玩转华为ENSP模拟器系列 | 两个网关之间利用Tunnel接口实现IPSec VdPdNd隧道多链路备份

最新推荐文章于 2024-07-24 00:41:39 发布
最新推荐文章于 2024-07-24 00:41:39 发布
阅读量1.9k 收藏 8
点赞数 1
分类专栏: 实验笔记 文章标签: 华为 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guolianggsta/article/details/127326982
版权

素材来源:华为防火墙配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验

目标

介绍采用IPSec隧道化方式配置两点之间IPSec隧道的配置举例。请使用命令行完成本举例的配置。

组网需求

图1所示,网络A与网络B通过FW_A和FW_B连接到Internet。

FW_A和FW_B之间有多条链路路由可达。

要求实现如下组网需求:

  • 主机PC1与PC2之间可以通过IPSec隧道安全的通信。
  • 在FW_A和FW_B之间可以实现链路备份,当有一条链路发生问题时,仍然可以通过其他的链路进行IPSec通信。

配置思路

  1. 基本配置,包括配置接口IP地址,将接口加入相应的安全区域,配置安全策略。
  1. 创建并配置Tunnel接口,并将Tunnel接口加入相应的安全区域。
  1. 配置公网路由,一般情况下,FW上配置静态路由。
  1. 配置IPSec。

操作步骤

配置FW_A。

  1. 配置接口IP地址。
<sysname> system-view
[sysname] sysname FW_A
[FW_A] interface gigabitethernet 1 / 0 / 3
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1  24
[FW_A-GigabitEthernet1/0/3] quit [FW_A] interface gigabitethernet 1 / 0 / 1
[FW_A-GigabitEthernet1/0/1] ip address 1.1.1.1  24
[FW_A-GigabitEthernet1/0/1] quit [FW_A] interface gigabitethernet 1 / 0 / 2
[FW_A-GigabitEthernet1/0/2] ip address 2.2.2.2  24
[FW_A-GigabitEthernet1/0/2] quit [FW_A] interface gigabitethernet 1 / 0 / 4
[FW_A-GigabitEthernet1/0/4] ip address 3.3.3.3  24
[FW_A-GigabitEthernet1/0/4] quit
复制代码
  1. 创建并配置Tunnel接口。
[FW_A] interface tunnel 0
[FW_A-tunnel0] tunnel-protocol ipsec
[FW_A-tunnel0] ip address 1.1.0.2  24
[FW_A-tunnel0] quit
复制代码
  1. 开启域间安全策略。

开启Trust和Untrust安全区域的域间策略,保证报文能够正常发送。

[FW_A] security-policy
[FW_A-policy-security] rule name policy_ipsec_1
[FW_A-policy-security-rule-policy_ipsec_1] source-zone trust
[FW_A-policy-security-rule-policy_ipsec_1] destination-zone untrust
[FW_A-policy-security-rule-policy_ipsec_1] source-address 10.3.0.0  24
[FW_A-policy-security-rule-policy_ipsec_1] destination-address 10.4.0.0  24 
[FW_A-policy-security-rule-policy_ipsec_1] action permit
[FW_A-policy-security-rule-policy_ipsec_1] quit
[FW_A-policy-security] rule name policy_ipsec_2
[FW_A-policy-security-rule-policy_ipsec_2] source-zone untrust
[FW_A-policy-security-rule-policy_ipsec_2] destination-zone trust
[FW_A-policy-security-rule-policy_ipsec_2] source-address 10.4.0.0  24 
[FW_A-policy-security-rule-policy_ipsec_2] destination-address 10.3.0.0  24 
[FW_A-policy-security-rule-policy_ipsec_2] action permit
[FW_A-policy-security-rule-policy_ipsec_2] quit
复制代码

