ENSP实验四:搭建VPN(GRE,配置安全策略)

已于 2023-07-19 15:55:27 修改
阅读量3.5k 收藏 28
点赞数 3
分类专栏: 网络搭建 文章标签: 网络 eNsp
于 2023-07-19 15:52:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Carohuan/article/details/131810489
版权

 首先分析一下数据的流向:

PC1->PC2

1、FW1:trust->dmz   【192.168.1.1->192.168.2.1  ICMP】

2、AR1->AR2:【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】

3、FW2:

①untrust->local         202.1.1.1->202.1.3.1 GRE

②dmz->trust  【192.168.1.1->192.168.2.1  ICMP】

PC2->PC1

4、FW2: trust->dmz 【192.168.1.1<-192.168.2.1  ICMP】

5、AR2->AR1: 【202.1.1.1<-202.1.3.1|GRE|192.168.1.1<-192.168.2.1 icmp】

6、FW1:

① untrust->local   202.1.1.1<-202.1.3.1|GRE

②dmz->trust  【192.168.1.1<-192.168.2.1  ICMP】

 一、基础配置+建立VPN通道+引流(参考ENSP实验三带内容)

**将Tunnel1逻辑接口配到dmz区域中

ping流量【192.168.1.1->192.168.2.1 icmp】从PC1流至FW1

二、FW1配置安全策略(单向:PC1->PC2):

[FW1]security-policy

[FW1-policy-security]rule name test1

[FW1-policy-security-rule-test1]source-zone trust

[FW1-policy-security-rule-test1]destination-zone dmz

[FW1-policy-security-rule-test1]source-address 192.168.1.1 mask 255.255.255.255

[FW1-policy-security-rule-test1]destination-address 192.168.2.1 mask 255.255.255

.255

[FW1-policy-security-rule-test1]service icmp

[FW1-policy-security-rule-test1]action permit

将流量送至FW1后,根据外层头二次查表,送至下一个路由AR1【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】

AR1查表,将流量送至AR2

三、配置FW2收流量带安全策略(单向:PC1->PC2)

收到AR2传来的流量【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】

1、策略1:决定收不收流量

[FW2]security-policy
[FW2-policy-security]rule name test1
[FW2-policy-security-rule-test1]source-zone untrust
[FW2-policy-security-rule-test1]destination-zone local
[FW2-policy-security-rule-test1]source-address 202.1.1.1 mask 255.255.255.255
[FW2-policy-security-rule-test1]destination-address 202.1.3.1 mask 255.255.255.2
55
[FW2-policy-security-rule-test1]service gre    或者service protocol 47
[FW2-policy-security-rule-test1]action permit

2、策略2:将流量送至trust区

[FW2]security-policy
[FW2-policy-security]rule name test2
[FW2-policy-security-rule-test2]display this
#
 rule name test2
  source-zone dmz
  destination-zone trust
  source-address 192.168.1.1 32
  destination-address 192.168.2.1 32
  service icmp
  action permit
#

*Icmp对应ping命令

四、反向配安全策略(PC2->PC1)

配置好后的策略:

*取消放行所有的安全策略:

[FW1]security-policy 	
[FW1-policy-security]default action deny
[FW2-policy-security]display this
#
security-policy
 rule name test1
  source-zone untrust
  destination-zone local
  source-address 202.1.1.1 32
  destination-address 202.1.3.1 32
  service protocol 47
  action permit
 rule name test2
  source-zone trust
  source-zone dmz
  destination-zone trust
  destination-zone dmz
  source-address 192.168.1.1 32
  source-address 192.168.2.1 32
  destination-address 192.168.1.1 32
  destination-address 192.168.2.1 32
  service icmp
  action permit
#

[FW1-policy-security] display this
#
security-policy
 rule name test1
  source-zone trust
  source-zone dmz
  destination-zone trust
  destination-zone dmz
  source-address 192.168.1.1 32
  source-address 192.168.2.1 32
  destination-address 192.168.1.1 32
  destination-address 192.168.2.1 32
  service icmp
  action permit
 rule name test2
  source-zone untrust
  destination-zone local
  source-address 202.1.3.1 32
  destination-address 202.1.1.1 32
  service protocol 47
  action permit
#

