点到多点VPN

最新推荐文章于 2024-09-16 09:36:19 发布
最新推荐文章于 2024-09-16 09:36:19 发布
阅读量980 收藏 10
点赞数 27
分类专栏: 防火墙安全实验配置 文章标签: 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/earthtoearth/article/details/140006422
版权

一、网络拓扑

实验思路:在IPSEC服务与客户端之间建立IPSEC通道,其中服务端IP地址固定,客户端IP地址不固定

二、基本配置

(一)按拓扑所示配置接口地址(此处省略)

(二)按拓扑所示配置防火墙区域接口、安全策略等(此处省略)

三、详细配置

(一)路由器端口拨号服务端设置

[R1-aaa]local-user USER password cipher HUAWEI

[R1-aaa]local-user USER service-type ppp

[R1]int Virtual-Template1

[R1-Virtual-Template1]dis th
[V200R003C00]
#
interface Virtual-Template1
 ppp authentication-mode chap 
 remote address 155.1.131.13 
 ip address unnumbered interface GigabitEthernet0/0/1
#

[R1-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1
 pppoe-server bind Virtual-Template 1
 ip address 155.1.131.1 255.255.255.0 
#

(二)防火墙端口拨号服务端、IPSEC拨号客户端设置

拨号接口设置

[FW2-Dialer1]DIS TH
#
interface Dialer1
 link-protocol ppp
 ppp chap user USER
 ppp chap password cipher HUAWEI
 mtu 1492
 ip address ppp-negotiate
 dialer user TEST
 dialer bundle 1
 ipsec policy LAN_MAP
#

[FW2-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1

[FW2-zone-untrust]dis th
#
firewall zone untrust
 add interface Dialer1
#

[FW2]ip route-static 0.0.0.0 0 Dialer 1

(三)防火墙IPSEC拨号服务端设置

[FW1-ike-peer-ALL]dis this
#
ike peer ALL
 pre-shared-key HUAWEI@123
 ike-proposal 10
#

[FW1-ipsec-policy-templet-DY_MAP-10]DIS TH
#
ipsec policy-template DY_MAP 10
 security acl 3000
 ike-peer ALL
 proposal LAN_SET
#

[FW1]ipsec policy LAN_MAP 10 isakmp template DY_MAP

[FW1-GigabitEthernet1/0/0]ipsec policy LAN_MAP

上述设置情况下仅能通过PC2发起(IPSEC拨号分支)发起才能建立IPSEC

[FW2-ipsec-policy-isakmp-LAN_MAP-10]dis th
2024-06-27 03:03:24.350 
#
ipsec policy LAN_MAP 10 isakmp
 security acl 3000
 ike-peer FW1
 proposal LAN_SET
 sa trigger-mode auto
#

在IPSEC拨号分支端的IPSEC策略上添加如上命令,使没有流量同样能够建立IPSEC

四、结果验证

[FW1]dis ike sa
IKE SA information :
 Conn-ID    Peer                                          VPN              Flag(
s)               Phase  RemoteType  RemoteID        
--------------------------------------------------------------------------------
----------------------------------------------------
 6          155.1.131.13:500                                               RD|A 
                 v2:2   IP          155.1.131.13    
 5          155.1.131.13:500                                               RD|A 
                 v2:1   IP          155.1.131.13    

  Number of IKE SA : 2
--------------------------------------------------------------------------------
----------------------------------------------------

