玩转华为ENSP模拟器系列 | 总部与分支结构之间建立IPSec VdPdNd(总部采用固定IP)

最新推荐文章于 2023-11-28 09:39:24 发布
最新推荐文章于 2023-11-28 09:39:24 发布
阅读量1.2k 收藏 7
点赞数 1
分类专栏: 实验笔记 文章标签: 华为 tcp/ip 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guolianggsta/article/details/127194595
版权

素材来源:华为防火墙配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验

目标

在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSec隧道,各个分支机构之间的通信由总部节点转发和控制。本举例中采用ISAKMP方式IPSec安全策略与IP固定的分支对接,采用模板方式的IPSec安全策略与IP不固定的分支对接。

组网需求

图1所示,某企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。组网如下:

  • 分支机构1和分支机构2分别通过FW_B和FW_C与Internet相连。
  • FW_A和FW_B、FW_A和FW_C相互路由可达。
  • 总部FW_A和分支FW_B为固定公网地址,FW_C为动态公网IP地址。

要求实现如下需求:

  • 分支机构PC2、PC3能与总部PC1之间进行安全通信。
  • FW_A、FW_B以及FW_A、FW_C之间分别建立IPSec隧道。FW_B、FW_C不直接建立任何IPSec连接。

配置思路

  1. 完成接口基本配置、路由配置,并开启安全策略。
  1. 配置IPSec策略。包括配置IPSec策略的基本信息、配置待加密的数据流、配置安全提议的协商参数。

操作步骤

  1. 配置FW_A的基础配置。包括配置接口IP地址、接口加入安全区域、域间安全策略和静态路由。

    1. 配置接口IP地址。
    2. <sysname> system-view
[sysname] sysname FW_A
[FW_A] interface gigabitethernet 1 / 0 / 3
[FW_A-GigabitEthernet1/0/3] ip address 10.1.1.1  24
[FW_A-GigabitEthernet1/0/3] quit
[FW_A] interface gigabitethernet 1 / 0 / 1
[FW_A-GigabitEthernet1/0/1] ip address 1.1.3.1  24
[FW_A-GigabitEthernet1/0/1] quit
复制代码
    3. 配置接口加入相应的安全区域。
    4. [FW_A] firewall zone trust
[FW_A-zone-trust] add interface gigabitethernet 1 / 0 / 3
[FW_A-zone-trust] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface gigabitethernet 1 / 0 / 1
[FW_A-zone-untrust] quit
复制代码
    5. 配置Trust域与Untrust域之间的域间安全策略。
    6. [FW_A] security-policy
[FW_A-policy-security] rule name policy1
[FW_A-policy-security-rule-policy1] source-zone trust
[FW_A-policy-security-rule-policy1] destination-zone untrust
[FW_A-policy-security-rule-policy1] source-address 10.1.1.0  24
[FW_A-policy-security-rule-policy1] destination-address 10.1.2.0  24
[FW_A-policy-security-rule-policy1] destination-address 10.1.3.0  24
[FW_A-policy-security-rule-policy1] action permit
[FW_A-policy-security-rule-policy1] quit
[FW_A-policy-security] rule name policy2
[FW_A-policy-security-rule-policy2] source-zone untrust
[FW_A-policy-security-rule-policy2] destination-zone trust
[FW_A-policy-security-rule-policy2] source-address 10.1.2.0  24
[FW_A-policy-security-rule-policy2] source-address 10.1.3.0  24
[FW_A-policy-security-rule-policy2] destination-address 10.1.1.0  24
[FW_A-policy-security-rule-policy2] action permit
[FW_A-policy-security-rule-policy2] quit
复制代码
    7. 配置Untrust域与Local域之间的域间安全策略。
    8. [FW_A-policy-security] rule name policy3
[FW_A-policy-security-rule-policy3] source-zone local
[FW_A-policy-security-rule-policy3] destination-zone untrust
[FW_A-policy-security-rule-policy3] source-address 1.1.3.1  32
[FW_A-policy-security-rule-policy3] action permit
[FW_A-policy-security-rule-policy3] quit
[FW_A-policy-security] rule name policy4
[FW_A-policy-security-rule-policy4] source-zone untrust
[FW_A-policy-security-rule-policy4] destination-zone local
[FW_A-policy-security-rule-policy4] destination-address 1.1.3.1  32
[FW_A-policy-security-rule-policy4] action permit
[FW_A-policy-security-rule-policy4] quit
[FW_A-policy-security] quit
复制代码
    9. 配置到达分支机构的静态路由,此处假设下一跳地址为1.1.3.2。
    10. [FW_A] ip route- static  0.0.0.0  0.0.0.0  1.1.3.2
复制代码

