基于Ensp的IPsec 实验

已于 2022-08-03 10:49:04 修改
阅读量3.5k 收藏 45
点赞数 4
分类专栏: ensp设计 文章标签: 网络
于 2022-08-02 12:01:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WANGMH13/article/details/126119678
版权

目录

 1.实验拓扑如图

2.需求

3.需求分析

4.ipsec配置顺序

5.IPSec 的配置

 1.实验拓扑如图

2.需求

总部和分部通过IPSec VPN连接

总部和分部都能访问外网

3.需求分析

这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流和外网流量的匹配这个实验的难点在于IPSec VPN的配置,IPSec VPN的配置复杂,而且VPN两边参数不一致,会导致VPN无法建立

4.ipsec配置顺序

配置ACL感兴趣流匹配去往分部私网的流量

创建ike提议

在ike提议视图中,可以配置Authentication method、 Authentication algorithm、 Encryption algorithm、DH算法(DH算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥,在IPSec隧道的两端设置的Diffie-Hellman组必须相同,否则IKE协商不能通过)等参数。这些参数都有默认值,如图

创建ike对等体

配置协商模式为主模式/野蛮模式(默认主模式)调用ike提议设置预共享密钥主模式下则配置本端和对端公网地址

创建ipsec提议

配置保护协议(默认为ESP)

配置工作模式(默认为隧道模式)

配置验证算法

配置加密算法

注:以上参数都有默认值,如图

创建ipsec策略

调用acl

指定ike peer

调用ipsec提议

应用安全策略

在公网接口下应用ipsec 策略

5.IPSec 的配置

R1的配置

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.2 24

[Huawei-GigabitEthernet0/0/0]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip add 1.1.1.1 24

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]ip route-static 0.0.0.0 0 1.1.1.2

//创建acl 3000,拒绝IPSec vpn流量,放行其余流量

[Huawei]acl 3000 

[Huawei-acl-adv-3000]rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192

.168.2.0 0.0.0.255

[Huawei-acl-adv-3000]rule 5 permit ip    

[Huawei-acl-adv-3000]quit

//创建acl 3001,匹配去往分部私网的流量

[Huawei]acl 3001

[Huawei-acl-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 192

.168.2.0 0.0.0.255

[Huawei-acl-adv-3001]quit

//创建ike提议

[Huawei]ike proposal 1

[Huawei-ike-proposal-1]authentication-method pre-share

[Huawei-ike-proposal-1]authentication-algorithm sha1

[Huawei-ike-proposal-1]encryption-algorithm  des-cbc

[Huawei-ike-proposal-1]dh group14

[Huawei-ike-proposal-1]quit

//创建ike对等体

[Huawei]ike peer to_fen v2

[Huawei-ike-peer-to_fen]ike-proposal 1

[Huawei-ike-peer-to_fen]pre-shared-key cipher 123

[Huawei-ike-peer-to_fen]local-address 1.1.1.1

[Huawei-ike-peer-to_fen]remote-address 1.1.2.3

[Huawei-ike-peer-to_fen]quit

//创建ipsec提议

[Huawei]ipsec proposal 1

[Huawei-ipsec-proposal-1]transform esp

[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2-256

[Huawei-ipsec-proposal-1]esp encryption-algorithm 3des

[Huawei-ipsec-proposal-1]quit

//创建ipsec 策略

[Huawei]ipsec policy to_fen 1 isakmp

[Huawei-ipsec-policy-isakmp-to_fen-1]security acl 3001

[Huawei-ipsec-policy-isakmp-to_fen-1]ike-peer to_fen

[Huawei-ipsec-policy-isakmp-to_fen-1]proposal 1

[Huawei-ipsec-policy-isakmp-to_fen-1]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ipsec policy to_fen

[Huawei-GigabitEthernet0/0/1]nat outbound 3000

R2的配置(R2只需要配好相应的ip即可)

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24

[Huawei-GigabitEthernet0/0/0]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip add 1.1.2.2 24

R3的配置

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip add 1.1.2.3 24

[Huawei-GigabitEthernet0/0/0]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.2 24

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]ip route-static 0.0.0.0 0 1.1.2.2

