【华为】IPSec VPN手动配置

最新推荐文章于 2025-03-18 17:41:42 发布
最新推荐文章于 2025-03-18 17:41:42 发布
阅读量2.6k 收藏 21
点赞数 15
分类专栏: 软考中级-网络工程师 文章标签: 华为 网络 IPSec VPN 路由器 网络安全 数据加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77161465/article/details/138499915
版权

【华为】IPSec VPN手动配置

在这里插入图片描述

拓扑

在这里插入图片描述

配置

配置步骤
1、配置IP地址,ISP 路由器用 Lo0 模拟互联网
2、漳州和福州两个出口路由器配置默认路由指向ISP路由器
3、进行 IPsec VPN配置,让两个站点内网互通,同时数据加密

4、IPSec 手动配置步骤
在这里插入图片描述

ISP - 2

[Huawei]sysn ISP-2

[ISP-2]undo info-center enable 
Info: Information center is disabled.

[ISP-2]int g0/0/0
[ISP-2-GigabitEthernet0/0/0]ip address 202.101.12.2 30
[ISP-2-GigabitEthernet0/0/0]QU

[ISP-2]INT g0/0/1

[ISP-2-GigabitEthernet0/0/1]ip address 202.101.23.2 30
[ISP-2-GigabitEthernet0/0/1]qu

[ISP-2]int LoopBack 0
[ISP-2-LoopBack0]ip address 1.1.1.1 32
[ISP-2-LoopBack0]qu

AR1

NAT - Easy IP

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.

[Huawei]sysname AR1

[AR1]undo info-center enable
Info: Information center is disabled.

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 202.101.12.1 30
[AR1-GigabitEthernet0/0/0]qu

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[AR1-GigabitEthernet0/0/1]qu

## 高级ACL,要记得把IPSec VPN走得流量先deny掉,这样子VPN才能通信成功
[AR1]acl 3000
## deny掉我漳州分公司内部流量192.168.10.0/24 去往福州总公司192.168.20.0/24 的流量
[AR1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255     
## 这个就是漳州公司需要上网的流量    
[AR1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination any 
[AR1-acl-adv-3000]qu

## 作Easy IP进行上网
[AR1]int g0/0/0	
[AR1-GigabitEthernet0/0/0]nat outbound 3000
[AR1-GigabitEthernet0/0/0]qu

## 配置默认路由指向ISP
[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

IPSec VPN

## 匹配上需要走VPN的流量
[AR1]acl number 3001  
[AR1-acl-adv-3001] rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 19
2.168.20.0 0.0.0.255  ## 规则5,匹配源为192.168.10.0/24 目的为192.168.20.0/24 的流量
[AR1-acl-adv-3001]quit

[AR1]ipsec proposal zz    ## 创建IPSec 提议,名为“zz”
[AR1-ipsec-proposal-zz]esp authentication-algorithm md5 ## 认证算法采用md5(缺省)
[AR1-ipsec-proposal-zz]esp encryption-algorithm des 	## 加密算法采用des(缺省)
[AR1-ipsec-proposal-zz]encapsulation-mode tunnel        ## 传输方式为tunnel(缺省)
[AR1-ipsec-proposal-zz]quit

[AR1]ipsec policy zhangzhou 1 manual                    ## 配置IPSec策略“zhangzhou”,方式为手动
[AR1-ipsec-policy-manual-zhangzhou-1]security acl 3001  ## 包含ACL 3001
[AR1-ipsec-policy-manual-zhangzhou-1]proposal zz        ## 关联IPSec提议“zz”  
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel local 202.101.12.1 ## 配置隧道本端地址 202.101.12.1
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel remote 202.101.23.1 ## 配置隧道对端地址 202.101.23.1
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi inbound esp 12345   ## 配置入方向的SA编号为12345
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key inbound esp cipher baixi  ## 配置入方向SA的认证密钥为baixi
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi outbound esp 54321   ## 配置出方向的SA编号为54321
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key outbound esp cipher baixi  ## 配置出方向的SA认证密钥为baixi

## 在接口下应用IPsec策略“zhangzhou”
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ipsec policy zhangzhou
[AR1-GigabitEthernet0/0/0]qu

查看IPSec SA
display ipsec sa brief
在这里插入图片描述

AR3

NAT

<Huawei>sys
Enter system view, return user view with Ctrl+Z.