  1. 在FW_A上配置IPSec策略组,并在接口上应用IPSec策略组。

    1. 定义被保护的数据流。

      1. 配置高级ACL 3000,定义总部到分支机构1的数据流。
      2. [FW_A] acl 3000
[FW_A-acl-adv-3000] rule 5 permit ip source 10.1.1.0  0.0.0.255 destination 10.1.2.0  0.0.0.255
[FW_A-acl-adv-3000] rule 10 permit ip source 10.1.2.0  0.0.0.255 destination 10.1.3.0  0.0.0.255
[FW_A-acl-adv-3000] quit
复制代码
      3. 配置高级ACL 3001,定义总部到分支机构2的数据流。
      4. [FW_A] acl 3001
[FW_A-acl-adv-3001] rule 5 permit ip source 10.1.1.0  0.0.0.255 destination 10.1.3.0  0.0.0.255
[FW_A-acl-adv-3001] rule 10 permit ip source 10.1.3.0  0.0.0.255 destination 10.1.2.0  0.0.0.255
[FW_A-acl-adv-3001] quit
复制代码

    2. 配置IPSec安全提议。采用默认参数。

    3. [FW_A] ipsec proposal tran1
[FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_A-ipsec-proposal-tran1] quit
复制代码

    4. 配置IKE安全提议。采用默认参数。

    5. [FW_A] ike proposal 10
[FW_A-ike-proposal-10] authentication-method pre-share
[FW_A-ike-proposal-10] prf hmac-sha2- 256
[FW_A-ike-proposal-10] encryption-algorithm aes- 256
[FW_A-ike-proposal-10] dh group2
[FW_A-ike-proposal-10] integrity-algorithm hmac-sha2- 256
[FW_A-ike-proposal-10] quit
复制代码

    6. 配置IKE Peer。

      1. 配置名称为b的IKE Peer。
      2. [FW_A] ike peer b
[FW_A-ike-peer-b] ike-proposal 10
[FW_A-ike-peer-b] remote-address 1.1.5.1
[FW_A-ike-peer-b] pre-shared-key Test ! 1234
[FW_A-ike-peer-b] quit
复制代码
      3. 配置名称为c的IKE Peer。
      4. [FW_A] ike peer c
[FW_A-ike-peer-c] ike-proposal 10
[FW_A-ike-peer-c] pre-shared-key Test ! 1234
[FW_A-ike-peer-c] quit
复制代码

    7. 配置IPSec策略组map1的序号为10的IPSec策略。

    8. [FW_A] ipsec policy map1 10 isakmp
[FW_A-ipsec-policy-isakmp-map1-10] security acl 3000
[FW_A-ipsec-policy-isakmp-map1-10] proposal tran1
[FW_A-ipsec-policy-isakmp-map1-10] ike-peer b
[FW_A-ipsec-policy-isakmp-map1-10] quit
复制代码

    9. 配置名称为map_temp序号为1的IPSec策略模板。

    10. [FW_A] ipsec policy-template map_temp 1
[FW_A-ipsec-policy-templet-map_temp-1] security acl 3001
[FW_A-ipsec-policy-templet-map_temp-1] proposal tran1
[FW_A-ipsec-policy-templet-map_temp-1] ike-peer c
[FW_A-ipsec-policy-templet-map_temp-1] quit
复制代码