开启Local和Untrust安全区域的域间策略,保证隧道正常建立。

[FW_A-policy-security] rule name policy_ipsec_3
[FW_A-policy-security-rule-policy_ipsec_3] source-zone local
[FW_A-policy-security-rule-policy_ipsec_3] destination-zone untrust
[FW_A-policy-security-rule-policy_ipsec_3] source-address 1.1.1.1  32 
[FW_A-policy-security-rule-policy_ipsec_3] source-address 2.2.2.2  32 
[FW_A-policy-security-rule-policy_ipsec_3] source-address 3.3.3.3  32 
[FW_A-policy-security-rule-policy_ipsec_3] source-address 1.1.0.2  32 
[FW_A-policy-security-rule-policy_ipsec_3] destination-address 4.4.4.4  32 
[FW_A-policy-security-rule-policy_ipsec_3] action permit
[FW_A-policy-security-rule-policy_ipsec_3] quit
[FW_A-policy-security] rule name policy_ipsec_4
[FW_A-policy-security-rule-policy_ipsec_4] source-zone untrust
[FW_A-policy-security-rule-policy_ipsec_4] destination-zone local
[FW_A-policy-security-rule-policy_ipsec_4] source-address 4.4.4.4  32 
[FW_A-policy-security-rule-policy_ipsec_4] destination-address 1.1.1.1  32
[FW_A-policy-security-rule-policy_ipsec_4] destination-address 2.2.2.2  32
[FW_A-policy-security-rule-policy_ipsec_4] destination-address 3.3.3.3  32
[FW_A-policy-security-rule-policy_ipsec_4] destination-address 1.1.0.2  32
[FW_A-policy-security-rule-policy_ipsec_4] action permit
[FW_A-policy-security-rule-policy_ipsec_4] quit
[FW_A-policy-security] quit
复制代码
  1. 配置到网络B的静态路由,此处假设到达网络B的出接口为Tunnel 0接口。
[FW_A] ip route- static  10.4.0.0  255.255.255.0 tunnel 0
复制代码
  1. 配置到FW_B的3条等价路由(假设下一跳所配置中所示)。
[FW_A] ip route- static  4.4.4.4  32  1.1.1.254
[FW_A] ip route- static  4.4.4.4  32  2.2.2.254
[FW_A] ip route- static  4.4.4.4  32  3.3.3.254
复制代码
  1. 定义IPSec中被保护的数据流。
[FW_A] acl 3000
[FW_A-acl-adv-3000] rule 5 permit ip source 10.3.0.0  0.0.0.255 destination 10.4.0.0  0.0.0.255
[FW_A-acl-adv-3000] quit
复制代码
  1. 配置名称为tran1的IPSec安全提议。
[FW_A] ipsec proposal tran1
[FW_A-ipsec-proposal-tran1] encapsulation-mode tunnel
[FW_A-ipsec-proposal-tran1] transform esp
[FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_A-ipsec-proposal-tran1] quit
复制代码
  1. 配置序号为10的IKE安全提议。
[FW_A] ike proposal 10
[FW_A-ike-proposal-10] authentication-method pre-share
[FW_A-ike-proposal-10] quit
复制代码
  1. 配置IKE Peer。
[FW_A] ike peer b
[FW_A-ike-peer-b] ike-proposal 10
[FW_A-ike-peer-b] remote-address 4.4.4.4
[FW_A-ike-peer-b] pre-shared-key Test ! 123
[FW_A-ike-peer-b] quit
复制代码
  1. 配置IPSec策略map1。
[FW_A] ipsec policy map1 10 isakmp
[FW_A-ipsec-policy-isakmp-map1-10] security acl 3000
[FW_A-ipsec-policy-isakmp-map1-10] proposal tran1
[FW_A-ipsec-policy-isakmp-map1-10] ike-peer b
[FW_A-ipsec-policy-isakmp-map1-10] quit
复制代码
  1. 在Tunnel接口上应用安全策略map1。
[FW_A] interface tunnel 0
[FW_A-tunnel0] ipsec policy map1
[FW_A-tunnel0] quit
复制代码

配置FW_B。

  1. 基础配置。 请根据图1的数据配置接口IP地址。将接口GE1/0/3加入Trust区域,接口GE1/0/1加入Untrust区域。详细步骤可参见FW_A的配置。
  1. 开启域间安全策略。

