【华三】IPsec VPN 实验配置(地址固定)

已于 2024-02-05 14:37:25 修改
阅读量2.6k 收藏 37
点赞数 20
分类专栏: 新华三 文章标签: 网络 运维 新华三 VPN 安全
于 2024-01-09 10:43:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77161465/article/details/135431350
版权

【华三】IPsec VPN 实验配置(地址固定)

在这里插入图片描述

注意

因为本篇文章,就是IPsec的实验配置的话,它们两端的IP地址是固定
那么就用第一阶段的主模式(Main Mode)
和第二阶段的快速模式(Quick Mode)就好啦
后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。分部子网为202.101.23.0/24,总部子网为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

在这里插入图片描述

配置思路

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 第一阶段 IKE SA
    ① 配置IKE安全提议,定义IKE保护数据流方法
    ② 配置IKE对等体,定义对等体间IKE协商时的属性
    ③ 配置IKE profile,把前面两个关联在一起

  3. 第二阶段 IPsec SA
    ① 配置ACL,以定义需要IPSec保护的数据流
    ② 配置IPSec安全提议,定义IPSec的保护方法
    ③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

  4. 在接口上应用安全策略组,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

在这里插入图片描述

R1

基础配置

配置R1的基础配置,再用默认路由实现公网可达

[H3C]sysn R1
[R1]undo info-center enable 

[R1]int g0/0
[R1-GigabitEthernet0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0]qu

[R1]int g0/1
[R1-GigabitEthernet0/1]ip address 192.168.10.254 24
[R1-GigabitEthernet0/1]qu

[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 配置R1的IKE安全提议,名字为 1
[R1]ike proposal 1   ## ike的提案(需要用什么)
[R1-ike-proposal-1]encryption-algorithm 3des-cbc        ## 用3des加密IKE
[R1-ike-proposal-1]authentication-algorithm sha256      ## IKE用sha256 认证
[R1-ike-proposal-1]dh group5                            ## IKE 处于group5
[R1-ike-proposal-1]qu

## 采用PSK,配置与对等体的信息,钥匙串名字为 1
[R1]ike keychain 1  
[R1-ike-keychain-1]pre-shared-key address 202.101.23.3 key simple 520
[R1-ike-keychain-1]qu

## 将上面两个整合在一起,匹配对等体,profile 名字为 1
[R1]ike profile 1 
[R1-ike-profile-1]keychain 1             ## 指定引用的IKE keychain为keychain 1
[R1-ike-profile-1]proposal 1             ## 指定引用的IKE proposal为proposal 1
[R1-ike-profile-1]match remote identity address 202.101.23.3   ## 指定对端的IP地址
[R1-ike-profile-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## IPSec SA的创建,转换集,名字为 myset
[R1]ipsec transform-set myset
[R1-ipsec-transform-set-myset]encapsulation-mode tunnel           ## 流量以隧道的方式传输
[R1-ipsec-transform-set-myset]esp encryption-algorithm 3des-cbc   ## 数据加密算法
[R1-ipsec-transform-set-myset]esp authentication-algorithm sha256 ## 身份认证算法
[R1-ipsec-transform-set-myset]qu

## 配置高级ACL,匹配子网192.168.10.0/24去子网192.168.20.0/24的数据
[R1]acl advanced 3000 
[R1-acl-ipv4-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[R1-acl-ipv4-adv-3000]qu

## IPsec 和 IKE的安全策略的关联,名字为 mypolicy 优先级为 1
[R1]ipsec policy mypolicy 1 isakmp    
[R1-ipsec-policy-isakmp-mypolicy-1]ike-profile 1              ## 关联IKE profile 1
[R1-ipsec-policy-isakmp-mypolicy-1]security acl 3000          ## 匹配需要保护的数据流
[R1-ipsec-policy-isakmp-mypolicy-1]transform-set myset        ## 关联IPsec 转换集
[R1-ipsec-policy-isakmp-mypolicy-1]remote-address 202.101.23.3  ## 远端的IP地址
[R1-ipsec-policy-isakmp-mypolicy-1]qu

## 出接口上调用安全策略组
[R1]int g0/0
[R1-GigabitEthernet1/0]ipsec apply policy mypolicy 
[R1-GigabitEthernet1/0]qu

ISP_R2

基础配置

[H3C]sysn ISP_R2

[ISP_R2]int g0/0
[ISP_R2-GigabitEthernet0/0]ip address 202.101.12.2 255.255.255.0
[ISP_R2-GigabitEthernet0/0]qu