[Huawei]acl 3000

[Huawei-acl-adv-3000]rule 0 deny ip source 192.168.2.0 0.0.0.255 destination  19

2.168.1.0 0.0.0.255

[Huawei-acl-adv-3000]rule 5 permit ip

[Huawei-acl-adv-3000]quit

[Huawei]acl 3001

[Huawei-acl-adv-3001]rule permit ip source  192.168.2.0 0.0.0.255 destination 19

2.168.1.0 0.0.0.255

[Huawei-acl-adv-3001]quit

[Huawei]ike proposal 1

[Huawei-ike-proposal-1]authentication-method pre-share

[Huawei-ike-proposal-1]authentication-algorithm sha1

[Huawei-ike-proposal-1]encryption-algorithm des

[Huawei-ike-proposal-1]encryption-algorithm des-cbc

[Huawei-ike-proposal-1]dh group14

[Huawei-ike-proposal-1]quit

[Huawei]ike peer to_zong v2

[Huawei-ike-peer-to_zong]ike-proposal 1

[Huawei-ike-peer-to_zong]pre-shared-key cipher 123

[Huawei-ike-peer-to_zong]local-address 1.1.2.3

[Huawei-ike-peer-to_zong]remote-address 1.1.1.1

[Huawei-ike-peer-to_zong]quit

[Huawei]ipsec proposal 1

[Huawei-ipsec-proposal-1]transform esp

[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2    

[Huawei-ipsec-proposal-1]esp authentication-algorithm sha2-256

[Huawei-ipsec-proposal-1]esp encryption-algorithm 3des

[Huawei-ipsec-proposal-1]quit

[Huawei]ipsec policy to_zong 1 isakmp

[Huawei-ipsec-policy-isakmp-to_zong-1]security acl 3001

[Huawei-ipsec-policy-isakmp-to_zong-1]ike-peer to_zong

[Huawei-ipsec-policy-isakmp-to_zong-1]proposal 1

[Huawei-ipsec-policy-isakmp-to_zong-1]quit

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ipsec policy to_zong

[Huawei-GigabitEthernet0/0/0]nat outbound 3000

网络攻城狮wl
关注
  • 4
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
IPSec 实验
A soul tortured by desire
07-13 2125
实验目的:通过模拟Internet,配置企业A与企业B之间建立IPSec 隧道,来实现企业PC之间互通; 第一步:联通性配置 配置AR1与AR3之间的静态路由,实现其企业A和企业B出口路由通过互联网互通; AR1: [AR1]ip route-static 20.1.1.0 24 10.1.1.2 AR3: [AR3]ip route-static 10.1.1.0 24 20.1.1.2 [AR3]ping 10.1.1.1 PING 10.1.1.1: 5...
ensp经典13个实验案例
05-07
实验1 mstp 实验2 vrrp配置 实验3 ospf高级配置 实验4 MSTP+VRRP+OSPF配置 实验5isis配置 实验6路由过滤配置 ...实验12 基于IKE主模式的IPSEC VPN 实验13 MPLS LDP的配置 实验14BGP MPLS VPN的配置
eNSP—防火墙+IPSec 站点到站点的虚拟专用网络
m0_46237205的博客
04-10 4295
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
网络安全实验3 IPSec-IP安全协议
最新发布
qq_26103901的博客
07-12 824
(2)本次实验我们实现的是两台主机之间的IPSec安全隧道,而不是两个网络之间的安全通信,因此,我们选择“此规则不指定隧道”,即选用传输模式IPSec,选中后单击“下一步”按钮。(1)双击“安全服务器(需要安全)”项,进入“安全服务器属性”页,可以看到在“规则”页签中已经存在3个“IP安全规则”,单击“添加”按钮,进入向导添加新安全规则。(6)在“IP筛选器描述和镜像属性”的“描述”中,可自由添加对新增筛选器的解释信息,在这里输入“与同组主机进行安全的icmp通信”,单击“下一步”按钮;
华为eNSP配置专题-IPSec的配置
日拱一卒的博客
10-26 1851
华为eNSP配置专题-IPSec的配置
华为eNSP IPsec VPN配置指南
外游者
04-10 6155