开启Trust和Untrust安全区域的域间策略,保证报文能够正常发送。

[FW_B] security-policy
[FW_B-policy-security] rule name policy_ipsec_1
[FW_B-policy-security-rule-policy_ipsec_1] source-zone trust
[FW_B-policy-security-rule-policy_ipsec_1] destination-zone untrust
[FW_B-policy-security-rule-policy_ipsec_1] source-address 10.4.0.0  24
[FW_B-policy-security-rule-policy_ipsec_1] destination-address 10.3.0.0  24 
[FW_B-policy-security-rule-policy_ipsec_1] action permit
[FW_B-policy-security-rule-policy_ipsec_1] quit
[FW_B-policy-security] rule name policy_ipsec_2
[FW_B-policy-security-rule-policy_ipsec_2] source-zone untrust
[FW_B-policy-security-rule-policy_ipsec_2] destination-zone trust
[FW_B-policy-security-rule-policy_ipsec_2] source-address 10.3.0.0  24 
[FW_B-policy-security-rule-policy_ipsec_2] destination-address 10.4.0.0  24 
[FW_B-policy-security-rule-policy_ipsec_2] action permit
[FW_B-policy-security-rule-policy_ipsec_2] quit
复制代码

开启Local和Untrust安全区域的域间策略,保证隧道正常建立。

[FW_B-policy-security] rule name policy_ipsec_3
[FW_B-policy-security-rule-policy_ipsec_3] source-zone local
[FW_B-policy-security-rule-policy_ipsec_3] destination-zone untrust
[FW_B-policy-security-rule-policy_ipsec_3] source-address 4.4.4.4  32 
[FW_B-policy-security-rule-policy_ipsec_3] destination-address 1.1.1.1  32 
[FW_B-policy-security-rule-policy_ipsec_3] destination-address 2.2.2.2  32 
[FW_B-policy-security-rule-policy_ipsec_3] destination-address 3.3.3.3  32 
[FW_B-policy-security-rule-policy_ipsec_3] destination-address 1.1.0.2  32 
[FW_B-policy-security-rule-policy_ipsec_3] action permit
[FW_B-policy-security-rule-policy_ipsec_3] quit
[FW_B-policy-security] rule name policy_ipsec_4
[FW_B-policy-security-rule-policy_ipsec_4] source-zone untrust
[FW_B-policy-security-rule-policy_ipsec_4] destination-zone local
[FW_B-policy-security-rule-policy_ipsec_4] source-address 1.1.1.1  32 
[FW_B-policy-security-rule-policy_ipsec_4] source-address 2.2.2.2  32 
[FW_B-policy-security-rule-policy_ipsec_4] source-address 3.3.3.3  32 
[FW_B-policy-security-rule-policy_ipsec_4] source-address 1.1.0.2  32 
[FW_B-policy-security-rule-policy_ipsec_4] destination-address 4.4.4.4  32 
[FW_B-policy-security-rule-policy_ipsec_4] action permit
[FW_B-policy-security-rule-policy_ipsec_4] quit
[FW_B-policy-security] quit
复制代码
  1. 配置到达网络A的静态路由,此处假设下一跳地址为4.4.4.254。
[FW_B] ip route- static  10.3.0.0  255.255.255.0  4.4.4.254
复制代码
  1. 配置到FW_A的Tunnel接口的路由。
[FW_B] ip route- static  1.1.0.2  255.255.255.255  4.4.4.254
复制代码
  1. 定义IPSec中被保护的数据流。
[FW_B] acl 3000
[FW_B-acl-adv-3000] rule 5 permit ip source 10.4.0.0  0.0.0.255 destination 10.3.0.0  0.0.0.255
[FW_B-acl-adv-3000] quit
复制代码
  1. 配置名称为tran1的IPSec安全提议。
[FW_B] ipsec proposal tran1
[FW_B-ipsec-proposal-tran1] encapsulation-mode tunnel
[FW_B-ipsec-proposal-tran1] transform esp
[FW_B-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_B-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_B-ipsec-proposal-tran1] quit
复制代码
  1. 配置序号为10的IKE安全提议。
[FW_B] ike proposal 10 
[FW_B-ike-proposal-10] authentication-method pre-share 
[FW_B-ike-proposal-10] quit
复制代码
  1. 配置名称为a的IKE peer。
[FW_B] ike peer a 
[FW_B-ike-peer-a] ike-proposal 10 
[FW_B-ike-peer-a] remote-address 1.1.0.2 
[FW_B-ike-peer-a] pre-shared-key Test ! 123 
[FW_B-ike-peer-a] quit
复制代码
  1. 配置名称为map1序号为10的安全策略。
[FW_B] ipsec policy map1 10 isakmp 
[FW_B-ipsec-policy-isakmp-map1-10] security acl 3000 
[FW_B-ipsec-policy-isakmp-map1-10] proposal tran1 
[FW_B-ipsec-policy-isakmp-map1-10] ike-peer a 
[FW_B-ipsec-policy-isakmp-map1-10] quit
复制代码
  1. 在接口GE1/0/1上应用安全策略map1。
[FW_B] interface gigabitethernet 1 / 0 / 1 
[FW_B-GigabitEthernet1/0/1] ipsec policy map1
[FW_B-GigabitEthernet1/0/1] quit
复制代码

