chinese直男口爆体育生外卖, 99久久er热在这里只有精品99, 又色又爽又黄18禁美女裸身无遮挡, gogogo高清免费观看日本电视,私密按摩师高清版在线,人妻视频毛茸茸,91论坛 兴趣闲谈,欧美 亚洲 精品 8区,国产精品久久久久精品免费

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      怎樣通過IPsec野蠻模式實現分支之間相互通信呢

      工程師鄧生 ? 來源:網絡技術干貨圈 ? 作者:圈圈 ? 2022-09-09 10:10 ? 次閱讀
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

      一、組網及說明

      86440bfa-2fcf-11ed-ba43-dac502259ad0.png

      注:如無特別說明,描述中的 FW1 或 MSR1 對應拓撲中設備名稱末尾數字為 1 的設備,FW2 或 MSR2 對應拓撲中設備名稱末尾數字為 2 的設備,以此類推;另外,同一網段中,IP 地址的主機位為其設備編號,如 FW1 的 g0/0 接口若在 1.1.1.0/24 網段,則其 IP 地址為 1.1.1.1/24,以此類推。

      二、實驗需求

      FW1代表中心節(jié)點,FW2和FW3代表分支。

      FW上使用環(huán)回口Loopback0模擬業(yè)務網段。

      分支分別和中心節(jié)點通信,各分支節(jié)點之間可以相互通信。

      三、配置步驟

      3.1 IP、路由、安全域

      FW1

      #

interfaceLoopBack0

ipaddress10.1.1.1255.255.255.255

#

interfaceGigabitEthernet1/0/1

portlink-moderoute

comboenablecopper

ipaddress2.2.2.1255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static10.2.2.1321.1.1.2

iproute-static10.3.3.1322.2.2.3

#

security-policyip

rule0nameany

actionpass

      FW2

      #

interfaceLoopBack0

ipaddress10.2.2.1255.255.255.255

#

interfaceGigabitEthernet1/0/0

portlink-moderoute

comboenablecopper

ipaddress1.1.1.2255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static0.0.0.001.1.1.1

#

security-policyip

rule0nameany

actionpass

      FW3

      #

interfaceLoopBack0

ipaddress10.3.3.1255.255.255.0

#

interfaceGigabitEthernet1/0/0

portlink-moderoute

comboenablecopper

ipaddress2.2.2.3255.255.255.0

ipsecapplypolicyply

#

security-zonenameLocal

#

security-zonenameTrust

importinterfaceGigabitEthernet1/0/0

importinterfaceGigabitEthernet1/0/1

#

iproute-static0.0.0.002.2.2.1

#

security-policyip

rule0nameany

actionpass

#

      3.2 IKE部分

      FW1

      #

ikekeychaink1

pre-shared-keyhostnamef2keycipher$c$3$rFTHo6O4pPLOHvZEwmSFGc3gjFRY7Q75Qw==

#

ikekeychaink2

pre-shared-keyhostnamef3keycipher$c$3$lo0leXtmx41UHB7Vxok9kFeOJxZnJZ0miw==

#

ikeprofilepf

keychaink1

keychaink2

dpdinterval10on-demand

exchange-modeaggressive

local-identityfqdnf1

matchremoteidentityfqdnf2

matchremoteidentityfqdnf3

      FW2

      #

ikekeychaink1

pre-shared-keyaddress1.1.1.1255.255.255.255keycipher$c$3$v44JHWonfkj3w9BqDNkQ+LEIFRiUlBKUgw==

#

ikeprofilepf

keychaink1

exchange-modeaggressive

local-identityfqdnf2

matchremoteidentityfqdnf1

      FW3

      #

ikekeychaink1

pre-shared-keyaddress2.2.2.1255.255.255.255keycipher$c$3$PKsnAPnnOgZicN73gXZd3L3ZO9OR3IuS1A==

#

ikeprofilepf

keychaink1

exchange-modeaggressive

local-identityfqdnf3

matchremoteidentityfqdnf1

      3.3 IPsec部分

      FW1

      #

acladvanced3000

rule0permitipsource10.1.1.10destination10.2.2.10

rule5permitipsource10.1.1.10destination10.3.3.10

rule10permitipsource10.3.3.10destination10.2.2.10

rule15permitipsource10.2.2.10destination10.3.3.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicy-templatept1

transform-setts

securityacl3000

ike-profilepf

#

ipsecpolicyply1isakmptemplatept

      FW2

      #

acladvanced3000

rule0permitipsource10.2.2.10destination10.1.1.10

rule5permitipsource10.2.2.10destination10.3.3.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicyply1isakmp

transform-setts

securityacl3000

remote-address1.1.1.1

ike-profilepf

      FW3

      #

acladvanced3000

rule0permitipsource10.3.3.10destination10.1.1.10

rule5permitipsource10.3.3.10destination10.2.2.10

#

ipsectransform-setts

espencryption-algorithm3des-cbc

espauthentication-algorithmmd5

#

ipsecpolicyply1isakmp

transform-setts

securityacl3000

remote-address2.2.2.1

ike-profilepf

      四、配置關鍵點

      分支和中心節(jié)點之間的隧道建立要通過分支來觸發(fā),即FW2向FW1發(fā)起訪問,FW3向FW1發(fā)起訪問。

      分支和分支之間建立隧道需要兩邊觸發(fā),即FW2向FW3發(fā)起訪問,FW3向FW2發(fā)起訪問。

      分支的感興趣流除了目的是中心節(jié)點外,還需要包括到分支的。

      FW1上的ipsec sa如下:

