10destination10.2.2.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicyply1isakmp

transform-setts

securityacl3000

remote-address2.2.2.1

ike-profilepf

四、配置關鍵點

分支和中心節點之間的隧道建立要通過分支來觸發,即FW2向FW1發起訪問,FW3向FW1發起訪問。

分支和分支之間建立隧道需要兩邊觸發,即FW2向FW3發起訪問,FW3向FW2發起訪問。

分支的感興趣流除了目的是中心節點外,還需要包括到分支的。

FW1上的ipsec sa如下:

-------------------------------

Interface:GigabitEthernet1/0/0

-------------------------------



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:1

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:1.1.1.1

remoteaddress:1.1.1.2

Flow:

souraddr:10.1.1.1/255.255.255.255port:0protocol:ip

destaddr:10.2.2.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3754823141(0xdfce0de5)

ConnectionID:4294967298

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3562

Maxreceivedsequence-number:4

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:1056998950(0x3f008626)

ConnectionID:4294967299

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3562

Maxsentsequence-number:4

UDPencapsulationusedforNATtraversal:N

Status:Active



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:2

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:1.1.1.1

remoteaddress:1.1.1.2

Flow:

souraddr:10.3.3.1/255.255.255.255port:0protocol:ip

destaddr:10.2.2.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3260450656(0xc2568760)

ConnectionID:4294967300

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3575

Maxreceivedsequence-number:8

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:2013923382(0x780a0836)

ConnectionID:4294967301

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3575

Maxsentsequence-number:5

UDPencapsulationusedforNATtraversal:N

Status:Active

-------------------------------

Interface:GigabitEthernet1/0/1

-------------------------------



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:0

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:2.2.2.1

remoteaddress:2.2.2.3

Flow:

souraddr:10.1.1.1/255.255.255.255port:0protocol:ip

destaddr:10.3.3.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:2022161426(0x7887bc12)

ConnectionID:4294967296

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3554

Maxreceivedsequence-number:4

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:3633752750(0xd896aaae)

ConnectionID:4294967297

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3554

Maxsentsequence-number:4

UDPencapsulationusedforNATtraversal:N

Status:Active



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:3

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:2.2.2.1

remoteaddress:2.2.2.3

Flow:

souraddr:10.2.2.1/255.255.255.255port:0protocol:ip

destaddr:10.3.3.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3168528224(0xbcdbe760)

ConnectionID:4294967302

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3583

Maxreceivedsequence-number:5

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:2761355159(0xa496ef97)

ConnectionID:4294967303

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3583

Maxsentsequence-number:5

UDPencapsulationusedforNATtraversal:N

Status:Active

實驗結束!



審核編輯:劉清

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • IPSec
    +關注

    關注

    0

    文章

    59

    瀏覽量

    22808
  • MSR
    MSR
    +關注

    關注

    0

    文章

    18

    瀏覽量

    8001

原文標題:H3C實驗 | 通過IPsec野蠻模式實現分支之間相互通信

文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    工廠有多臺PLC時,不同網段之間如何實現相互訪問?

    ,不同網段的PLC通訊變得尤為重要。 隨著工業網絡的發展和工業4.0概念的推廣,工廠內部通常會構建多層次的網絡架構,包括設備層、控制層和管理層等多個層級。為了確保整個系統的高效運行,不同層級之間需要進行信息交換。此時兩個不同網段的PLC并不能相互通信,但同
    的頭像 發表于 10-28 17:23 ?299次閱讀
    工廠有多臺PLC時,不同網段<b class='flag-5'>之間</b>如何<b class='flag-5'>實現</b><b class='flag-5'>相互</b>訪問?

    ipsec組網通過其加密和驗證機制提供高安全性

    ipsec組網是一種在公用網絡上建立專用網絡的技術,它通過在IP層對數據包進行加密和驗證來保證通信的安全性。IPSec VPN通過在公網上為
    的頭像 發表于 10-18 10:37 ?350次閱讀

    IPSec VPN解決方案讓遠程辦公更加輕松可靠

    隨著信息化技術的發展,各種通信模式也逐漸應用到企業生產經營的各個環節中,越來越多的資源管理系統也得到部署和應用,如ERP系統、OA系統、郵箱系統、財務系統等。企業出差員工、分支機構及合作伙伴都會
    的頭像 發表于 08-24 12:30 ?769次閱讀
    <b class='flag-5'>IPSec</b> VPN解決方案讓遠程辦公更加輕松可靠

    深信服防火墻和IR700建立IPSec VPN的配置說明

    ,拉到最下邊選擇第3方對接,第1階段,并選擇新增。 填寫項目名稱,將設備地址類型選擇為對端是動態ip并設置相應的預共享密鑰,點擊高級。 配置第1階段詳盡參數,模式必須為野蠻模式,并設置FQDN和算法
    發表于 07-26 07:43

    一文詳解動態多點VPN技術

    分支之間并 不配置持續的隧道。當一個分支需要向另一個分支發送數據包時,兩個分支之間
    發表于 07-26 06:07

    InRouter與Juniper SRX如何建立IPSec隧道配置?