结果验证

  1. 配置完成后,在PC1执行ping命令,看能否ping通PC2。如果配置正确,则PC1和PC2可以相互ping通。如果有步骤2、3、4的显示信息,则说明PC1和PC2之间的通信经过了IPSec隧道封装。
  1. 分别在FW_A、FW_B上执行display ike sa命令会显示IKE安全联盟的建立情况。以FW_A为例,出现以下显示说明IKE安全联盟建立成功。
<FW_A> display ike sa      

Ike sa number: 2
-----------------------------------------------------------------------------
Conn-ID         Peer          VPN    Flag(s)     Phase 
-----------------------------------------------------------------------------
20002          4.4.4.4              RD|ST|A        v2:2 
20001          4.4.4.4              RD|ST|A        v2:1  
                                                                                
  Number of SA entries  : 2                                                     
                                                                                
  Number of SA entries of all cpu : 2                                           
                                                                                
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
复制代码
  1. 分别在FW_A、FW_B上执行display ipsec sa命令会显示IPSec安全联盟的建立情况。以FW_A为例,出现以下显示说明IPSec安全联盟建立成功。
<FW_A> display ipsec sa 

===============================
Interface: Tunnel0
===============================

  -----------------------------                                                 
  IPSec policy name: "map1"                                                     
  Sequence number  : 10                                                           
  Acl group        : 3000                                                       
  Acl rule         : 5                                                          
  Mode             : ISAKMP 
  -----------------------------  
    Connection ID: 40002
    Encapsulation mode: Tunnel  
    Tunnel local      : 1.1.0.2    
    Tunnel remote     : 4.4.4.4                        
    Flow source       : 10.3.0.0/255.255.255.0 0/0                      
    Flow destination  : 10.4.0.0/255.255.255.0 0/0    

    [Outbound ESP SAs] 
      SPI: 228290096 (0xd9b6e30)
      Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128                                      
      SA remaining key duration (bytes/sec): 1887436464/3549
      Max sent sequence-number: 5
      UDP encapsulation used for NAT traversal: N     
      SA decrypted packets (number/kilobytes): 4/0

    [Inbound ESP SAs] 
      SPI: 38742361 (0x24f2959)
      Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128                                  
      SA remaining key duration (bytes/sec): 1887436464/3549
      Max received sequence-number: 4
      UDP encapsulation used for NAT traversal: N       
      SA decrypted packets (number/kilobytes): 4/0                        
      Anti-replay : Enable                                                      
      Anti-replay window size: 1024   
复制代码
  1. 执行命令display ipsec statistics可以查看被加密的数据包的变化,即它们之间的数据传输将被加密。以FW_A为例。
<FW_A>display ipsec statistics     
  the security packet statistics:                                               
    input/output security packets: 4/4                                          
    input/output security bytes: 400/400                                         
    input/output dropped security packets: 0/0                                  
    the encrypt packet statistics                                               
      send sae:0, recv sae:0, send err:0                                        
      local cpu:0, other cpu:0, recv other cpu:0                                
      intact packet:0, first slice:0, after slice:0                             
    the decrypt packet statistics                                               
      send sae:0, recv sae:0, send err:0                                        
      local cpu:0, other cpu:0, recv other cpu:0                                
      reass  first slice:0, after slice:0, len err:0                            
    dropped security packet detail:                                             
      no enough memory: 0, too long: 0                                          
      can't find SA: 0, wrong SA: 0                                             
      authentication: 0, replay: 0                                              
      front recheck: 0, after recheck: 0                                        
      exceed byte limit: 0, exceed packet limit: 0                              
      change cpu enc: 0, dec change cpu: 0                                      
      change datachan: 0, fib search: 0                                         
      rcv enc(dec) form sae said err: 0, 0                                      
      send port: 0, output l3: 0, l2tp input: 0                                 
  negotiate about packet statistics:                                            
    IP packet  ok:0, err:0, drop:0                                              
    IP rcv other cpu   to ike:0, drop:0                                          
    IKE packet inbound   ok:0, err:0                                            
    IKE packet outbound  ok:0, err:0                                            
    SoftExpr:0, HardExpr:0, DPDOper:0, SwapSa:0                                 
    ModpCnt: 0, SaeSucc: 0, SoftwareSucc: 0  
复制代码