      -------------------------------

Interface:GigabitEthernet1/0/0

-------------------------------



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:1

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:1.1.1.1

remoteaddress:1.1.1.2

Flow:

souraddr:10.1.1.1/255.255.255.255port:0protocol:ip

destaddr:10.2.2.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3754823141(0xdfce0de5)

ConnectionID:4294967298

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3562

Maxreceivedsequence-number:4

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:1056998950(0x3f008626)

ConnectionID:4294967299

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3562

Maxsentsequence-number:4

UDPencapsulationusedforNATtraversal:N

Status:Active



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:2

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:1.1.1.1

remoteaddress:1.1.1.2

Flow:

souraddr:10.3.3.1/255.255.255.255port:0protocol:ip

destaddr:10.2.2.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3260450656(0xc2568760)

ConnectionID:4294967300

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3575

Maxreceivedsequence-number:8

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:2013923382(0x780a0836)

ConnectionID:4294967301

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3575

Maxsentsequence-number:5

UDPencapsulationusedforNATtraversal:N

Status:Active

-------------------------------

Interface:GigabitEthernet1/0/1

-------------------------------



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:0

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:2.2.2.1

remoteaddress:2.2.2.3

Flow:

souraddr:10.1.1.1/255.255.255.255port:0protocol:ip

destaddr:10.3.3.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:2022161426(0x7887bc12)

ConnectionID:4294967296

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3554

Maxreceivedsequence-number:4

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:3633752750(0xd896aaae)

ConnectionID:4294967297

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3554

Maxsentsequence-number:4

UDPencapsulationusedforNATtraversal:N

Status:Active



-----------------------------

IPsecpolicy:ply

Sequencenumber:1

Mode:Template

-----------------------------

Tunnelid:3

Encapsulationmode:tunnel

PerfectForwardSecrecy:

InsideVPN:

ExtendedSequenceNumbersenable:N

TrafficFlowConfidentialityenable:N

Transmittingentity:Responder

PathMTU:1444

Tunnel:

localaddress:2.2.2.1

remoteaddress:2.2.2.3

Flow:

souraddr:10.2.2.1/255.255.255.255port:0protocol:ip

destaddr:10.3.3.1/255.255.255.255port:0protocol:ip



[InboundESPSAs]

SPI:3168528224(0xbcdbe760)

ConnectionID:4294967302

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3583

Maxreceivedsequence-number:5

Anti-replaycheckenable:Y

Anti-replaywindowsize:64

UDPencapsulationusedforNATtraversal:N

Status:Active



[OutboundESPSAs]

SPI:2761355159(0xa496ef97)

ConnectionID:4294967303

Transformset:ESP-ENCRYPT-3DES-CBCESP-AUTH-MD5

SAduration(kilobytes/sec):1843200/3600

SAremainingduration(kilobytes/sec):1843199/3583

Maxsentsequence-number:5

UDPencapsulationusedforNATtraversal:N

Status:Active

      實驗結束!



      審核編輯:劉清

      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯系本站處理。 舉報投訴
      • IPSec
        +關注

        關注

        0

        文章

        59

        瀏覽量

        23426
      • MSR
        MSR
        +關注

        關注

        0

        文章

        19

        瀏覽量

        8167

      原文標題:H3C實驗 | 通過IPsec野蠻模式實現分支之間相互通信

      文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

        評論

        相關推薦
        熱點推薦

        如何通過USS協議實現變頻器與PLC之間通信?

        USS協議(Universal Serial Interface Protocol)是西門子公司專為驅動設備設計的基于串行通信的通用協議,它通過RS485物理接口實現PLC與變頻器等設備的經濟高效
        的頭像 發(fā)表于 06-07 17:21 ?306次閱讀
        如何<b class='flag-5'>通過</b>USS協議<b class='flag-5'>實現</b>變頻器與PLC<b class='flag-5'>之間</b>的<b class='flag-5'>通信</b>?