配置好后可实现PC1与PC2之间的ping

Carohuan
关注
  • 3
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为eNSP GRE实验
11-29
3. **GRE协议头**:GRE头部包含了必要的信息,如版本号、标志、校验和、Key标识符、序列号等,这些都是GRE隧道正常工作所必需的。 4. **GRE的封装与解封装**:当数据包进入GRE隧道时,它会被加上GRE头部,然后在...
eNSP实验:BGP 实验
03-24
eNSP实验:BGP实验是基于华为路由器的实验,主要涉及到BGP(Border Gateway Protocol,边界网关协议)的配置和验证。本实验旨在帮助读者熟悉BGP协议的基本概念和配置方法,掌握BGP在实际网络中的应用。 标题中的...
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
华为ensp中路由器IPSec VPN原理及配置命令(超详解)
博客之路,前途漫漫
05-13 2968
是一种通过公用网络建立安全连接的技术。它可以使您的设备看起来像是连接到另一个网络,例如公司或家庭网络,即使您实际上位于其他位置。通过在您的设备和远程服务器之间创建加密隧道来工作。该隧道可保护您的互联网流量免受窥探,即使您使用的是公共 Wi-Fi 网络
防火墙技术基础篇:基于eNSP配置GRE VPN
最新发布
qq_39241682的博客
05-31 1343
GRE VPN是一种基于GRE协议的VPN技术。GRE协议是一种通用的网络封装协议,它允许将一种网络协议的数据包封装到另一种网络协议的数据包中进行传输。通过使用GRE协议,可以实现不同网络协议之间的互通,从而满足企业在不同网络环境下的通信需求。
ENSP实验三:搭建VPN(GRE,未配置安全策略
Carohuan的博客
07-19 2429
Tunnel down的时候,是因为“出口路由需配置默认上网路由”***所有接口都必须规划到区域中***安全策略放行所有(一般不这样操作)
eNSP中的VPN配置
2301_79605318的博客
09-26 3369
1、在路由器之间配置静态或者动态路由以及缺省路由使公网之间能够互相通信,但私网不能与公网通信,以此来模拟现实中的情况。目的:使不同私网之间PC1与PC2能够互相通信,PC3不能够与PC2通信但能够访问公网。以上图所示网络拓扑为例,蓝色区域代表私网,红色区域代表公网。以上图所示网络拓扑为例,蓝色区域代表私网,红色区域代表公网。目的:使PC1与PC2之间通过VPN能够相互通信。2、配置nat使私网与公网能够互通。4、创建安全提议,此处使用的是AH。1、对设备进行基础的网络配置。3、进行VPN相关设置。
GRE--VPN配置实验ensp
weixin_58096579的博客
11-19 7148
如图可知,PC1从(192.168.12.1)左边的gre隧道的接口通过,访问192.168.2.197。图中标蓝的就是前面配置的gre隧道,其中设置的关键字key,且key的值为1b207就是前面设置‘111111’的十六进制。l192.168.1.0/24和192.168.2.0/24网段借助于在FW1和FW2上配置GRE-VPN的形式。AR1为两个网段的默认路由,AR1上的loo0为模拟外网。3.掌握防火墙安全区域的划分及安全策略配置。如图,从PC1->PC2可以ping通。
eNSP——vpn技术-gre与mgre
m0_63884865的博客
01-25 2106
本次实验要求直接的关联性并不大,每一个点都是可以单独进行学习的,放在一起考察配置,可以发现某一块问题还是很清晰的。本次的重要是GRE环境与MGER环境 的工作原理,数据包的封装,和配置思路,最终实现全网可达。没什么问题了叭。。。这次没有可指正的错误,欢迎提问拜拜~~~~
华为 eNsp ipSec vpn实验配置(1)
热门推荐
爱意随风起,人生不可弃。
04-11 2万+
实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-static 12.0.0.0 255.255.255.0 11.0.0.2 ip route-static 192.168.2.0 255.255.255.0 12.0.0.2 [Huawei]ac...
eNSP实验配置多区域的OSPF网络.doc