  1. 断开FW_A的GE1/0/1、GE1/0/2和GE1/0/4中任意一个接口,查看IPSec隧道依然不会断开。保证了多条链路之间的备份。 通过以下操作来判断:

    1. 执行display ike sadisplay ipsec sa命令,查看到安全联盟依然存在。
    2. 网络A和网络B之间依然能够成功发送和接收报文。且执行display ipsec statistics命令,能看到报文数量在增长。

 

热爱编程的通信人
关注
专栏目录
eNSP下的Tunnel端口的配置实验
qq_48111800的博客
04-20 4724
Tunnel的简单配置实验 这个tunnel配置使用到gre协议,所以: 首先了解一下GRE的概念: 在任意一种网络协议上传送任意一种其它网络协议的封装方法 GRE VPN使用虚拟的隧道Tunnel接口 使用tunnel端口配置 GRE 隧道 使私网主机 172.22.1.0/24、172.22.2.0/24 间可以相互访问(正常时私网路由在公网中不传播) 网络拓扑图如下 根据网络拓扑图首先配置PC和路由器各个接口的地址 配置总部路由器 AR1 和分部路由器 AR4通往 Internet (用AR
配置基于虚拟隧道接口IPSec隧道实验
以为网工见习者
05-23 1058
本案例说明如何配置IPSec隧道保证用户的业务数据在传输过程中的安全。某公司希望对分支与总部之间相互访问的流量进行安全保护。如图1所示,分公司构建了旁挂二层组网直接转发方式的WLAN网络,Router1为公司分支网关,Router2为公司总部网关,分支与总部通过公网建立通信,在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
eNSP实验——基于静态路由的GRE隧道
最新发布
2301_78942293的博客
07-24 452
General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel隧道)。GRE主要有以下特点:1、机制简单,无需维持状态,对隧道两端设备的CPU负担小;2、,如果需要加密,可以与IPSec结合使用;3、不提供流量控制和QoS;
玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd(采用预共享密钥认证)
COCO_gsta的博客
10-07 1914
通过组网实现如下需求:在FW_A和FW_B之间建立基于路由的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。所示,网络A和网络B分别通过FW_A和FW_B连接到Internet。配置FW_A的基础配置。包括配置接口IP地址、接口加入安全区域、域间安全策略和静态路由。配置FW_B的基础配置。配置到达目的网络B的静态路由,此处假设到达网络B的下一跳地址为1.1.3.2。配置到达目的网络A的静态路由,此处假设到达网络A的下一跳地址为1.1.5.2。在FW_A上配置IPSec
Tunnel 接口UP Down 分析
yiluyangguang1234的专栏
03-14 1万+
拓扑: 1 tunnel接口是虚拟接口,当其依赖的物理接口down时,它也会down(tunnel source 地址对应的地址所在的接口为其所依赖的接口) 2 当tunnel接口出现physical up,protocol down时,可能的原因是tunnel接口的destination address 不可达,缺少路由 3 当一端的tunnel接口down掉时,默认另一端不会识别出该...
玩转华为ENSP模拟器系列 | IPSec网关负载分担双机热备,隧道之间备份
COCO_gsta的博客
10-17 1634
企业期望分支用户访问总部的流量受IPSec隧道保护,且FW_B和FW_C可以同时处理分支发往总部的IPSec流量。由于上下路由器也需要获知到总部和分支的私网路由,因此这里还需要将FW_B到总部和分支的静态路由导入到OSPF中,由OSPF将这些静态路由发布给上下路由器。在FW_A中需要配置两个IPSec策略,因为两个IPSec策略不能引用同一个ACL,所以这里需要配置两个编号不同,但是规则相同的ACL。配置IP-Link,用于监控FW_A到FW_B、FW_C的链路是否正常。配置FW_B的域间安全策略。
华为ensp模拟器安装包
10-26
ensp:华为模拟器软件,可以模拟交换机、路由器、防火墙、终端等设备 。对于刚接触到网络这一方面的小伙伴,在没有情况接触到真机的情况下,使用此模拟器将理论学习运用到实践上还是非常有必要的,具体安装步骤参考我...
华为ensp模拟器(Enterprise Network Simulation Platform)
06-21
