软考网络工程师IPSEC VPN配置考点总结

企业开发 2023-09-29 21:06:40 阅读次数: 0

IPSEC VPN(华为)工作流程

  1. 配置安全ACL:配置哪些流量需要被保护
  2. 配置安全提议:配置IPsec的参数
  3. 配置IKE:预共享密钥,配置身份验证方法、加密算法等安全参数
  4. 配置安全策略:1和2做关联
  5. 在接口应用安全策略

具体配置命令:

1、通过ACL定义需要保护的数据流

[R1]acl 3000

[R1-acl-adv-3000]rule permit ip source 50.50.50.0 0.0.0.255 destination 60.60.60.0 0.0.0.255

//对端设备配置类似,只是源地址和目的地址交换

2、配置IPsec安全提议(封装模式、安全协议、加密算法和验证算法)

[R1]ipsec proposal tran1 //起名,进入ipsec安全提议视图

[R1-ipsec-proposa-tran1]encapsulation-mode tunnel

//配置工作在隧道模式下(可选传输模式transform)

[R1-ipsec-proposa-tran1]transform esp

//安全协议使用ESP(可选AH,默认ESP)

[R1-ipsec-proposa-tran1]esp encryption-algorithm 3des

//对数据机密性保护采用3DES算法(可选DES、AES)

[R1-ipsec-proposa-tran1] esp authentication-algorithm sha1

//用SHA1哈希算法保证报文完整性(可选MD5)

[R1-ipsec-proposa-tran1]quit

//对端设备配置相同

3、配置IKE对等体

[R1]ike peer peer1 //命名

[R1-ike-peer-peer1]pre-shared-key simple Huawei

//配置预共享密钥(一般情况配置简要的密码认证),两端网关设备的密码相同,则成为IKE对等体,成为安全网关

[R1-ike-peer-peer1]remote-address 20.20.20.1

//指定对端IP

[R1-ike-peer-peer1]quit

//对端配置类似,指定对端IP的时候,指定30.30.30.1

还可以配置IKE提议(常见考法:作解释):

[R1]ike proposal {proposal-number}

//数值越小,级别越高

[R1-ike-proposal-10]encryption-algorithm {3des-cbc|aes-cbc[key-length]|des-cbc}

//默认CBC模式的56位DES

[R1-ike-proposal-10]authentication-mathod {pre-share|rsa-signature} //默认pre-share(预共享密钥)

[R1-ike-proposal-10]authentication-algorithm {MD5|sha}

//默认SHA-1验证算法

[R1-ike-proposal-10]dh {group1(768位)| group2(1024位)| group3(1536位)| group4(2048位)}

//进行密钥交换时候用的算法,默认group1

[R1-ike-proposal-10]sa duration seconds

//设置安全关联超时的时间,默认86400

如未作配置,则采用默认的IKE提议:DES、SHA-1、pre-Share、gourp1、86400

4、配置IPsec安全策略(并将1、2进行关联)

[R1]ipsec policy csaimap 1 isakmp //给安全策略起名

[R1-ipsec-policy-isakmp-csaimap-1]proposal tran1

[R1-ipsec-policy-isakmp-csaimap-1]security acl 3000

[R1-ipsec-policy-isakmp-csaimap-1]ike-peer peer1

[R1-ipsec-policy-isakmp-csaimap-1]quit

//对端设备配置一致

5、在接口上应用IPsec安全策略组

[R1]interface s0/0

[R1-serial 0/0]ipsec policy csaimap

//在隧道的起止点上应用

//对端设备配置基本类似,但注意对端地址需要修改

注意:考试中通常结合VPN原理来考,配置命令考法:解释或填空

三、策略路由(华为)

概念:普通的路由根据路由表进行转发,策略路由根据规则对报文进行过滤和转发,是传统路由的一种有效加强。通常用在负载均衡的网络。

优先级:策略路由大于静态路由(60)和动态路由(看具体协议)

作用:例如访问联通的服务器用联通的数据线路,访问电信的服务器用电信的数据线路。

要求看懂配置命令

猜你喜欢

转载自blog.csdn.net/ducanwang/article/details/133189123
今日推荐
Linus “吃狗粮”最积极!
开源日报 | Winamp播放器即将开源;生成式AI之战升级第二轮;Linus“吃狗粮”最积极;AI进入泡沫前期;吴泳铭为阿里云带来了什么?
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
周排行
SVN服务端安装在阿里云
实战 | 相机标定
webpack核心概念
note20——》只要肯低头吃苦,人生就会有救
PAT甲级 1062 Talent and Virtue (25 分)排序
NG Toolset开发笔记--5GNR Resource Grid(26)
如何对待上司
oracle命令
第9章 STL迭代器
logstash使用es映射模板
每日归档
更多
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022