一区二区三区三上|欧美在线视频五区|国产午夜无码在线观看视频|亚洲国产裸体网站|无码成年人影视|亚洲AV亚洲AV|成人开心激情五月|欧美性爱内射视频|超碰人人干人人上|一区二区无码三区亚洲人区久久精品

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫(xiě)文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      怎樣通過(guò)IPsec野蠻模式實(shí)現(xiàn)分支之間相互通信呢

      工程師鄧生 ? 來(lái)源:網(wǎng)絡(luò)技術(shù)干貨圈 ? 作者:圈圈 ? 2022-09-09 10:10 ? 次閱讀
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

      一、組網(wǎng)及說(shuō)明

      86440bfa-2fcf-11ed-ba43-dac502259ad0.png

      注:如無(wú)特別說(shuō)明,描述中的 FW1 或 MSR1 對(duì)應(yīng)拓?fù)渲性O(shè)備名稱末尾數(shù)字為 1 的設(shè)備,F(xiàn)W2 或 MSR2 對(duì)應(yīng)拓?fù)渲性O(shè)備名稱末尾數(shù)字為 2 的設(shè)備,以此類推;另外,同一網(wǎng)段中,IP 地址的主機(jī)位為其設(shè)備編號(hào),如 FW1 的 g0/0 接口若在 1.1.1.0/24 網(wǎng)段,則其 IP 地址為 1.1.1.1/24,以此類推。

      二、實(shí)驗(yàn)需求

      FW1代表中心節(jié)點(diǎn),F(xiàn)W2和FW3代表分支。

      FW上使用環(huán)回口Loopback0模擬業(yè)務(wù)網(wǎng)段。

      分支分別和中心節(jié)點(diǎn)通信,各分支節(jié)點(diǎn)之間可以相互通信。

      三、配置步驟

      3.1 IP、路由、安全域

      FW1

      #

interfaceLoopBack0

ipaddress10.1.1.1255.255.255.255

#

interfaceGigabitEthernet1/0/1

portlink-moderoute

comboenablecopper

ipaddress2.2.2.1255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static10.2.2.1321.1.1.2

iproute-static10.3.3.1322.2.2.3

#

security-policyip

rule0nameany

actionpass

      FW2

      #

interfaceLoopBack0

ipaddress10.2.2.1255.255.255.255

#

interfaceGigabitEthernet1/0/0

portlink-moderoute

comboenablecopper

ipaddress1.1.1.2255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static0.0.0.001.1.1.1

#

security-policyip

rule0nameany

actionpass

      FW3

      #

interfaceLoopBack0

ipaddress10.3.3.1255.255.255.0

#

interfaceGigabitEthernet1/0/0

portlink-moderoute

comboenablecopper

ipaddress2.2.2.3255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static0.0.0.002.2.2.1

#

security-policyip

rule0nameany

actionpass

#

      3.2 IKE部分

      FW1

      #

ikekeychaink1

pre-shared-keyhostnamef2keycipher$c$3$rFTHo6O4pPLOHvZEwmSFGc3gjFRY7Q75Qw==

#

ikekeychaink2

pre-shared-keyhostnamef3keycipher$c$3$lo0leXtmx41UHB7Vxok9kFeOJxZnJZ0miw==

#

ikeprofilepf

keychaink1

keychaink2

dpdinterval10on-demand

exchange-modeaggressive

local-identityfqdnf1

matchremoteidentityfqdnf2

matchremoteidentityfqdnf3

      FW2

      #

ikekeychaink1

pre-shared-keyaddress1.1.1.1255.255.255.255keycipher$c$3$v44JHWonfkj3w9BqDNkQ+LEIFRiUlBKUgw==

#

ikeprofilepf

keychaink1

exchange-modeaggressive

local-identityfqdnf2

matchremoteidentityfqdnf1

      FW3

      #

ikekeychaink1

pre-shared-keyaddress2.2.2.1255.255.255.255keycipher$c$3$PKsnAPnnOgZicN73gXZd3L3ZO9OR3IuS1A==