    11. 在IPSec策略组map1的序号为20的安全策略中引用IPSec策略模板map_temp。

    12. [FW_A] ipsec policy map1 20 isakmp template map_temp
复制代码

    13. 在接口GE1/0/1上应用IPSec策略组map1。

    14. [FW_A] interface gigabitethernet 1 / 0 / 1
[FW_A-GigabitEthernet1/0/1] ipsec policy map1
[FW_A-GigabitEthernet1/0/1] quit
复制代码

  1. 配置FW_B的基础配置。

    1. 配置接口IP地址,并将接口加入域。

      1. 配置接口IP地址。
      2. <sysname> system-view
[sysname] sysname FW_B
[FW_B] interface gigabitethernet 1 / 0 / 3
[FW_B-GigabitEthernet1/0/3] ip address 10.1.2.1  24
[FW_B-GigabitEthernet1/0/3] quit
[FW_B] interface gigabitethernet 1 / 0 / 1
[FW_B-GigabitEthernet1/0/1] ip address 1.1.5.1  24
[FW_B-GigabitEthernet1/0/1] quit
复制代码
      3. 将接口GE1/0/3加入Trust区域,接口GE1/0/1加入Untrust区域
      4. [FW_B] firewall zone trust
[FW_B-zone-trust] add interface gigabitethernet 1 / 0 / 3
[FW_B-zone-trust] quit
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface gigabitethernet 1 / 0 / 1
[FW_B-zone-untrust] quit
复制代码

    2. 配置域间安全策略。

      1. 配置Trust域与Untrust域之间的域间安全策略。
      2. [FW_B] security-policy
[FW_B-policy-security] rule name policy1
[FW_B-policy-security-rule-policy1] source-zone trust
[FW_B-policy-security-rule-policy1] destination-zone untrust
[FW_B-policy-security-rule-policy1] source-address 10.1.2.0  24
[FW_B-policy-security-rule-policy1] destination-address 10.1.1.0  24
[FW_B-policy-security-rule-policy1] action permit
[FW_B-policy-security-rule-policy1] quit
[FW_B-policy-security] rule name policy2
[FW_B-policy-security-rule-policy2] source-zone untrust
[FW_B-policy-security-rule-policy2] destination-zone trust
[FW_B-policy-security-rule-policy2] source-address 10.1.1.0  24
[FW_B-policy-security-rule-policy2] destination-address 10.1.2.0  24
[FW_B-policy-security-rule-policy2] action permit
[FW_B-policy-security-rule-policy2] quit
复制代码
      3. 配置Untrust域与Local域之间的域间安全策略。
      4. [FW_B-policy-security] rule name policy3
[FW_B-policy-security-rule-policy3] source-zone local
[FW_B-policy-security-rule-policy3] destination-zone untrust
[FW_B-policy-security-rule-policy3] source-address 1.1.5.1  32
[FW_B-policy-security-rule-policy3] destination-address 1.1.3.1  32
[FW_B-policy-security-rule-policy3] action permit
[FW_B-policy-security-rule-policy3] quit
[FW_B-policy-security] rule name policy4
[FW_B-policy-security-rule-policy4] source-zone untrust
[FW_B-policy-security-rule-policy4] destination-zone local
[FW_B-policy-security-rule-policy4] source-address 1.1.3.1  32
[FW_B-policy-security-rule-policy4] destination-address 1.1.5.1  32
[FW_B-policy-security-rule-policy4] action permit
[FW_B-policy-security-rule-policy4] quit
[FW_B-policy-security] quit
复制代码