earthtoearth
关注
专栏目录
订阅专栏
华为IPSEC总部对多点的配置
suweichao的博客
12-30 4633
ipsec总部对多点配置命令配置 学了两个月的HCNA,网上搜索仅有一点对一点的ipsec配置,现在自己能做一点对多点了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
华为ensp防火墙ipsec-vpn点到多点场景(1总-3分)
白话聊网络的博客
07-02 393
该场景适用于点到多点的毕设、大作业、课程等场景,该拓扑只不过是把各公司内网简化成一台pc,同学们要有举一反三的能力。需求很简单,中间的R代表互联网(公网),企业场景1总部对三分部,用过防火墙进行ipsec vpn点到多点部署。不要质疑我答案的正确性,我百分百保证,你照着敲大概率也会做不通,要具有排障能力。连通性正常后,ping各个分部的业务,观察ike sa 和ipsec sa。初次完成全补配置后,测试过程中均丢2个包,丢包为arp的过程,真机不会。杜绝拿着配置复制粘贴,不通就来质疑我的答案,真是可笑!
华为ensp企业网ipsec-vpn点到多点部署
白话聊网络的博客
09-20 745
KM-AR2220-AR1-ike-proposal-5] encryption-algorithm aes-cbc-128 //配置认证算法。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] proposal tran1 //绑定安全提议。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] ike-peer SY //绑定ike邻居。[KM-AR2220-AR1]ike proposal 5 //配置ike安全提议。
防火墙ipsec vpn点对多点
weixin_44732231的博客
05-31 916
华为防火墙部署ipsec vpn 点对多点,华为路由器部署isis
安全HCIP之IPSec点到多点
XiaoHG_CSDN的博客
10-10 1332
IPSec点到多点 优点 方便扩展分支,增加分支其它机构不需要增加ipsec相关配置; 配置简单,所有分支只需要指向总部即可; 分支机构可以不使用固定公网IP地址; 缺点 所有分支互访流量必须绕行总部(当然,多数情况下分支只需和总部通信); 流量必须先由分支触发来建立ipsec vpn隧道; 无法启用ospf学习路由; 适用情况 分支间互访流量很少,多数流量是分支和总部互访流量,支持远程出差人员拨号访问,分支数量不要过多建议少于15个(感兴趣流量配置较多) ...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
思科设备 IPSec VPX基本配置(多点
SurvivorL的博客
01-15 2802
项目需
ipsec ip替换_点到多点ipsec-vpn NAT穿透和固定IP共存
weixin_39678163的博客
12-20 475
总部#snmp-agent local-engineid 800007DB03000000000000snmp-agent#clock timezone Indian Standard Time minus 05:13:20clock daylight-saving-time Day Light Saving Time repeating 12:32 9-1 12:32 11-2300:00 20...
镜像问题(k8s部署考试系统)
m0_70848838的博客
09-14 1147
如果使用containerd拉取不到镜像的话,就使用docker
Linux入门1
m0_62770407的博客
09-15 767
Linux的内核源码开源,所以只需要在内核的基础上加入内核程序就能形成一个完美可用的“操作系统”。虚拟机的名字密码根据自己喜好设置即可,接下来我将虚拟机放到了D盘中,大小根据需求,接下来直接点击下一步即可。第一种是绝对路径,第二种是在。当不使用选项和参数,直接使用ls命令本体,表示:以平铺形式,列出当前工作目录下的内容。不同的发行版在Linux的基础部分都是相同的,本教程是以常用的CentOS为例展开。当Linux终端(命令行)打开的时候,会默认以用户的HOME目录作为当前的工作目录。
利用zabbix监控ogg进程(Windows平台)
Linux运维老纪的博客
09-13 504
在Windows平台上,可以通过Zabbix监控Oracle GoldenGate(OGG)进程的状态。 使用Zabbix自带的服务模板,它可以检查Windows上的进程。本章详细介绍如何使用zabbix监控ogg进程。
【计算机网络 - 基础问题】每日 3 题(七)
最新发布
Newin2020的博客
09-16 868
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
docker
czzwa的博客
09-11 825
Docker最初是dotCloud公司创始人Solomon Hykes在法国期间发起的一个公司内部项目,它是基于 dotCloud公司多年云服务技术的一次革新,并于2013年3月以Apache 2.0授权协议开源,Docker是用Go编 写,主要项目代码在GitHub上进行维护。Docker是一个用于开发,交付和运行应用程序的开放平台。Docker使用户能够将应用程序与基础架构 分开,从而可以快速交付软件。借助Docker,用户可以以与管理应用程序相同的方式来管理基础架构。
完结马哥教育SRE课程--基础篇
flytalei的博客
09-14 623
Shell是Linux系统的用户界面,提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令并把它送入内核去执行。显示当前使用的shell显示当前系统使用的所有shell日志服务主要负责: 1 .记录事件:捕获系统内核、服务和应用程序产生的事件,并将它们存储在日志文件中。2 .分类存储:将不同类型的日志信息分类存储在不同的日志文件中,如系统日志、内核日志、安全日志等。3 .日志轮替:定期管理日志文件,防止日志文件过大影响系统性能。
运维方案】软件运维服务方案(word)
xx_123321456的博客
09-14 220
本文末个人名片直接获取或者进主页。
私有云 centos7 yum 找不到源
yangziqi098的博客
09-12 249
私有云 centos7 yum 找不到源
安徽省农行三级网扁平化运维案例:监控易助力实现高效链路监测与一体化运维
MXsoft618的博客
09-13 480
通过拓扑图链路监管、自动巡检、定向告警等功能的应用,监控易为安徽省农行提供了高效、稳定的运维管理解决方案,助力其实现了业务系统的稳定运行和运维效率的提升。这些网点之间以及与外部运营商之间的链路错综复杂,如何确保这些链路的稳定运行,成为运维管理的关键。此外,安徽省农行还需要对所有网点进行一体化运维管理,实时监控网络配置和变更,及时发现设备隐患,提高运维效率。为了提升运维效率,确保业务系统的稳定运行,安徽省农行选择了监控易作为其运维管理的核心平台,成功实现了三级网扁平化运维改造。
DNS解析域名详解
qq_71416673的博客
09-12 426
如果没有,那DNS就会去网络中的某台DNS服务器查询,DNS服务器中存储了域名对应的ip的数据库表,当DNS服务器收到DNS查询请求后,会从数据库中查询数据,然后将查询到的对应的ip地址返回。对于我们而言,面对长串的ip地址,我们更喜欢记忆较短的域名,但是对于路由器来说,更喜欢定长的、有层次结构的ip,所以为了满足不同的喜好,就有了DNS解析服务。你有没有想过,当一个url传过来网络对它进行了哪些操作~DNS又是怎样对域名进行解析的~或者我们为什么要用到域名,为什么不直接使用ip地址~
openvpn的创新点
04-07
OpenVPN的创新点包括: 1. 安全性:OpenVPN使用SSL/TLS协议来保证通信安全,同时支持多种加密算法和认证方式,使得通信过程更加安全可靠。 2. 跨平台:OpenVPN可以运行在多种操作系统上,包括Windows、Linux、macOS、Android、iOS等,且支持多种网络协议,如TCP、UDP、ICMP等。 3. 灵活性:OpenVPN支持客户端到客户端之间的通信,也可以连接到其他VPN服务器,支持多种拓扑结构,如星型、网状等,满足各种复杂的网络需求。 4. 易用性:OpenVPN提供了多种客户端软件,如OpenVPN Connect、Tunnelblick等,简化了配置和使用过程,使得用户更容易上手。 5. 社区支持:OpenVPN拥有活跃的社区支持,提供了丰富的文档和教程,同时也有大量的第三方插件和工具,方便用户进行定制和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值