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
eNSP—虚拟专用网的IPSec配置
m0_46237205的博客
10-27 5747
实验拓扑图如下: 实验目的:把两个私网打通,PC1可以ping通PC2。 1、PC的配置: PC1 PC2 2、R1基本信息配置: < Huawei >sys [Huawei]undo info-center enable [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.10.254 24 [Huawei-GigabitEthernet0/0/0]undo shut [Huawei-GigabitEthernet
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 3063
ENSP配置IPSEC实验
基于ensp的路由交换实验
06-27
ensp 路由交换实验
ensp综合小实验.zip
06-28
初学者
华为ENSP全系实验.zip
07-06
静态 vxlan 同网段不同网段实验 WLAN配置拓扑 MX7 AR2220 中小型园区分支综合配置示例 园区网络项目实战 以太网链路聚合实验 虚拟防火墙基础实验 小型组网:NAT的典型应用 小型企业组网:网络地址转换、NAT server ...
ENSP华为实验拓扑.zip
12-21
用于期末复习!!!包含8个重要实验
华为ensp防火墙ipsec
热门推荐
西北纵队
11-22 1万+
菊厂防火墙ipsecvpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略是否允许区域间流量流动; 拓扑图的IP地址配置在图上已经标好,按照图示配置即可 地址配好,将会出现一个问题,防火墙的编号最小的接口将不会存在直连路由,哪怕你提前配置了一条往公网的静态默认路由,都不会显示在转发录音表中,这是因为防火墙默认有一个vpn模型在他的g0/0/0接口上,把他undo即可 [FW2-Gigab
[eNSP]建立IPSec隧道
ZXW_NUDT的博客
03-31 2773
1、配置静态路由 [AR 1]ip route-static 200.2.2.0 24 200.1.1.2 [AR 1]ip route-static 192.168.2.0 24 200.2.2.1 [AR 3]ip route-static 200.1.1.0 24 200.2.2.2 [AR 3]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-.
eNSP:mplsvpn综合实验
V_vevive的博客
08-15 612
r2]mpls[r2]bgp 1[r2]bgp 1[r2]bgp 1[r3]mpls[r4]mpls[r4]bgp 1[r4]bgp 1[r4]bgp 1[r6]rip 1。
华为HCIA进阶笔记:IPsec VPN原理与配置
君逍遥o
06-20 4756
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。lPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。
华为ensp防火墙双出口GRE over IPSEC主备切换
白话聊网络的博客
11-03 1926
IPSEC 对两个私网流量加密,通过GRE进行选路,通过静态路由来控制选路,但是主链路中的热任何节点故障,防火墙的主备ipsec流量该如何切换成为难题,这里用NQA和静态的联动,非常的可以解决该问题。配置nqa,只要你中间链路路由可达,指明目的地址,防火墙就开始发送nqa探测报文了。中间路由就是用动态协议打通网络,ospf isis 静态都可以,不是重点配置。本期实验适用在防火墙ipsec vpn多出口的场景,看拓扑。为两个gre隧道口创建两个ipsec名。配置ipsec流量进入gre隧道流量。
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2118
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
华为ensp中路由器IPSec VPN原理及配置命令(超详解)
博客之路,前途漫漫
05-13 3354
是一种通过公用网络建立安全连接的技术。它可以使您的设备看起来像是连接到另一个网络,例如公司或家庭网络,即使您实际上位于其他位置。通过在您的设备和远程服务器之间创建加密隧道来工作。该隧道可保护您的互联网流量免受窥探,即使您使用的是公共 Wi-Fi 网络
ensp ipsec功能实验
05-14
Ensp是华为公司提供的一款网络仿真软件,支持IPSec VPN功能的模拟。下面是一个简单的Ensp IPSec VPN实验步骤: 1. 创建拓扑:在Ensp中创建两个路由器,分别为R1和R2,然后将两个路由器连接起来。 2. 配置IP地址:对于R1和R2,分别配置它们的接口IP地址,使它们能够互相通信。 3. 配置ISAKMP协议:在R1和R2上分别配置ISAKMP协议,用于建立安全通信的SA(Security Association)。 4. 配置IPSec协议:在R1和R2上分别配置IPSec协议,用于实现数据加密和认证。 5. 配置ACL:在R1和R2上分别配置ACL,以控制流量的流向和访问。 6. 测试VPN连接:在R1和R2之间发送测试数据包,以验证VPN连接是否正常工作。 以上是一个简单的Ensp IPSec VPN实验步骤,你可以根据实际需要进行调整和扩展。Ensp提供了丰富的网络仿真功能,可以满足不同场景下的网络测试需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络攻城狮wl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值