    3. 配置到达总部和其他私网的静态路由,此处假设下一跳地址为1.1.5.2。

    4. [FW_B] ip route- static  0.0.0.0  0.0.0.0  1.1.5.2
复制代码

  1. 在FW_B上配置IPSec策略,并在接口上应用IPSec策略。

    1. 定义被保护的数据流。
    2. [FW_B] acl 3000
[FW_B-acl-adv-3000] rule 5 permit ip source 10.1.2.0  0.0.0.255 destination 10.1.1.0  0.0.0.255
[FW_B-acl-adv-3000] rule 10 permit ip source 10.1.2.0  0.0.0.255 destination 10.1.3.0  0.0.0.255
[FW_B-acl-adv-3000] quit
复制代码
    3. 配置名称为tran1的IPSec安全提议。采用默认参数。
    4. [FW_B] ipsec proposal tran1
[FW_B-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_B-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_B-ipsec-proposal-tran1] quit
复制代码
    5. 配置序号为10的IKE安全提议。采用默认参数。
    6. [FW_B] ike proposal 10
[FW_B-ike-proposal-10] authentication-method pre-share
[FW_B-ike-proposal-10] prf hmac-sha2- 256
[FW_B-ike-proposal-10] encryption-algorithm aes- 256
[FW_B-ike-proposal-10] dh group2
[FW_B-ike-proposal-10] integrity-algorithm hmac-sha2- 256  
[FW_B-ike-proposal-10] quit
复制代码
    7. 配置IKE Peer。
    8. [FW_B] ike peer a
[FW_B-ike-peer-a] ike-proposal 10
[FW_B-ike-peer-a] remote-address 1.1.3.1
[FW_B-ike-peer-a] pre-shared-key Test ! 1234
[FW_B-ike-peer-a] quit
复制代码
    9. 配置名称为map1序号为10的IPSec策略。
    10. [FW_B] ipsec policy map1 10 isakmp
[FW_B-ipsec-policy-isakmp-map1-10] security acl 3000
[FW_B-ipsec-policy-isakmp-map1-10] proposal tran1
[FW_B-ipsec-policy-isakmp-map1-10] ike-peer a
[FW_B-ipsec-policy-isakmp-map1-10] quit
复制代码
    11. 在GE1/0/1接口上应用IPSec策略map1。
    12. [FW_B] interface gigabitethernet 1 / 0 / 1
[FW_B-GigabitEthernet1/0/1] ipsec policy map1
[FW_B-GigabitEthernet1/0/1] quit
复制代码

  1. 配置FW_C的基础配置。

    1. 配置接口IP地址,并将接口加入域。

      1. 配置GE1/0/3的IP地址为10.1.3.1/24;配置GE1/0/1通过DHCP动态获取IP地址。
      2. <sysname> system-view
[sysname] sysname FW_C
[FW_C] interface gigabitethernet 1 / 0 / 3
[FW_C-GigabitEthernet1/0/3] ip address 10.1.2.1  24
[FW_C-GigabitEthernet1/0/3] quit
[FW_C] interface gigabitethernet 1 / 0 / 1
[FW_C-GigabitEthernet1/0/1] ip address dhcp-alloc
[FW_C-GigabitEthernet1/0/1] quit
复制代码
      3. 将接口GE1/0/3加入Trust区域,接口GE1/0/1加入Untrust区域
      4. [FW_C] firewall zone trust
[FW_C-zone-trust] add interface gigabitethernet 1 / 0 / 3
[FW_C-zone-trust] quit
[FW_C] firewall zone untrust
[FW_C-zone-untrust] add interface gigabitethernet 1 / 0 / 1
[FW_C-zone-untrust] quit
复制代码