06-20
在本实验中,我们将配置一个多区域的OSPF网络,包括三个路由器R1、R2和R3。每个路由器都连接了多个网络,使用OSPF协议实现路由更新和failover。 OSPF网络的主要组件包括: 1. 路由器(Router):负责传输数据包和...
华为eNSP搭建的综合实验+实验报告
07-26
通过eNSP,用户可以模拟真实网络环境,配置和操作各种华为路由器、交换机,以及执行多种网络协议,如MGRE(多协议GRE隧道)、OSPF(开放最短路径优先)、RIP(路由信息协议)和BGP(边界网关协议)等。下面将详细...
基于eNSP搭建的企业网络搭建以及网络拓扑配置课程设计的方案
10-08
基于eNSP搭建的企业网络拓扑配置课程设计 具体课程要求如下: 设备:自由选择,尽量节省支出 1.实现全网互通(除FTP服务器之外) 2.在每台设备上配置telnet服务,方便远程管理。 3.由于预算有限需要在不更换设备的...
ENSP防火墙的配置实验,防火墙配置安全策略和GRE以及配置NAT进行路由通信
milu_nff的博客
05-16 7852
实验要求如下: 配置GRE 实现总部和分部客户端PC之间私有IPv4地址和IPv6相互通信 隧道IPv4地址:10.1.12.0/24 隧道IPv6地址:2001:12::/64 NAT 实现所有的PC通过NAT转换访问client1,使用Easy-ip技术实现 NAT Server FTP公网IP地址为110.1.1.100,client1通过此公网IP访问FTP服务 路由 全网使用静态路由来实现通信 该实验拓扑图如下 1、配置底层IP地址信息 FW1的配置 interface GigabitEth
华为eNSP IPsec VPN配置指南
外游者
04-10 5530
虚拟专用网络VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP配置IPsec VPN的步骤,并解析每一条关键命令的含义。
BGP/MPLS IP VPF(N) 实验ensp)
weixin_72910567的博客
04-04 2343
1.了解MPLS VPN的基本原理和配置方法。2.掌握VRF、RD和RT的作用和配置方法。3.验证MPLS VPN的功能和效果。需求:让R1和R2能够使用私有地址跟R6进行通信,并且能够互相访问到对方的l0接口。
企业网 SSL VPN 史诗级配置-华为ensp毕设实验
白话聊网络的博客
10-31 6053
最初实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通)重启成功后,打开ensp的云彩,就会发现有你刚才创建的VM2,添加网卡这步,应该都会吧,再不百度一大堆。点击刚才设置好的vm2,把dhcp分配地址取消掉,子网处设置题目需求的地址段,确定,在配置前,在虚拟机ping下防火墙接口,不通-白玩-通了之后再往下玩。
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 3885
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
玩转华为ENSP模拟器系列 | 跨VdPdNd实例场景下配置IPSec VdPdNd(通过Tunnel接口实现跨VdPdNd转发)
COCO_gsta的博客
10-13 1120
此举例以FW为A公司提供IPSec服务为例,说明如何配置IPSec多实例以及实现跨VPN转发。所示,PC1位于A公司分公司网络,分公司通过一个安全网关与Internet相连,本例中安全网关以FW_B为例进行说明。通过FW_A为A公司创建VPN1,实现PC1可以安全地访问VPN1。在FW_A上配置IPSec策略,并在Tunnel接口上应用此IPSec策略。在FW_A上配置VPN1实例、接口、安全区域和域间安全策略。在FW_B上配置IPSec策略,并在接口上应用此安全策略配置FW_B的基础配置
华为ENSP网络实验:交换机配置网络通信
"华为ENSP网络实验 (3).pdf提供了多个网络实验操作练习,涵盖了交换机基础配置、VLAN、RSTP、路由协议、VRRP、DHCP、NAT、ACL、链路聚合、DHCPSnooping与地址绑定等内容,旨在提升网络工程师的实践技能。" 在华为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值