#

ikeprofilepf

keychaink1

exchange-modeaggressive

local-identityfqdnf3

matchremoteidentityfqdnf1

      3.3 IPsec部分

      FW1

      #

acladvanced3000

rule0permitipsource10.1.1.10destination10.2.2.10

rule5permitipsource10.1.1.10destination10.3.3.10

rule10permitipsource10.3.3.10destination10.2.2.10

rule15permitipsource10.2.2.10destination10.3.3.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicy-templatept1

transform-setts

securityacl3000

ike-profilepf

#

ipsecpolicyply1isakmptemplatept

      FW2

      #

acladvanced3000

rule0permitipsource10.2.2.10destination10.1.1.10

rule5permitipsource10.2.2.10destination10.3.3.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicyply1isakmp

transform-setts

securityacl3000

remote-address1.1.1.1

ike-profilepf

      FW3

      #

acladvanced3000

rule0permitipsource10.3.3.10destination10.1.1.10

rule5permitipsource10.3.3.10destination10.2.2.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicyply1isakmp

transform-setts

securityacl3000

remote-address2.2.2.1

ike-profilepf

      四、配置關(guān)鍵點(diǎn)

      分支和中心節(jié)點(diǎn)之間的隧道建立要通過(guò)分支來(lái)觸發(fā),即FW2向FW1發(fā)起訪問(wèn),F(xiàn)W3向FW1發(fā)起訪問(wèn)。

      分支和分支之間建立隧道需要兩邊觸發(fā),即FW2向FW3發(fā)起訪問(wèn),F(xiàn)W3向FW2發(fā)起訪問(wèn)。

      分支的感興趣流除了目的是中心節(jié)點(diǎn)外,還需要包括到分支的。

      FW1上的ipsec sa如下:

      -------------------------------

Interface:GigabitEthernet1/0/0

-------------------------------



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:1

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:1.1.1.1

remoteaddress:1.1.1.2

Flow:

souraddr:10.1.1.1/255.255.255.255port:0protocol:ip

destaddr:10.2.2.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3754823141(0xdfce0de5)

ConnectionID:4294967298

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3562

Maxreceivedsequence-number:4

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:1056998950(0x3f008626)

ConnectionID:4294967299

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3562

Maxsentsequence-number:4

UDPencapsulationusedforNATtraversal:N

Status:Active



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:2

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:1.1.1.1

remoteaddress:1.1.1.2

Flow:

souraddr:10.3.3.1/255.255.255.255port:0protocol:ip

destaddr:10.2.2.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3260450656(0xc2568760)

ConnectionID:4294967300

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3575

Maxreceivedsequence-number:8

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:2013923382(0x780a0836)

ConnectionID:4294967301

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3575

Maxsentsequence-number:5

UDPencapsulationusedforNATtraversal:N

Status:Active

-------------------------------

Interface:GigabitEthernet1/0/1

-------------------------------



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:0

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:2.2.2.1

remoteaddress:2.2.2.3

Flow:

souraddr:10.1.1.1/255.255.255.255port:0protocol:ip

destaddr:10.3.3.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:2022161426(0x7887bc12)

ConnectionID:4294967296

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3554

Maxreceivedsequence-number:4

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:3633752750(0xd896aaae)

ConnectionID:4294967297

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3554

Maxsentsequence-number:4

UDPencapsulationusedforNATtraversal:N

Status:Active



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:3

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:2.2.2.1

remoteaddress:2.2.2.3

Flow:

souraddr:10.2.2.1/255.255.255.255port:0protocol:ip

destaddr:10.3.3.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3168528224(0xbcdbe760)

ConnectionID:4294967302

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3583

Maxreceivedsequence-number:5

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:2761355159(0xa496ef97)

ConnectionID:4294967303

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3583

Maxsentsequence-number:5

UDPencapsulationusedforNATtraversal:N

Status:Active

      實(shí)驗(yàn)結(jié)束!



      審核編輯:劉清

      聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • IPSec
        +關(guān)注

        關(guān)注

        0

        文章

        59

        瀏覽量

        23414
      • MSR
        MSR
        +關(guān)注

        關(guān)注

        0

        文章

        19

        瀏覽量

        8167

      原文標(biāo)題:H3C實(shí)驗(yàn) | 通過(guò)IPsec野蠻模式實(shí)現(xiàn)分支之間相互通信

      文章出處:【微信號(hào):網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號(hào):網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

      收藏 人收藏
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

        評(píng)論

        相關(guān)推薦
        熱點(diǎn)推薦

        如何通過(guò)USS協(xié)議實(shí)現(xiàn)變頻器與PLC之間通信?

