华为路由器配置IPSEC VPN

已于 2024-05-07 14:11:23 修改
阅读量365 收藏 2
点赞数 8
文章标签: 华为 智能路由器 网络
于 2024-05-07 11:29:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaheguosong/article/details/138525484
版权

AR1为企业分支网关,AR2为企业总部网关,分支与总部通过公网建立通信。分支子网为10.0.10.0/24,总部子网为10.0.20.0/24。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支子网较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。

image-20240507105101634

采用如下思路配置虚拟隧道接口方式建立IPSec隧道:

 	1.配置接口的IP地址和到对端的静态路由,保证两端公网路由可达。
	2.配置IPSec安全提议,定义IPSec的保护方法。
	3.配置IKE对等体,定义对等体间IKE协商时的属性。
	4.配置安全框架,并引用安全提议和IKE对等体,确定对何种数据流采取何种保护方法。
	5.在Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。
	6.配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。

1 路由器基础配置

1 IP 地址配置

# R1
#
interface GigabitEthernet0/0/0
 ip address 10.0.10.254 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 100.0.0.1 255.255.255.0 

# R2
#
interface GigabitEthernet0/0/0
 ip address 200.0.0.1 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 10.0.20.254 255.255.255.0 

# internet
#
interface GigabitEthernet0/0/0
 ip address 100.0.0.2 255.255.255.0 
# 
interface GigabitEthernet0/0/1
 ip address 200.0.0.2 255.255.255.0 
# 
interface LoopBack0
 ip address 100.100.100.100 255.255.255.255

路由

# R1
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/1 100.0.0.2 

# R2
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/0 200.0.0.2

2 让内网PC1和PC2能够访问 ISP的loopback接口

# R1
acl number 3000  
 rule 5 permit ip source 10.0.10.0 0.0.0.255 
 
# 
# 让接口调用 ACL 3000 使指定的流量进行NAT转换
interface GigabitEthernet0/0/1
 nat outbound 3000

# R2
acl number 3000  
 rule 5 permit ip source 10.0.20.0 0.0.0.255 
#  
interface GigabitEthernet0/0/0
 nat outbound 3000

2 配置IPSEC 安全提议

# AR1和AR2
ipsec proposal tran1
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128

3 配置IKE对等体

# AR1
ike proposal 5
 encryption-algorithm aes-cbc-128
 dh group14
 
# AR1
ike peer zongbu v1
 pre-shared-key cipher Huawei@123
 ike-proposal 5
 
# AR2
ike proposal 5
 encryption-algorithm aes-cbc-128
 dh group14
 
# AR2
ike peer fenbu v1
 pre-shared-key cipher Huawei@123
 ike-proposal 5

4 在AR1和AR2上创建安全框架

#  AR1
ipsec profile profile1
 ike-peer zongbu
 proposal tran1
 
# AR2
ipsec profile profile1
 ike-peer fenbu
 proposal tran1

5 配置tunnel接口,调用安全框架

# AR1
interface Tunnel0/0/0
 ip address 192.168.1.1 255.255.255.0 
 tunnel-protocol ipsec
 source 100.0.0.1
 destination 200.0.0.1
 ipsec profile profile1
 
# AR2
interface Tunnel0/0/0
 ip address 192.168.1.2 255.255.255.0 
 tunnel-protocol ipsec
 source 200.0.0.1
 destination 100.0.0.1
 ipsec profile profile1