    2. 配置域间安全策略。

      1. 配置Trust域与Untrust域之间的域间安全策略。
      2. [FW_C] security-policy
[FW_C-policy-security] rule name policy1
[FW_C-policy-security-rule-policy1] source-zone trust
[FW_C-policy-security-rule-policy1] destination-zone untrust
[FW_C-policy-security-rule-policy1] source-address 10.1.3.0  24
[FW_C-policy-security-rule-policy1] destination-address 10.1.1.0  24
[FW_C-policy-security-rule-policy1] action permit
[FW_C-policy-security-rule-policy1] quit
[FW_B-policy-security] rule name policy2
[FW_C-policy-security-rule-policy2] source-zone untrust
[FW_C-policy-security-rule-policy2] destination-zone trust
[FW_C-policy-security-rule-policy2] source-address 10.1.1.0  24
[FW_C-policy-security-rule-policy2] destination-address 10.1.3.0  24
[FW_C-policy-security-rule-policy2] action permit
[FW_C-policy-security-rule-policy2] quit
复制代码
      3. 配置Untrust域与Local域之间的域间安全策略。
      4. [FW_C-policy-security] rule name policy3
[FW_C-policy-security-rule-policy3] source-zone local
[FW_C-policy-security-rule-policy3] destination-zone untrust
[FW_C-policy-security-rule-policy3] destination-address 1.1.3.1  32
[FW_C-policy-security-rule-policy3] destination-address 1.1.3.1  32
[FW_C-policy-security-rule-policy3] action permit
[FW_C-policy-security-rule-policy3] quit
[FW_C-policy-security] rule name policy4
[FW_C-policy-security-rule-policy4] source-zone untrust
[FW_C-policy-security-rule-policy4] destination-zone local
[FW_C-policy-security-rule-policy4] source-address 1.1.3.1  32
[FW_C-policy-security-rule-policy4] action permit
[FW_C-policy-security-rule-policy4] quit
[FW_C-policy-security] quit
复制代码

    3. 配置到达总部和其他私网的静态路由。

    4. [FW_C] ip route- static  0.0.0.0  0.0.0.0  GigabitEthernet  1 / 0 / 1
复制代码

  1. 在FW_C上配置IPSec策略,并在接口上应用此安全策略。

    1. 定义被保护的数据流。
    2. [FW_C] acl 3000
[FW_C-acl-adv-3000] rule 5 permit ip source 10.1.3.0  0.0.0.255 destination 10.1.1.0  0.0.0.255
[FW_C-acl-adv-3000] rule 10 permit ip source 10.1.3.0  0.0.0.255 destination 10.1.2.0  0.0.0.255
[FW_C-acl-adv-3000] quit
复制代码
    3. 配置名称为tran1的IPSec安全提议。采用默认参数。
    4. [FW_C] ipsec proposal tran1
[FW_C-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_C-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_C-ipsec-proposal-tran1] quit
复制代码
    5. 配置序号为10的IKE安全提议。采用默认参数。
    6. [FW_C] ike proposal 10
[FW_C-ike-proposal-10] authentication-method pre-share
[FW_C-ike-proposal-10] prf hmac-sha2- 256
[FW_C-ike-proposal-10] encryption-algorithm aes- 256
[FW_C-ike-proposal-10] dh group2
[FW_C-ike-proposal-10] integrity-algorithm hmac-sha2- 256  
[FW_C-ike-proposal-10] quit
复制代码
    7. 配置IKE Peer。
    8. [FW_C] ike peer a
[FW_C-ike-peer-a] ike-proposal 10
[FW_C-ike-peer-a] remote-address 1.1.3.1
[FW_C-ike-peer-a] pre-shared-key Test ! 1234
[FW_C-ike-peer-a] quit
复制代码
    9. 配置名称为map1序号为10的IPSec策略。
    10. [FW_C] ipsec policy map1 10 isakmp
[FW_C-ipsec-policy-isakmp-map1-10] security acl 3000
[FW_C-ipsec-policy-isakmp-map1-10] proposal tran1
[FW_C-ipsec-policy-isakmp-map1-10] ike-peer c
[FW_C-ipsec-policy-isakmp-map1-10] quit
复制代码
    11. 在GE1/0/1接口上应用IPSec策略map1。
    12. [FW_C] interface gigabitethernet 1 / 0 / 1
[FW_C-GigabitEthernet1/0/1] ipsec policy map1
[FW_C-GigabitEthernet1/0/1] quit
复制代码