[ISP_R2]int g0/1
[ISP_R2-GigabitEthernet0/1]ip address 202.101.23.2 255.255.255.0
[ISP_R2-GigabitEthernet0/1]qu

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达

[H3C]sysn R3

[R3]int g0/0
[R3-GigabitEthernet0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0]qu

[R3]int g0/1
[R3-GigabitEthernet0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/1]qu

[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]authentication-algorithm sha256
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu

[R3]ike keychain 1
[R3-ike-keychain-1]pre-shared-key address 202.101.12.1 key simple 520
[R3-ike-keychain-1]qu

[R3]ike profile 1
[R3-ike-profile-1]keychain 1
[R3-ike-profile-1]proposal 1
[R3-ike-profile-1]match remote identity address 202.101.12.1 
[R3-ike-profile-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

[R3]ipsec transform-set myset 
[R3-ipsec-transform-set-myset]encapsulation-mode tunnel 
[R3-ipsec-transform-set-myset]esp encryption-algorithm 3des-cbc 
[R3-ipsec-transform-set-myset]esp authentication-algorithm sha256
[R3-ipsec-transform-set-myset]qu

[R3]acl advanced 3000
[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[R3-acl-ipv4-adv-3000]qu

[R3]ipsec policy mypolicy 1 isakmp 
[R3-ipsec-policy-isakmp-mypolicy-1]ike-profile 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]transform-set myset
[R3-ipsec-policy-isakmp-mypolicy-1]remote-address 202.101.12.1 
[R3-ipsec-policy-isakmp-mypolicy-1]qu

[R3]int g0/0
[R3-GigabitEthernet1/0]ipsec apply policy mypolicy
[R3-GigabitEthernet1/0]qu

PC

PC1

在这里插入图片描述

PC2

在这里插入图片描述

检查

抓包查看(华三的IPsec VPN 是自己触发的,可以不用手动去Ping呀)
在这里插入图片描述

建立成功

里面主模式交换六个报文,成功协商IKE SA
而快速模式的三个报文,就成功的协商IPsec SA
这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/908d7dd00e934726ab498fd5aeb3860c.png

查看命令

查看IKE SA的基本信息
[R1]display ike sa
在这里插入图片描述

查看IPsec SA的基本信息

[R1]display ipsec sa
在这里插入图片描述

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
可以看到,当我去清除掉IKE SA的时候,再查看已经被清除掉了,还有IPsec SA,说明清除成功啦
reset ike sa
reset ipsec sa
在这里插入图片描述

配置文档

R1

sys
sysn R1

int g0/0 
ip address 202.101.12.1 24
qu

int g0/1
ip address 192.168.10.254 24
qu

ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm sha256
dh group5
qu

ike keychain 1
pre-shared-key address 202.101.23.3 key simple 520
qu

ike profile 1
keychain 1
proposal 1
match remote identity address 202.101.23.3 
qu

ipsec transform-set myset 
encapsulation-mode tunnel 
esp encryption-algorithm 3des-cbc 
esp authentication-algorithm sha256
qu

acl advanced 3000
rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
qu

ipsec policy mypolicy 1 isakmp 
ike-profile 1
security acl 3000
transform-set myset
remote-address 202.101.23.3
qu

int g0/0
ipsec apply policy mypolicy
qu

ISP_R2

sys
sysn ISP_R2

int g0/0
ip address 202.101.12.2 24
qu

int g0/1
ip address 202.101.23.2 24
qu

R3

sys
sysn R3

int g0/0 
ip address 202.101.23.3 24
qu

int g0/1
ip address 192.168.20.254 24
qu

ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm sha256
dh group5
qu

ike keychain 1
pre-shared-key address 202.101.12.1 key simple 520
qu

ike profile 1
keychain 1
proposal 1
match remote identity address 202.101.12.1
qu

ipsec transform-set myset 
encapsulation-mode tunnel 
esp encryption-algorithm 3des-cbc 
esp authentication-algorithm sha256
qu

acl advanced 3000
rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
qu

ipsec policy mypolicy 1 isakmp 
ike-profile 1
security acl 3000
transform-set myset
remote-address 202.101.12.1
qu