[Huawei] sysname AR3

[AR3] undo info-center enable
Info: Information center is disabled.

[AR3]acl number 3000  
[AR3-acl-adv-3000] rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.
168.10.0 0.0.0.255
[AR3-acl-adv-3000] rule 10 permit ip source 192.168.20.0 0.0.0.255 
[AR3-acl-adv-3000]#quit

[AR3]interface GigabitEthernet0/0/0
[AR3-GigabitEthernet0/0/0] ip address 202.101.23.1 255.255.255.252 
[AR3-GigabitEthernet0/0/0] nat outbound 3000
[AR3-GigabitEthernet0/0/0]quit

[AR3]interface GigabitEthernet0/0/1
[AR3-GigabitEthernet0/0/1] ip address 192.168.20.254 255.255.255.0 
[AR3-GigabitEthernet0/0/1]quit

[AR3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

IPsec VPN

[AR3]acl number 3001  
[AR3-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 19
2.168.10.0 0.0.0.255 
[AR3-acl-adv-3001]quit

[AR3]ipsec proposal fz
[AR3-ipsec-proposal-fz] esp authentication-algorithm md5 
[AR3-ipsec-proposal-fz] esp encryption-algorithm des 	
[AR3-ipsec-proposal-fz] encapsulation-mode tunnel 
[AR3-ipsec-proposal-fz]quit

[AR3]ipsec policy fuzhou 1 manual
[AR3-ipsec-policy-manual-fuzhou-1] security acl 3001
[AR3-ipsec-policy-manual-fuzhou-1] proposal fz
[AR3-ipsec-policy-manual-fuzhou-1] tunnel local 202.101.23.1
[AR3-ipsec-policy-manual-fuzhou-1] tunnel remote 202.101.12.1
[AR3-ipsec-policy-manual-fuzhou-1]sa spi inbound esp 54321
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key inbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]sa spi outbound esp 12345
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key outbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]qu

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy fuzhou

查看AR3上的IPSec SA表
在这里插入图片描述

PC

在这里插入图片描述
在这里插入图片描述

检验

ping 成功啦
在这里插入图片描述
抓包查看
数据也全都进行ESP加密,成功
在这里插入图片描述

配置文档

AR1

#
 sysname AR1
#
 undo info-center enable
#
acl number 3000  
 rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
 
 rule 10 permit ip source 192.168.10.0 0.0.0.255 
#
interface GigabitEthernet0/0/0
 ip address 202.101.12.1 255.255.255.252 
 nat outbound 3000
 ipsec policy zhangzhou
#
interface GigabitEthernet0/0/1
 ip address 192.168.10.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2
#
acl number 3001  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55 
#
ipsec proposal zz
 esp authentication-algorithm md5 
 esp encryption-algorithm des 	
 encapsulation-mode tunnel 
#
ipsec policy zhangzhou 1 manual
 security acl 3001
 proposal zz
 tunnel local 202.101.12.1
 tunnel remote 202.101.23.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher baixi
 sa spi outbound esp 54321
 sa string-key outbound esp cipher baixi
#