6 配置Tunnel接口的转发路由,将需要IPSEC保护的流量引导到Tunnel接口上

# AR1
ip route-static 10.0.20.0 24 Tunnel 0/0/0

# AR2
ip route-static 10.0.10.0 24 Tunnel 0/0/0
yoyo鹿鳴
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为路由器 IPSec VPN 配置
一直被模仿,从未被超越
05-31 7352
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
华为路由器实现ipsec
a_helloworlds的博客
01-15 2万+
ipsec,指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路...
华为HCIA进阶笔记:IPsec VPN原理与配置
君逍遥o
06-20 4482
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。lPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。
华为IPSec VPN配置
热门推荐
caolongbin的博客
09-08 2万+
基于华为ENSP的简单IPSecVPN实验
华为路由器MPLS VPN综合实验
m0_60861848的博客
11-05 9873
那么,首先要将公网做通和配置MPLS和配置BGP,即配置IP地址 ——> 配置OSPF路由 ——> 配置BGP(建立R2/R4对等体关系)——> 配置MPLS ,然后在R2、R4上配置VRF,为VRF接口配置IP地址,再分别为客户A和客户B的私网部分配置IP地址、使用静态或动态方式传递路由,最后在R2、R4上的各自VRF空间中通过双向重发布或BGP路由发布(BGP需配置为MP-BGP)。3. 客户A私网配置IP地址并使用静态方式传递路由。3. 客户B私网配置IP地址并使用动态方式传递路由。
中低端路由器典型配置实例
02-13
1、 补充了“FR典型配置”的配置脚本和注意点 ...7、 新增“安全-路由器与VRRP备份组虚地址之间建立IPSEC的典型配置” 8、 新增“安全-自反ACL典型配置” 9、 新增“系统管理-自动侦测的配置
华为IPSec实验.zip
最新发布
07-19
总部与分支机构之间建立IPSec VPN(总部采用固定IP,分部...配置基于路由的IPSec VPN(采用预共享密钥认证) VPN高可用性-主备链路冗余 VPN高可用性-设备冗余 IPSec预共享密钥身份验证 Efficient VPN - 使用的路由器
路由器防火墙基本原理及典型配置讲解
06-29
路由器防火墙基本原理及典型配置讲解
华为 (信息图) NE系列路由器特性微图 PKI
04-01
主要包含内容:为什么需要PKI、PKI的价值、PKI原理、PKI在IPsec VPN中的应用等。
华为HCIE-Security培训视频汇总集【共6期90集】.rar
09-15
26_vpn高可用_设备冗余_上行交换机或路由器部署实验 27_dsvpn技术_normal模式 28_dsvpn_shortcut模式_应用场景 29_dsvpn_normal_shortcut实验演示 30_ipv6技术讲解 31_ssl协议介绍 32_ssl_vpn功能介绍 33_ssl...
华为路由器配置IPSec (手动配置)
qq_42906357的博客
12-19 3032
华为路由器配置IPSec VPN(手动配置) 如图:上海总部 和 合肥分部需要建立IPsec VPN 步骤: 1、配置网络可达 2、配置感兴趣流 3、创建安全提议(IPSec proposal) 4、创建安全策略(IPSec policy) 5、验证 1、配置网络可达 AR1配置: // AR1的配置 sys sys Router_SH dhcp enable acl 3000 rule 1 deny ip des 192.168.20.0 0.0.0.255 //此网段需
华为secoclient提示“无法建立vpn链接,vpn服务器可能无法到达”
黄树茂博客
04-26 1万+
华为secoclient连sslvpn提示“无法建立vpn链接,vpn服务器可能无法到达” 这个问题修改下配置,取消国密算法,路由覆盖我也一并去掉了。
华为AR路由器IPsec *** 配置
weixin_46503909的博客
07-08 5518
配置思路: 采用如下思路配置采用IKE协商方式建立IPSec隧道: 1.配置接口的IP地址和到对端的静态路由,保证两端路由可达。 2.配置ACL,以定义需要IPSec保护的数据流。 3.配置IPSec安全提议,定义IPSec的保护方法。 4.配置IKE对等体,定义对等体间IKE协商时的属性。 5.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采用何种保护方法。 6.在接口,上应用安全策略组,使接口...
华为防火墙ipsec vp*实例配置
weixin_45457085的博客
03-22 1万+
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。 2、IPSEC配置 a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。 b、ike proposal(ike提案),如果是通过IKE自动协商..
华为路由器标准IPSEC配置
gotonet的专栏
11-10 5918
router A:ike proposal 1#     ike peer a pre-shared-key huawei-3com remote-address 202.0.0.2  #         ipsec proposal a#     ipsec policy a 1 isakmp security acl 3009 ike-peer a prop
华为路由器ipsec技术
迷逝
11-18 1483
实验拓扑 R1 按照拓扑配置好IP地址 这里省略。 R2配置 [R2]ip route-static 0.0.0.0 0 10.10.10.2 #加一条路由,使得两个公网IP互通 [R2]acl 3000 [R2-acl-adv-3000]rule permit ip source 192.168.11.0 0.0.0.255 destination 192.16 8.12.0 0.0.0.255 创建ipsec的安全提议 [R2]ipsec proposal pokes [R2-ipsec
华为路由器的 ssl vpn配置
05-11
SSL VPN(Secure Sockets Layer Virtual Private Network)是一种远程访问 VPN 技术,它使用 SSL/TLS 协议来保护数据传输的安全性,不需要安装客户端应用程序,只需要使用普通的 Web 浏览器即可访问企业内部资源。下面是华为路由器的 SSL VPN 配置步骤: 1. 配置 SSL VPN 服务端口:在系统视图下,执行以下命令: ``` sslvpn service-port <port> ``` 其中,<port> 为 SSL VPN 服务端口,可以设置为任意未被占用的端口。 2. 配置 SSL VPN 用户:在 AAA 视图下,执行以下命令: ``` local-user <username> password <password> service-type sslvpn ``` 其中,<username> 为 SSL VPN 用户名,<password> 为 SSL VPN 密码。 3. 配置 SSL VPN 策略:在防火墙视图下,执行以下命令: ``` firewall sslvpn-policy <policy-name> source <source-ip> destination <destination-ip> service http ``` 其中,<policy-name> 为 SSL VPN 策略名称,<source-ip> 为允许访问 SSL VPN 的源 IP 地址,<destination-ip> 为允许访问的目标 IP 地址。 4. 配置 SSL VPN 证书:在系统视图下,执行以下命令: ``` sslvpn certificate load <certificate-file> ``` 其中,<certificate-file> 为 SSL VPN 证书文件路径。 完成以上配置后,用户可以通过浏览器访问 SSL VPN 服务端口,并输入 SSL VPN 用户名和密码,即可访问企业内部资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值