结果验证

  1. 配置完成后,PC2、PC1可以互相访问,双方都可以触发建立IPSec SA。PC3能够主动访问PC1,只有PC3的FW_C能够触发IPSec SA,之后PC1能够访问到PC3,在PC3能够访问PC1之后,PC2与PC3能够实现互访。
  1. 在总部防火墙FW_A上可以查看到两对IKE SA。
<FW_A> display ike sa       
                                                                                
Ike sa information :                                                            
    Conn-ID       Peer            VPN             Flag(s)                Phase
  ------------------------------------------------------------------------------
    50336907      1.1.5.1                         RD|ST|A                v2:2 
    50336906      1.1.5.1                         RD|ST|A                v2:1
    33554436      1.1.6.254                       RD|A                   v2:2
    33554435      1.1.6.254                       RD|A                   v2:1
                                                                                
  Number of SA entries  : 4                                                     
                                                                                
  Number of SA entries of all cpu : 4                                           
                                                                                
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
复制代码
  1. 分支FW_B和FW_C上可以查看到对端为总部的IKE SA。下面以FW_B为例进行说明。
<FW_B> display ike sa      
                                                                                
Ike sa information :                                                            
    Conn-ID       Peer            VPN             Flag(s)                Phase
  ------------------------------------------------------------------------------
    16782416      1.1.3.1                         RD|A                   v2:2
    16782415      1.1.3.1                         RD|A                   v2:1
                                                                                
  Number of SA entries  : 2                                                     
                                                                                
  Number of SA entries of all cpu : 2                                           
                                                                                
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
复制代码
  1. 在总部FW_A上可以查看到两对双向的IPSec SA,分别是对应两个分支FW_B和FW_C。
<FW_A> display ipsec sa brief
                                                                                
Current ipsec sa num:4
Number of SAs:4
    Src address   Dst address      SPI        VPN  Protocol     Algorithm       
------------------------------------------------------------------------------- 
    1.1.6.254       1.1.3.1       4001819557        ESP      E:AES-256 A:SHA2-256-128
    1.1.5.1         1.1.3.1       3923280450        ESP      E:AES-256 A:SHA2-256-128
    1.1.3.1         1.1.6.254     4249128694        ESP      E:AES-256 A:SHA2-256-128
    1.1.3.1         1.1.5.1       787858613         ESP      E:AES-256 A:SHA2-256-128
复制代码
  1. 分支节点FW_B和FW_C上可以查看到FW_A的一对反向IPSec SA。下面以FW_B上的显示为例。
<FW_B> display ipsec sa brief
Current ipsec sa num:2                                                          
Number of SAs:2
    Src address   Dst address     SPI      VPN  Protocol     Algorithm       
------------------------------------------------------------------------------- 
     1.1.5.1        1.1.3.1    3923280450         ESP       E:AES-256 A:SHA2-256-128
     1.1.3.1        1.1.5.1    787858613          ESP       E:AES-256 A:SHA2-256-128


 

 