AR2

#
 sysname AR3
#
 undo info-center enable
#
acl number 3000  
 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 
 rule 10 permit ip source 192.168.20.0 0.0.0.255 
#
interface GigabitEthernet0/0/0
 ip address 202.101.23.1 255.255.255.252 
 nat outbound 3000
 ipsec policy fuzhou
#
interface GigabitEthernet0/0/1
 ip address 192.168.20.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2
#
acl number 3001  
 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
#
ipsec proposal fz
 esp authentication-algorithm md5 
 esp encryption-algorithm des 	
 encapsulation-mode tunnel 
#
ipsec policy fuzhou 1 manual
 security acl 3001
 proposal fz
 tunnel local 202.101.23.1
 tunnel remote 202.101.12.1
 sa spi inbound esp 54321
 sa string-key inbound esp cipher baixi
 sa spi outbound esp 12345
 sa string-key outbound esp cipher baixi
#
华为网络配置IPSec
1风天云月的博客
12-17 8167
目录 前言 一、IPSec概述 1、IPSec介绍 2、IPSec的安全性 3、安全联盟 4、安全协议 5、封装模式 6、传输模式和隧道模式比较 7、加密和验证 8、密钥交换 9、IKE协议 10、IKE安全机制 11、IKE版本 二、IPSec配置 1、案例 2、配置过程 (1)AR1 (2)AR2 (3)AR3 (4)在总公司上搭建简单web服务 3、测试 (1)分公司访问总公司 (2)总公司访问分公司 (3)访问总公司web服务 结语
华为eNSP IPsec VPN配置指南
外游者
04-10 8740
虚拟专用网络VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN步骤,并解析每一条关键命令的含义。
互联网安全协议IPsec
最新发布
m0_74186706的博客
03-18 1226
一、IPsec基础知识一、IPsec基础知识IPsec(Internet Protocol Security,缩写为IPsec,即互联网安全协议),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
华为IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-08 4866
本篇文章是关于IPsec VPN的 实验配置,场景是在一段IP地址是固定和另一端IP地址不固定的情况下的,那里面的配置思路会和两端地址固定的场景有一些不一样,文章里面都有注释,会更好去理解啦等等
华为IPSec VPN配置
热门推荐
caolongbin的博客
09-08 2万+
基于华为ENSP的简单IPSecVPN实验
华为eNSP IPsec VPN配置
tbhhjsnd的博客
06-17 5272
现在可以看到PC1和PC 2是可以互相通信的, 通过按照上述步骤在eNSP中配置站点到站点的IPsec VPN,我们建立了安全的通信。安全关联(Security Association,SA): 定义了通信双方之间的安全参数,如密钥、加密算法、认证算法等。[VR1] interface gigabitethernet 0/0/0 // 进入GigabitEthernet0/0/1接口配置模式。站点到站点(Site-to-Site): 用于连接不同地理位置的网络,如分公司和总部之间的连接。
华为防火墙上配置ipsec vpn
Richardlygo的博客
08-27 1657
为了实现总部与分部之间的内网通讯,在防火墙上架设ipsec vpn,实现内网之间的加密通讯。 防火墙配置默认路由总部-FW分部-FW配置接口IP以及安全域分部-FW总部-FW在分部和总部的防护墙上添加地址条目总部-FW分部-FW添加安全策略,放行指定IP总部-FW分部-FWweb配置dhcp服务时需在接口上启用dhcp,否则无法创建dhcp服务ZB-FW需要注意,如果未配置策略则会出现路由不通总部-FW在总部-FW上配置本段接口、地址、对端地址、本端ID、预共享密钥总部-FW配置加密数据流,添加总部私网
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 1万+
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
华为ensp关于ipsec配置手动模式避坑)
qq_45673244的博客
11-08 1085
IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。
华为路由器配置IPSec (手动配置)
qq_42906357的博客
12-19 3411
华为路由器配置IPSec VPN手动配置) 如图:上海总部 和 合肥分部需要建立IPsec VPN 步骤: 1、配置网络可达 2、配置感兴趣流 3、创建安全提议(IPSec proposal) 4、创建安全策略(IPSec policy) 5、验证 1、配置网络可达 AR1配置: // AR1的配置 sys sys Router_SH dhcp enable acl 3000 rule 1 deny ip des 192.168.20.0 0.0.0.255 //此网段需
计算机网络-IPSec VPN基础实验一(主模式)
Linux基础知识、计算机网络基础学习分享。
12-09 1656
确保出口IP能够正常通信,需要注意的是这里只考虑到VPN流量,实际情况下可能是有internet上网流量和VPN互访流量,需要在ACL中进行区分,也就是在NAT时候调用ACL,先拒绝掉VPN流量然后允许上网流量。在华为以及华三设备中通过配置安全体验来定义一些如加密算法、认证算法、传输模式等内容,在IKE中又分为IKE 安全提议(ike proposal)以及IPSec 安全提议(ipsec proposal)。先根据我实际工作中应用到的技术与理论进行一个结合吧,如果有不同的欢迎交流。