        USS協(xié)議(Universal Serial Interface Protocol)是西門(mén)子公司專為驅(qū)動(dòng)設(shè)備設(shè)計(jì)的基于串行通信的通用協(xié)議,它通過(guò)RS485物理接口實(shí)現(xiàn)PLC與變頻器等設(shè)備的經(jīng)濟(jì)高效
        的頭像 發(fā)表于 06-07 17:21 ?301次閱讀
        如何<b class='flag-5'>通過(guò)</b>USS協(xié)議<b class='flag-5'>實(shí)現(xiàn)</b>變頻器與PLC<b class='flag-5'>之間</b>的<b class='flag-5'>通信</b>?

        上位機(jī)和下位機(jī)之間通信通過(guò)什么實(shí)現(xiàn)

        上位機(jī)和下位機(jī)之間通信通過(guò)多種方式實(shí)現(xiàn),以下從有線通信和無(wú)線通信兩大類別展開(kāi)介紹: 有線
        的頭像 發(fā)表于 05-29 09:24 ?279次閱讀

        請(qǐng)問(wèn)st25r3911b可以相互通信嗎?

        st25r3911b可以相互通信嗎?有沒(méi)有demo可以參考?
        發(fā)表于 03-11 07:23

        設(shè)備之間的互聯(lián)互通解決方案

        實(shí)現(xiàn)物聯(lián)網(wǎng)的廣泛應(yīng)用,需要解決設(shè)備之間的互聯(lián)互通問(wèn)題。由于不同的設(shè)備和傳感器使用不同的通信協(xié)議和接口,因此需要一個(gè)中間設(shè)備來(lái)實(shí)現(xiàn)不同設(shè)備
        的頭像 發(fā)表于 01-24 16:31 ?903次閱讀
        設(shè)備<b class='flag-5'>之間</b>的互聯(lián)<b class='flag-5'>互通</b>解決方案

        高速ADC、DAC與處理器之間是怎么通信?

        一般低速的ADC、DAC通過(guò)串行通信接口,比如SPI與處理器/DSP通信,但高速ADC、DAC與處理器之間是怎么通信
        發(fā)表于 01-10 08:30

        工廠有多臺(tái)PLC時(shí),不同網(wǎng)段之間如何實(shí)現(xiàn)相互訪問(wèn)?

        ,不同網(wǎng)段的PLC通訊變得尤為重要。 隨著工業(yè)網(wǎng)絡(luò)的發(fā)展和工業(yè)4.0概念的推廣,工廠內(nèi)部通常會(huì)構(gòu)建多層次的網(wǎng)絡(luò)架構(gòu),包括設(shè)備層、控制層和管理層等多個(gè)層級(jí)。為了確保整個(gè)系統(tǒng)的高效運(yùn)行,不同層級(jí)之間需要進(jìn)行信息交換。此時(shí)兩個(gè)不同網(wǎng)段的PLC并不能相互通信,但同
        的頭像 發(fā)表于 10-28 17:23 ?801次閱讀
        工廠有多臺(tái)PLC時(shí),不同網(wǎng)段<b class='flag-5'>之間</b>如何<b class='flag-5'>實(shí)現(xiàn)</b><b class='flag-5'>相互</b>訪問(wèn)?

        恒訊科技分析:IPSec與SSL/TLS相比,安全性如何?

        議具有良好的兼容性。IPSec的兼容性較差,尤其是在網(wǎng)絡(luò)設(shè)備之間進(jìn)行通信時(shí),由于需要特殊的網(wǎng)絡(luò)設(shè)備和配置,可能在某些場(chǎng)景下難以實(shí)現(xiàn)。3、使用場(chǎng)景方面:
        的頭像 發(fā)表于 10-23 15:08 ?902次閱讀
        恒訊科技分析:<b class='flag-5'>IPSec</b>與SSL/TLS相比,安全性如何?