热爱编程的通信人
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPSec---NAT穿越实验配置
m0_49864110的博客
05-23 1309
目录 FW1-FW2基础配置 FW1-FW2配置安全策略—只可以由FW2为主动端建立IPSec隧道 FW1-FW2配置IPSec NAT设备FW4的配置 安全策略 配置NAT策略 NAT 穿越 相关配置 ESP NAT 黑色是FW1和FW2相同的配置 绿色是FW1的配置 蓝色是FW2的配置 FW4的配置单独拿出来配置 FW1-FW2基础配置 按照图上要求配置好接口地址和安全区域,并配置相关路由 FW1-FW2配置安全策略—只可以由FW2为主动端建立IP.........
ensp通过防火墙做nat dns
qq_60582114的博客
10-14 3047
前言 以usg6000v为例,防火墙分为四个常见区域:trust区域(优先级85),dmz区域(优先级50),untrust区域(优先级5)和local区域(优先级100)。需要注意的是,如果需要区域间通信,则需要通过安全策略放行通信来实现,下面,我们将通过简单的拓扑使用防火墙做nat和dns…… 1.实验拓扑内网通过dhcp接口下放192.168.1.0网段,FW1的g1/0/1接口ip为10.1.1.1/24,AR1的looback口ip为1.1.1.1/32,以此类推,外网做ospf实现通信。 实验
型园区网络构建(总部与分支之间的通信)-华为ENSP
qq_44751470的博客
04-29 2518
一、实验目的 1.总部分部之间使用MPLS/BGP 虚拟专用网络和OSPF通信 二、注意事项 三、简单的查询命令 四、简单配置
HCIE-Security Day26:IPSec:实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证)
小梁的博客
03-16 5551
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证) 组网需求 网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接网络B属于10.1.2.0/24子网,通过接口GigabitEthernet 0/0/3与FW_B连接。 FW_A和FW_B路由可达。 通过组网实现如下需求:在FW_A和FW_B...
IPSec隧道配置案例(手动模式)
LiBai'S BLOG
04-08 1万+
IPSec VPN配置案例要求拓扑配置基础配置IPSec VPN配置分析原因解决方法IPSec VPNIPSec 核心功能IPSec 技术框架IPSec安全协议IPSec封装模式安全联盟IKE 配置案例 要求 配置IP地址、DHCP、路由、NAT 内网可以访问公网2.2.2.2 配置IPsec VPN PC1能直接访问PC2 抓包验证数据是否加密 拓扑 配置 基础配置 青海分部IP地址、DHCP、NAT、路由 sys sys QH dhcp enable acl 2000 rule permit
网络安全-防火墙nat-ensp
croumin的博客
09-12 1539
1、源nat出接口地址  # nat-policy  rule name 源nat出接口地址   destination-zone untrust   action nat easy-ip #  2、源nat 地址池的地址   # nat address-group yuan-nat-1 0  mode pat  section 0 61.67.1.0 61.67.1.0 # # n...
华为ensp模拟器安装包
10-26
ensp:华为模拟器软件,可以模拟交换机、路由器、防火墙、终端等设备 。对于刚接触到网络这一方面的小伙伴,在没有情况接触到真机的情况下,使用此模拟器将理论学习运用到实践上还是非常有必要的,具体安装步骤参考我...
华为ensp模拟器(Enterprise Network Simulation Platform)
06-21
华为ensp模拟器(Enterprise Network Simulation Platform)是华为官方推出的一款强大的图形化网络仿真工具平台,ensp模拟器主要对企业网路由器、交换机、WLAN等设备进行软件仿真,从而得以完美地呈现真实设备部署实景...
华为ENSP实验模拟器设备文件NE40E与NE5000E系列
04-09
华为ENSP实验模拟器设备文件NE40E与NE5000E系列免费分享学习使用。
华为eNSP模拟器全部安装包.zip
05-17
一整套适配的华为模拟器安装包: 含eNSP,以及适配的环境软件VirtualBox-5.2.26-128414-Win、WinPcap_4_1_3、Wireshark-win64-3.6.5等
配置两个网关之间通过IPSec VPN互联并通过总部IPSec网关进行NAT后上网
2301_76769041的博客
10-28 565