    Task Force (IETF) 定義的安全標準框架,在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接的安全——在兩個公共網關間提供私密數據封包服務IPSEC是一套比較完整成體系的VPN
    發表于 07-25 07:32

    IR915和IR615建立IPsec VPN實現子網互通

    如下圖,配置完成后點擊應用并保存 IR615端: VPN-IPsec隧道配置,點擊新增即可對隧道進行配置 隧道配置如下,對端地址為IR915的固定IP,協商模式選擇野蠻模式,主
    發表于 07-24 07:26

    如何讓兩個ESP8266可以連續地相互通信

    客戶端,它也起作用,但現在我想設置兩個ESP8266以便它連續相互通信,為此我花了很多天的時間,但沒有找到任何可以幫助我這樣做的示例代碼,如果有任何示例代碼準備好,請發送我。謝謝。。
    發表于 07-12 10:12

    ESP32 WIFI SOFTAP模式可以有多個STA連接到它并讓STA相互通信嗎?

    我不清楚SOFT AP是否可以像一個普通的 AP 那樣,可以有多個 STA 連接到它并讓 STA 相互通信?
    發表于 06-20 06:27

    PLC之間互通的嗎

    在工業自動化領域中,PLC(可編程邏輯控制器)的應用日益廣泛,其強大的控制功能和靈活的編程方式使得它在各種復雜的生產環境中都能發揮出關鍵的作用。而在這些應用中,PLC之間互通性顯得尤為重要,它不僅能夠實現設備
    的頭像 發表于 06-15 11:24 ?638次閱讀

    兩塊esp32-c3如何實現藍牙相互通信

    各位大佬,求問兩塊esp32-c3如何實現藍牙相互通信?應該參考vscode的esp-idf中哪個例程
    發表于 06-11 06:18

    SSL 、IPSec、MPLS和SD-WAN的對比分析

    ? VPN類型 實現方式? 應用場景? 優勢 SSL VPN 基于SSL/TLS協議 傳輸層加密 遠程訪問企業 內部資源 易于部署和管理 無需額外客戶端 IPSec VPN 基于IPsec協議,網絡
    的頭像 發表于 05-30 15:02 ?1720次閱讀

    G474的FDCAN在回環模式下可以正常收發,但是在正常模式下兩塊主板無法相互通訊是什么原因?

    G474 的FDCAN在回環模式下可以正常收發,但是在正常模式下兩塊主板無法相互通訊。切換成經典模式可以實現兩個主板通訊,但是在FDCAN
    發表于 03-08 08:04

    SD-WAN案例:總部(MPLS)與分支(普通寬帶)的互聯互通

    某制造業企業面臨著總部采用MPLS專線而分支機構使用普通寬帶的網絡互聯挑戰。這種情況下,如何降低網絡成本,提高網絡效率成為當前亟需解決的問題。本文將介紹該企業如何通過部署SD-WAN實現互聯
    的頭像 發表于 02-26 16:51 ?641次閱讀

    sdwan和ipsec組網的區別

    sdwan和ipsec組網的區別? SD-WAN和IPsec都是用于網絡組網的技術,但它們在實現和功能上有很大的區別。本文將詳細介紹SD-WAN和IPsec的定義、原理、優缺點以及使用
    的頭像 發表于 01-17 15:37 ?2167次閱讀
    主站蜘蛛池模板: 久久国产精品高清一区二区三区| 日韩一区二区在线免费观看| 男人的天堂色| 丝瓜涩涩屋黄瓜香蕉丝瓜| 亚洲2023无矿砖码砖区| caoporm国产精品视频免费| 丰满女朋友在线观看中文| 久久亚洲高清观看| 午夜想想爱午夜剧场| 苍井空教师BD在线观看全集| 黄色免费网址在线观看| 翁熄性放纵交换01| 把英语老师强奷到舒服动态图 | 男人和女人一级黄色大片| 亚洲国产区中文在线观看| 高挑人妻无奈张开腿| 免费成年人在线观看视频| 伊在香蕉国产在线视频| 国产一区亚洲| 亚洲.日韩.欧美另类| 国产精品久久久亚洲偷窥女厕| 热久久2018亚洲欧美| 中文字幕一区久久久久| 菠萝菠萝蜜视频在线看1| 久久久久久久久久毛片精品美女| 亚洲国产日韩制服在线观看| 国产精品高清m3u8在线播放| 无羞耻肉动漫在线观看| 国产精品日本欧美一区二区| 无人区大片中文字幕在线 | 国产强奷伦奷片| 亚洲免费大全| 浪荡女天天不停挨CAO日常视| 2020国产成人精品视频人| 女性酥酥影院| 丰满人妻按磨HD| 亚洲精品国产熟女久久久| 良家人妻无码专区九色颜射| chinese国语露脸videos| 无套内射纹身女视频| 久久精品国产eeuss|