        ipsec組網(wǎng)通過(guò)其加密和驗(yàn)證機(jī)制提供高安全性

        ipsec組網(wǎng)是一種在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù),它通過(guò)在IP層對(duì)數(shù)據(jù)包進(jìn)行加密和驗(yàn)證來(lái)保證通信的安全性。IPSec VPN通過(guò)在公網(wǎng)上為
        的頭像 發(fā)表于 10-18 10:37 ?819次閱讀

        IPSec VPN的含義與原理

        IPSec VPN(Internet Protocol Security Virtual Private Network),即基于IPSec協(xié)議的虛擬專用網(wǎng)絡(luò),是一種在公共網(wǎng)絡(luò)上建立安全加密連接
        的頭像 發(fā)表于 10-08 09:52 ?1897次閱讀

        IPSec VPN解決方案讓遠(yuǎn)程辦公更加輕松可靠

        隨著信息化技術(shù)的發(fā)展,各種通信模式也逐漸應(yīng)用到企業(yè)生產(chǎn)經(jīng)營(yíng)的各個(gè)環(huán)節(jié)中,越來(lái)越多的資源管理系統(tǒng)也得到部署和應(yīng)用,如ERP系統(tǒng)、OA系統(tǒng)、郵箱系統(tǒng)、財(cái)務(wù)系統(tǒng)等。企業(yè)出差員工、分支機(jī)構(gòu)及合作伙伴都會(huì)
        的頭像 發(fā)表于 08-24 12:30 ?1156次閱讀
        <b class='flag-5'>IPSec</b> VPN解決方案讓遠(yuǎn)程辦公更加輕松可靠

        Modbus網(wǎng)關(guān)實(shí)現(xiàn)Modbus RTU和Modbus TCP協(xié)議相互轉(zhuǎn)換

        ),BL120在GE Digital iFIX里的應(yīng)用場(chǎng)景主要體現(xiàn)在工業(yè)自動(dòng)化和遠(yuǎn)程監(jiān)控控制系統(tǒng)中,通過(guò)實(shí)現(xiàn)Modbus協(xié)議之間相互轉(zhuǎn)換和數(shù)據(jù)傳輸,為工業(yè)過(guò)程的監(jiān)控和控制提供高效、穩(wěn)
        的頭像 發(fā)表于 08-02 15:13 ?1117次閱讀
        Modbus網(wǎng)關(guān)<b class='flag-5'>實(shí)現(xiàn)</b>Modbus RTU和Modbus TCP協(xié)議<b class='flag-5'>相互</b>轉(zhuǎn)換

        深信服防火墻和IR700建立IPSec VPN的配置說(shuō)明

        ,拉到最下邊選擇第3方對(duì)接,第1階段,并選擇新增。 填寫(xiě)項(xiàng)目名稱,將設(shè)備地址類型選擇為對(duì)端是動(dòng)態(tài)ip并設(shè)置相應(yīng)的預(yù)共享密鑰,點(diǎn)擊高級(jí)。 配置第1階段詳盡參數(shù),模式必須為野蠻模式,并設(shè)置FQDN和算法
        發(fā)表于 07-26 07:43

        一文詳解動(dòng)態(tài)多點(diǎn)VPN技術(shù)

        分支之間并 不配置持續(xù)的隧道。當(dāng)一個(gè)分支需要向另一個(gè)分支發(fā)送數(shù)據(jù)包時(shí),兩個(gè)分支之間
        發(fā)表于 07-26 06:07

        InRouter與Juniper SRX如何建立IPSec隧道配置?

        Task Force (IETF) 定義的安全標(biāo)準(zhǔn)框架,在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通信通道,通過(guò)加密通道保證連接的安全——在兩個(gè)公共網(wǎng)關(guān)間提供私密數(shù)據(jù)封包服務(wù)IPSEC是一套比較完整成體系的VPN
        發(fā)表于 07-25 07:32

        IR915和IR615建立IPsec VPN實(shí)現(xiàn)子網(wǎng)互通

        如下圖,配置完成后點(diǎn)擊應(yīng)用并保存 IR615端: VPN-IPsec隧道配置,點(diǎn)擊新增即可對(duì)隧道進(jìn)行配置 隧道配置如下,對(duì)端地址為IR915的固定IP,協(xié)商模式選擇野蠻模式,主
        發(fā)表于 07-24 07:26