        上位機和下位機之間通信通過什么實現

        上位機和下位機之間通信通過多種方式實現,以下從有線通信和無線通信兩大類別展開介紹: 有線
        的頭像 發(fā)表于 05-29 09:24 ?286次閱讀

        請問st25r3911b可以相互通信嗎?

        st25r3911b可以相互通信嗎?有沒有demo可以參考?
        發(fā)表于 03-11 07:23

        設備之間的互聯互通解決方案

        實現物聯網的廣泛應用,需要解決設備之間的互聯互通問題。由于不同的設備和傳感器使用不同的通信協議和接口,因此需要一個中間設備來實現不同設備
        的頭像 發(fā)表于 01-24 16:31 ?917次閱讀
        設備<b class='flag-5'>之間</b>的互聯<b class='flag-5'>互通</b>解決方案

        高速ADC、DAC與處理器之間是怎么通信?

        一般低速的ADC、DAC通過串行通信接口,比如SPI與處理器/DSP通信,但高速ADC、DAC與處理器之間是怎么通信
        發(fā)表于 01-10 08:30

        工廠有多臺PLC時,不同網段之間如何實現相互訪問?

        ,不同網段的PLC通訊變得尤為重要。 隨著工業(yè)網絡的發(fā)展和工業(yè)4.0概念的推廣,工廠內部通常會構建多層次的網絡架構,包括設備層、控制層和管理層等多個層級。為了確保整個系統的高效運行,不同層級之間需要進行信息交換。此時兩個不同網段的PLC并不能相互通信,但同
        的頭像 發(fā)表于 10-28 17:23 ?806次閱讀
        工廠有多臺PLC時,不同網段<b class='flag-5'>之間</b>如何<b class='flag-5'>實現</b><b class='flag-5'>相互</b>訪問?

        恒訊科技分析:IPSec與SSL/TLS相比,安全性如何?

        議具有良好的兼容性。IPSec的兼容性較差,尤其是在網絡設備之間進行通信時,由于需要特殊的網絡設備和配置,可能在某些場景下難以實現。3、使用場景方面:
        的頭像 發(fā)表于 10-23 15:08 ?904次閱讀
        恒訊科技分析:<b class='flag-5'>IPSec</b>與SSL/TLS相比,安全性如何?

        ipsec組網通過其加密和驗證機制提供高安全性

        ipsec組網是一種在公用網絡上建立專用網絡的技術,它通過在IP層對數據包進行加密和驗證來保證通信的安全性。IPSec VPN通過在公網上為
        的頭像 發(fā)表于 10-18 10:37 ?833次閱讀

        IPSec VPN的含義與原理

        IPSec VPN(Internet Protocol Security Virtual Private Network),即基于IPSec協議的虛擬專用網絡,是一種在公共網絡上建立安全加密連接
        的頭像 發(fā)表于 10-08 09:52 ?1906次閱讀

        IPSec VPN解決方案讓遠程辦公更加輕松可靠

        隨著信息化技術的發(fā)展,各種通信模式也逐漸應用到企業(yè)生產經營的各個環(huán)節(jié)中,越來越多的資源管理系統也得到部署和應用,如ERP系統、OA系統、郵箱系統、財務系統等。企業(yè)出差員工、分支機構及合作伙伴都會
        的頭像 發(fā)表于 08-24 12:30 ?1160次閱讀
        <b class='flag-5'>IPSec</b> VPN解決方案讓遠程辦公更加輕松可靠

        Modbus網關實現Modbus RTU和Modbus TCP協議相互轉換

        ),BL120在GE Digital iFIX里的應用場景主要體現在工業(yè)自動化和遠程監(jiān)控控制系統中,通過實現Modbus協議之間相互轉換和數據傳輸,為工業(yè)過程的監(jiān)控和控制提供高效、穩(wěn)
        的頭像 發(fā)表于 08-02 15:13 ?1118次閱讀
        Modbus網關<b class='flag-5'>實現</b>Modbus RTU和Modbus TCP協議<b class='flag-5'>相互</b>轉換

        深信服防火墻和IR700建立IPSec VPN的配置說明

        ,拉到最下邊選擇第3方對接,第1階段,并選擇新增。 填寫項目名稱,將設備地址類型選擇為對端是動態(tài)ip并設置相應的預共享密鑰,點擊高級。 配置第1階段詳盡參數,模式必須為野蠻模式,并設置FQDN和算法
        發(fā)表于 07-26 07:43

        一文詳解動態(tài)多點VPN技術

        分支之間并 不配置持續(xù)的隧道。當一個分支需要向另一個分支發(fā)送數據包時,兩個分支之間
        發(fā)表于 07-26 06:07

        InRouter與Juniper SRX如何建立IPSec隧道配置?

        Task Force (IETF) 定義的安全標準框架,在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接的安全——在兩個公共網關間提供私密數據封包服務IPSEC是一套比較完整成體系的VPN
        發(fā)表于 07-25 07:32

        IR915和IR615建立IPsec VPN實現子網互通

        如下圖,配置完成后點擊應用并保存 IR615端: VPN-IPsec隧道配置,點擊新增即可對隧道進行配置 隧道配置如下,對端地址為IR915的固定IP,協商模式選擇野蠻模式,主
        發(fā)表于 07-24 07:26