int g0/0
ipsec apply policy mypolicy
qu
张白夕
关注
  • 20
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPSec VPN 基本配置实验(H3C)
kerio123的博客
04-15 1710
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
华三ipsec 配置分析、举例
undoshutdown的博客
01-29 1745
ipsec apply policy policy1 //在设备wan口引用ipsec 策略 policy1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。
H3C-IPsec VPN分支间通过总部互访
最新发布
Richardlygo的博客
05-03 97
最近公司准备上个项目,然后使用的是私有云部署模式,我们这边是有总部和分支,总部和分支采用标准IPsec VPN,现在私有云也通过IPsec VPN接入总部相当于一个分支,但是由于我们分支比较多,因此这边各分支访问业务是通过总部进行中转的方式。最近一周都在折腾这个,一个小问题导致了一直有问题也是很无语。IPsec VPN是一种基于IPsec协议族构建的安全虚拟专用网络技术。它通过在公网上为两个或多个私有网络之间建立IPsec隧道,利用加密和验证算法来确保VPN连接的安全性。
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 6377
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 6638
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
H3C IPSec配置手记
cthomson的博客
09-23 3768
以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。
H3C路由器与防火墙建立IPSEC
Rzcarmen的博客
10-11 1385
需要与路由器一端配置一致。需要与路由器一端配置一致。
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
基于华三HCL的web下H3C防火墙在NAT代理内网上网情景中配置IPsecVPN站点间互联
04-15
HCL配置实验!适用于H3C防火墙配置学习 在防火墙代理内网上网的情境下,完成与分支总部的IPSE互联 具体配置可见实验内文字说明。...进行防火墙web配置前使用命令行配置管理口地址为本地网卡同段IP,以便进行后续实验
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
华三网络销售专家GB130
01-24
在IT行业中,网络设备的销售和应用至关重要,华三(H3C)作为知名的网络解决方案提供商,其产品广泛应用于各种场景。以下将详细介绍华三的部分网络设备及其特性: 1. MSR5620路由器并不支持单主控设计,这是一个...
H3C各型号路由器L2TP配置汇总.rar
10-21
13 MSR与Android、IOS移动终端建立L2TP over IPSec VPN典型配置案例 14 L2TP 拨号成功后,如何实现同时能够访问总部内网数据和Internet 15 L2TP 多域情况下,PC如何通过windows自带客户端获取其他域地址 18 L2...
基于HCL模拟器华三设备IPsec vpn配置实验
WANGMH13的博客
08-01 5627
基于HCL模拟器华三设备IPsec vpn配置实验
H3C_IPSec(主模式)及NAT转换综合配置案例
zsisle的博客
10-26 1506
本案例将以IPSec的主模式来演示出口路由如何配置IPSec来达到内网互通以及NAT转换来访问外网。
华三IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-09 2267
本篇文章是关于新华三IPsec VPN实验配置,里面的场景是一段的IP地址是动态接入的情况下,里面的配置和两端地址固定配置有一些些不同,然后解释的也很详细,易懂
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 1714
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
H3C-两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(华三-主模式)
m0_68265458的博客
04-11 1928
H3C-两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(华三-主模式)
H3C-防火墙L2TP VPN配置方法(华三
m0_68265458的博客
04-10 2120
H3C-防火墙L2TP VPN配置方法(华三
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1598
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
华三IPsec over GRE VPN 实验
04-29
华三IPsec over GRE VPN 实验可以分为以下几个步骤: 1. 配置GRE隧道:在两个VPN网关设备上分别配置GRE隧道,并配置隧道IP地址和隧道端点地址。 2. 配置IPSec加密:在两个VPN网关设备上分别配置IPSec加密,包括设置加密协议、加密算法、预共享密钥等参数。 3. 配置路由:在两个VPN网关设备上配置路由,将隧道IP地址和隧道端点地址加入路由表。 4. 测试连接:通过ping命令或其他网络工具测试IPSec over GRE VPN连接是否可用。 下面是一个具体的实验步骤: 1. 在两个华三VPN网关设备上分别配置隧道IP地址和隧道端点地址,比如设备A上配置隧道IP地址为10.1.1.1,隧道端点地址为192.168.1.1;设备B上配置隧道IP地址为10.1.1.2,隧道端点地址为192.168.1.2。 2. 在两个华三VPN网关设备上配置IPSec加密,比如设置加密协议为ESP,加密算法为AES,预共享密钥为123456。 3. 在设备A上配置路由,将隧道IP地址和隧道端点地址加入路由表: ``` ip route 192.168.1.0/24 10.1.1.2 ip route 10.1.1.2/32 10.1.1.1 ``` 在设备B上也配置类似的路由。 4. 测试连接,可以在设备A上ping设备B的隧道端点地址192.168.1.2,也可以在设备B上ping设备A的隧道端点地址192.168.1.1。 如果连接正常,就可以进行数据传输了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张白夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值