RouterA为NAT网关,总部RouterA和分支RouterB为固定公网地址,RouterC为动态公网IP地址;配置完成后,PC1在任何时候都可以访问公网,可以ping通RouterB的1.1.5.1,同时在RouterA上可以查看NAT转换session表项。PC2在任何时候可以访问到公网,可以ping通公网的IP地址(假设为1.1.6.1),同时在RouterA上可以查看NAT转换session表项。分支上RouterB可以查看到对端为总部的IKE SA,RouterB是发起方,标志位为ST。
ensp华为防火墙的NAT配置
jjc321506301915的博客
03-31 4437
作业十一:防火墙的NAT配置 文章目录作业十一:防火墙的NAT配置实验环境实验步骤规划并配置IP配置安全区域配置NAT配置安全策略配置ASPF检查连通性配置NAT Server和安全策略检查连通性实验总结 实验环境 实验步骤 规划并配置IP Client1: Server1: FW1: [FW1]int g1/0/1 [FW1-GigabitEthernet1/0/1]ip add 192.168.1.254 24 [FW1-GigabitEthernet1/0/1]int g1/0/0 [FW1-
5. 详解: IPsec 穿越 NAT 之道
weixin_38387929的博客
06-05 5253
1. IPsec与NAT矛盾 在文章《IPsec》及《NAT》介绍了IPsec及NAT的基本知识。我们知道IPsec的协议分为AH及ESP,封装模式分为传输模式及隧道模式,也知道由于NAT会对IP头进行修改导致AH协议下的IPsec不能穿越NAT。 那么ESP协议能不能穿越NAT?ESP协议对数据进行完整性检查,不包括外部的IP头,IP地址转换不会破坏ESP的Hash值。但ESP报文TCP/UDP的端口已经加密无法修改,所以对于同时转换端口及IP地址的NAT来说,ESP无法穿越NAT。如果NAT只转换I
玩转华为ENSP模拟器系列 | 总部与分支机构之间建立IPSec VdPdNd总部采用固定域名)
COCO_gsta的博客
10-08 1810
素材来源:华为防火墙配置指南分支机构通过IPSec隧道连接总部。由于总部和分支都通过PPPoE拨号获取IP地址,每次获取到的IP地址不同。因此总部为方便分支机构接入,需要配置DDNS功能,使分支机构通过域名接入总部。如所示,某企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。在FW_A上配置DHCP和PPPoE客户端。在FW_A上配置IPSec策略组,并在接口上应用IPSec策略组。
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
最新发布
IT技术
11-28 3468
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
华为eNSP防火墙NAT配置
热门推荐
YT的博客
01-12 2万+
NAT技术的基本原理 NAT技术通过对IP报文头的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网。 NAT是将IP数据报文报头IP地址转换为另一个IP地址的过程。从实现上来说,一班的NAT转换设备(实现NAT功能的网络设备)都维护者一张地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分...
ensp模拟实现总校区、分校区1、分校区2使用IPSEC互连
weixin_46183247的博客
07-05 401
配置AR4、LSW1、LSW2为分校区1区域 AR4的Ethernet0/0/0IP地址为192.168.20.2/24与AR3的Ethernet0/0/0IP地址为192.168.20.1/24连接、AR4的Ethernet0/0/1IP地址为172.16.10.1/24与LSW1的GE0/0/1IP地址为172.16.10.2/24连接、AR4的Ethernet0/0/2IP地址为172.16.20.1/24与LSW2的GE0/0/1IP地址为172.16.20.2/24连接
防火墙与入侵检测技术——NAT实验
Yo_ol的博客
04-10 1771
实验目的 温习及巩固NAT的各种技术及应用 实验环境及器材(软件、硬件环境及所需实验材料) PC、ensp 三、 实验内容及步骤 实验基于USG5500 NAT No-PAT(ip地址一对一转换) 组网使用2台PC连接交换机再连接防火墙,交换机配置vlan,防火墙配置vlan、vlanif接口及ip,防火墙接交换机的接口需要切换到二层...
华为ensp防火墙双机热备web配置(一篇文章教会你)
weixin_52557120的博客
06-19 4562
本章主要介绍了防火墙双机热备的实验配置,含图文操作
华为Ensp模拟器双机热备实战指南
华为Ensp模拟器实现双机热备份,是为了提升网络服务的稳定性和可靠性。双机热备份,即Hot-Standby Backup,是一种在主设备出现问题时,备用设备能立即接管业务运行的机制。主用设备负责业务转发,而备用设备处于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值