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为模拟器GRE与IPsec隧道加密配置
q742598699的博客
10-22 1234
放通比必要的安全策略 安全策略需要放通untrust–local与local—untrust的GRE协议号报文,ip协议号47 ,local–untrust可改为local-any放通所有 创建GREVPN隧道,以下为两个设备的配置 创建GRE成功后需要手动指定到达对端内网的路由,下一条指向对端的隧道IP,否则无法到达对端内网 放通内网到对端内网的安全策略,为了局域网安全可做精细化匹配 最终GREVPN隧道配置完成可ping通对方内网 注意:因为创建的GRE属于untrust区域又做了内网到外网的
华为IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-08 5334
本篇文章是关于IPsec VPN的 实验配置,场景是在两端的IP地址都是固定的情况下,里面有配置思路和配置代码,还有注释等等
华为路由器 IPSec VP* 配置
一直被模仿,从未被超越
05-31 1万+
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
华为设备IPsecVPN配置记录
weixin_45103766的博客
05-14 659
IPsec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE协议动态协商,IKE协议建立在internet安全联盟和密钥管理协议ISAKMP框架之上,采用DH算法在不安全的网络上安全的分发密钥,验证身份,以保证数据传输的安全性。IKE协议可提升密钥的安全性,并降低 IPsec管理复杂度。默认sha2-256验证算法……2.配置Ipsec安全协议(封装模式,安全协议,加密算法和验证算法)IKE SA:主模式和野蛮模式:安全性低已被模板模式取代。RB的配置与RA类似,省略。
IPSec VPN配置
LCH131420的博客
12-08 1758
执行display ipsec proposal命令,验证配置结果。执行display ipsec proposal命令,验证配置结果。待OSPF收敛完成后,查看OSPF邻居以及路由表。步骤配置IPSec VPN提议。步骤七 在接口下应用IPSec策略。步骤配置ACL定义感兴趣流。步骤一 完成基本配置步骤六 创建IPSec策略。步骤八 检测网络的连通性。步骤二 创建逻辑接口。步骤配置OSPF。
华为HCIA-IPSec VPN实验配置
qq_37257635的博客
06-05 3414
华为HCIA-IPSec VPN实验配置
华为IPSEC 野蛮模式配置
05-12
配置华为IPSec野蛮模式需要以下步骤: 1. 创建安全策略 ``` security policy 10 action permit local selector 10.0.0.0/24 remote selector 20.0.0.0/24 ``` 其中,security policy 10是安全策略的编号,action permit表示允许通过,local selector是本地子网,remote selector是远程子网。 2. 创建IPSec策略 ``` ipsec proposal proposal1 esp authentication-algorithm sha1 esp encryption-algorithm des ah authentication-algorithm sha1 ah encryption-algorithm des ipsec policy policy1 isakmp security acl number 2000 proposal proposal1 pfs dh-group2 remote-address 20.0.0.0 ``` 其中,ipsec proposal是IPSec提案,ipsec policy是IPSec策略,security acl number是ACL编号,proposal是提案名称,pfs表示Perfect Forward Secrecy,remote-address是远程主机地址。 3. 创建IKE策略 ``` ike proposal proposal1 authentication-method pre-shared-key dh-group2 encryption-algorithm des integrity-algorithm sha1 ike peer peer1 ike-proposal proposal1 pre-shared-key cipher %^%#LSJL9d$eQmW(]a9@G<g6hS#W%1yXn9iqk{PQD!%i%^%# ike-version v1 remote-address 20.0.0.1 ``` 其中,ike proposal是IKE提案,ike peer是IKE对端,pre-shared-key是预共享密钥,remote-address是远程主机地址。 4. 创建VPN实例 ``` ip vpn-instance vpn1 ipv4-family route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity route-target export 100:1 route-target import 100:1 ``` 其中,ip vpn-instance是VPN实例,ipv4-family是IPv4族,route-distinguisher是路由区分器,vpn-target是VPN目标,route-target是路由目标。 5. 创建VPN接口 ``` interface Tunnel1 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.0 tunnel-protocol ipsec tunnel-policy policy1 tunnel source 10.0.0.1 tunnel destination 20.0.0.1 ``` 其中,interface Tunnel1是VPN接口,ip binding vpn-instance是绑定VPN实例,ip address是IP地址,tunnel-protocol是隧道协议,tunnel-policy是隧道策略,tunnel source是隧道源地址,tunnel destination是隧道目的地址。 配置完成后,可以通过ping测试隧道是否正常工作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张白夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值