WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
登录  |  注册
24小时咨询热线:173-1636-2402
领取免费资料
题库 模拟器 课件 笔记 视频

新闻资讯

News

您当前位置: 新闻资讯 > 华为技术 > 详情
PASS战报 PASS心得 最新开班 常见问题 企业新闻

华为认证HCIE培训(Datacom)课程-手动IPSEC VPN详细笔记

发布日期:2023-07-03 浏览次数:1256 来源:崔志鹏

华为认证HCIE培训(Datacom)课程-手动IPSEC VPN详细笔记


WOLFLAB网络技术实验室1.jpg

WOLFLAB官方微信:17316362402,华为认证HCIE培训(Datacom)课程咨询可联系WOLFLAB资讯详情!

华为认证HCIE培训-手动IPSEC VPN(ESP):

图片1(105).png

第一步:匹配感兴趣流(需要保护的数据)

[AR1-acl-adv-3000]dis this 

[V200R003C00]

#

acl number 3000  

 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[AR3-acl-adv-3000]dis this 

[V200R003C00]

#

acl number 3000  

 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

 

第二步:创建安全提议(合同的内容)

AR1/AR3:

ipsec proposal wolf

 

[AR1]dis ipsec proposal                //默认参数

 

Number of proposals: 1

 

IPSec proposal name: wolf                            

 Encapsulation mode: Tunnel          //传输模式隧道                     

 Transform         : esp-new         //采用ESP封装

 ESP protocol      : Authentication MD5-HMAC-96      //认证算法MD5      

                     Encryption     DES                //加密算法DES

 

第三步:创建安全策略

[AR1-ipsec-policy-manual-wolf-10]dis this 

[V200R003C00]

#

ipsec policy wolf 10 manual

 security acl 3000

 proposal wolf

 tunnel local 1.1.12.1

 tunnel remote 1.1.23.3

 sa spi inbound esp 1234                     //AR1的 inbound 是AR3的 outbound 

 sa string-key inbound esp simple huawei

 sa spi outbound esp 4321                   //AR1的 outbound 是AR3的 inbound

 sa string-key outbound esp simple huawei

 

[AR3-ipsec-policy-manual-wolf-10]dis this 

[V200R003C00]

#

ipsec policy wolf 10 manual

 security acl 3000

 proposal wolf

 tunnel local 1.1.23.3

 tunnel remote 1.1.12.1

 sa spi inbound esp 4321

 sa string-key inbound esp simple huawei

 sa spi outbound esp 1234

 sa string-key outbound esp simple huawei

 

第四步:接口下调用安全策略

interface GigabitEthernetX/X/X

 ipsec policy wolf

 

验证:(ESP)

图片1(106).png

验证:(AH)

图片1(107).png

[AR1-ipsec-proposal-wolf]dis this 

[V200R003C00]

#

ipsec proposal wolf

 transform ah

[AR3-ipsec-proposal-wolf]dis this 

[V200R003C00]

#

ipsec proposal wolf

 transform ah

 

[AR1-ipsec-policy-manual-wolf-10]dis this 

[V200R003C00]

#

ipsec policy wolf 10 manual

 security acl 3000

 proposal wolf

 tunnel local 1.1.12.1

 tunnel remote 1.1.23.3

 sa spi inbound ah 1234                                          

 sa string-key inbound ah simple huawei

 sa spi outbound ah 4321                                      

 sa string-key outbound ah simple huawei

 

[AR3-ipsec-policy-manual-wolf-10]dis this 

[V200R003C00]

#

ipsec policy wolf 10 manual

 security acl 3000

 proposal wolf

 tunnel local 1.1.23.3

 tunnel remote 1.1.12.1

 sa spi inbound ah 4321

 sa string-key inbound ah simple huawei

 sa spi outbound ah 1234

 sa string-key outbound ah simple huawei

 

问题:因为AH针对数据包不加密,那AH有什么用呢?

如果收到的数据包就是加密后的数据包,那此时就可以用AH节约设备资源;

 

华为认证HCIE培训-IPSEC VPN的模式:

图片1(108).png

Transport Mode(传输模式):封装的时候不会产生新的IP头部;

就是针对本身的数据ICMP REQUEST进行加密,将加密后的数据加上数据包自身的网络层头部

场景:如果业务地址和IPSEC隧道的SIP和DIP一样时,就可以采用传输模式,节约资源;

 

Tunnel Mode(隧道模式):封装的时候产生新的IP头部;(默认)

就是针对本身的数据ICMP REQUEST+网络层头部加密,将加密后的数据加上IPSEC VPN的source和des

场景:如果业务地址和IPSEC隧道的SIP和DIP不一样时,就必须采用隧道模式;


https://www.wolf-lab.com/

WOLFLAB官方微信:17316362402

WOLFLAB官方QQ:2569790740

华为HCIE Datacom培训课程咨询联系WOLFLAB网络技术实验室

WOLFLAB网络技术实验室-华为授权机构

WOLFLAB实验室(华为授权合作伙伴)HCIE讲师:崔志鹏

上一篇:华为认证HCIE Datacom培训+学习+考试LDP基本概念理论技术笔记

下一篇:HCIE培训(Datacom)课程-SDW可靠性和安全设计

返回目录
推荐热点

预约免费试学

获取免费学习资料

模拟器 | 课件 | 笔记 | 视频等
沪ICP备2021000758号-1
首页 新闻资讯 课程介绍 在线课堂 企业高端定制化 在线购买 技术文档 关于Wolf 登录  |  注册
在线咨询