华为ensp模拟器(Enterprise Network Simulation Platform)是华为官方推出的一款强大的图形化网络仿真工具平台,ensp模拟器主要对企业网路由器、交换机、WLAN等设备进行软件仿真,从而得以完美地呈现真实设备部署实景...
华为eNSP模拟器安装包
09-20
华为eNSP(Enterprise Network Simulation Platform)是一款强大的网络仿真工具,专为华为网络设备的教育、测试和实验设计。这个安装包包含多个组件,用于在个人计算机上搭建一个虚拟网络环境,以便用户能够实践和...
华为eNSP模拟器全部安装包.zip
05-17
一整套适配的华为模拟器安装包: 含eNSP,以及适配的环境软件VirtualBox-5.2.26-128414-Win、WinPcap_4_1_3、Wireshark-win64-3.6.5等
TUNNEL隧道实验
08-21
内附;TUNNEL隧道实验拓扑图,实验步骤和解释,还有实验文档,PDF文档。
玩转华为ENSP模拟器系列 | IPSec网关负载分担双机热备,上下行连接路由器
COCO_gsta的博客
10-18 2011
FW_B发给总部的流量沿FW_BRouter1FW_DRouter2路径传递,则需要在FW_C和FW_D上配置路由策略,从而控制Router1和Router2的路由信息。状态时,FW_C将对外发布的直连路由和静态路由统一减10,FW_D将对外发布的直连路由和静态路由统一加10,这样FW_A和FW_B将全部发送至FW_C处理。状态时,FW_C将对外发布的直连路由和静态路由统一加10,FW_D将对外发布的直连路由和静态路由统一减10,这样FW_A和FW_B将全部发送至FW_D处理。
网络隧道Tunnel技术
热门推荐
@_囚徒-2018_的家园
07-17 3万+
1.网络隧道技术 隧道协议(Tunneling Protocol)是一类网络协议,它是一种数据包封装技术,它是将原始IP包(其报头包含原始发送者和最终目的地)封装在另一个数据包(称为封装的IP包)的数据净荷中进行传输。使用隧道的原因是在不兼容的网络上传输数据,或在不安全网络上提供一个安全路径。隧道协议通常(但并非总是)在一个比负载协议还高的层级,或同一层。 备注:说白了,通过网络隧道
使用IPSec配置VIRTUAL TUNNEL INTERFACE
weixin_34217773的博客
12-20 291
使用IPSec配置VIRTUAL TUNNEL INTERFACE 详细配置见附件
IPSec链路和设备备份
weixin_30294295的博客
12-14 446
链路备份IPSec VPN和设备备份IPSec VPN:首先实验的是链路备份IPSec VPN,下面是实验拓扑:IP地址配置:R1(Branch):Branch(config-if)#ip add 12.1.1.1 255.255.255.0Branch(config-if)#no shuBranch(config-if)#int lo0Branch(config-if)#ip add ...
玩转华为ENSP模拟器系列 | 总部与分支结构之间建立IPSec VdPdNd(总部采用固定IP)
COCO_gsta的博客
10-07 1229
在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSec隧道,各个分支机构之间的通信由总部节点转发和控制。本举例中采用ISAKMP方式IPSec安全策略与IP固定的分支对接,采用模板方式的IPSec安全策略与IP不固定的分支对接。在FW_A上配置IPSec策略组,并在接口上应用IPSec策略组。在FW_B上配置IPSec策略,并在接口上应用IPSec策略。在FW_C上配置IPSec策略,并在接口上应用此安全策略。配置FW_C的基础配置。
IPSec ××× 设备 链路 冗余备份实验【实践闯未来】!
weixin_34008933的博客
03-15 318
实践闯未来!本人FJXSUNMIT,初来报道,互相学习研究CISCO技术! IPSec ××× 设备链路冗余实验:(上为拓扑图) 基本实验配置: R1: R1#sh run hostname R1 no ip domain lookup ! crypto isakmp policy 10 authentication pre-share ...
IPSec ***_高可用性链路备份
weixin_34401479的博客
05-27 245
IPSec ×××_高可用性链路备份 转载于:https://blog.51cto.com/youlemei/1655499
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值