ensp华为 IPSec的防火墙以及NAT配置

最新推荐文章于 2024-07-01 00:03:48 发布
最新推荐文章于 2024-07-01 00:03:48 发布
阅读量6.6k 收藏 130
点赞数 13
分类专栏: ensp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjc321506301915/article/details/115362607
版权
本文详细介绍了如何在实验环境中配置IPSec防火墙,包括IP地址规划、OSPF路由、IKE和IPsec策略设置,以及NAT配置与安全策略调整以确保PC间的连通性和公网访问。通过一步步实践,学习了防火墙在私网与公网之间的安全隔离与通信控制。
摘要由CSDN通过智能技术生成

作业十七:IPSec的防火墙配置

文章目录

实验环境

在这里插入图片描述

实验思路

  • 规划并配置IP
  • 划分区域
  • OSPF配置
  • VPN配置
  • 安全策略配置
  • 检查连通性
  • 加入公网设备PC3后实验环境
  • IP配置
  • NAT配置
  • 安全策略配置
  • 检查连通性
  • NAT配置
  • 检查连通性

实验步骤

规划并配置IP

PC1:

在这里插入图片描述

PC2:

在这里插入图片描述

FW1:

[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 192.168.1.254 24

[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 200.10.1.1 24

R2:

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 200.10.1.2 24

[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 200.10.2.2 24

FW3:

[FW3]int g1/0/1
[FW3-GigabitEthernet1/0/1]ip add 200.10.2.3 24

[FW3-GigabitEthernet1/0/1]int g1/0/0
[FW3-GigabitEthernet1/0/0]ip add 172.16.1.254 24
划分区域

FW1:

[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/1

[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/2

FW3:

[FW3]firewall zone trust
[FW3-zone-trust]add int g1/0/0

[FW3-zone-trust]firewall  zone untrust
[FW3-zone-untrust]add int g1/0/1
OSPF配置

FW1:

[FW1]ospf
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]int g1/0/2
[FW1-GigabitEthernet1/0/2]os e a 0

R2:

[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]int g0/0/0
[R2-GigabitEthernet0/0/0]os e a 0
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]os e a 0

FW3:

[FW3]ospf
[FW3-ospf-1]area 0
[FW3-ospf-1-area-0.0.0.0]int g1/0/1
[FW3-GigabitEthernet1/0/1]os e a 0
VPN配置

FW1:

//感兴趣流
[FW1]acl 3000
[FW1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16
.1.0 0.0.0.255

//ike安全提议
[FW1]ike proposal 1
[FW1-ike-proposal-1]di th  //验证与加密算法使用默认配置如下
2021-03-31 08:23:53.010 
#
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#

//ike对等体
[FW1]ike peer fw3 
[FW1-ike-peer-fw3]pre-shared-key cipher huawei
[FW1-ike-peer-fw3]ike-proposal 1
[FW1-ike-peer-fw3]remote-address 200.10.2.3

//ipsec安全提议
[FW1]ipsec proposal 2
[FW1-ipsec-proposal-2]di th  //验证与加密算法使用默认配置如下
2021-03-31 08:30:25.450 
#
ipsec proposal 2
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#

//ipsec策略
[FW1]ipsec policy runtime 10 isakmp
[FW1-ipsec-policy-isakmp-runtime-10]security acl 3000
[FW1-ipsec-policy-isakmp-runtime-10]ike-peer fw3	
[FW1-ipsec-policy-isakmp-runtime-10]proposal 2

//绑定接口
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ipsec policy runtime

//静态配置
[FW1]ip route-static 172.16.1.0 24 200.10.1.2

FW3:

//感兴趣流
[FW1]acl 3000
[FW1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

//ike安全提议
[FW3]ike proposal 1
[FW3-ike-proposal-1]di th  //验证与加密算法使用默认配置如下
2021-03-31 08:37:43.780 
#
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#

//ike对等体
[FW3]ike peer fw1
[FW3-ike-peer-fw1]pre-shared-key cipher huawei
[FW3-ike-peer-fw1]ike-proposal 1
[FW3-ike-peer-fw1]remote-address 200.10.1.1

//ipsec安全提议
[FW3]ipsec proposal 2
[FW3-ipsec-proposal-2]di th  //验证与加密算法使用默认配置如下
2021-03-31 08:44:56.380 
#
ipsec proposal 2
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#

//ipsec策略
[FW3]ipsec policy aaa 10 isakmp
[FW3-ipsec-policy-isakmp-runtime-10]security acl 3000
[FW3-ipsec-policy-isakmp-runtime-10]ike-peer fw1	
[FW3-ipsec-policy-isakmp-runtime-10]proposal 2

//绑定接口
[FW3]int g1/0/1
[FW3-GigabitEthernet1/0/1]ipsec policy aaa

//静态配置
[FW3]ip route-static 192.168.1.0 24 200.10.2.2
安全策略配置

FW1:

[FW1]security-policy

[FW1-policy-security]rule name t_u
[FW1-policy-security-rule-t_u]source-zone trust
[FW1-policy-security-rule-t_u]destination-zone untrust
[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24
[FW1-policy-security-rule-t_u]destination-address 172.16.1.0 24
[FW1-policy-security-rule-t_u]service icmp
[FW1-policy-security-rule-t_u]action permit 

[FW1-policy-security-rule-t_u]q
[FW1-policy-security]rule name u_l
[FW1-policy-security-rule-u_l]source-zone untrust
[FW1-policy-security-rule-u_l]destination-zone local
[FW1-policy-security-rule-u_l]source-address 200.10.2.3 32
[FW1-policy-security-rule-u_l]destination-address 200.10.1.1 32
[FW1-policy-security-rule-u_l]service esp
[FW1-policy-security-rule-u_l]action permit 

[FW1-policy-security-rule-u_l]q
[FW1-policy-security]q
[FW1]ip service-set isakmp type object 16
[FW1-object-service-set-isakmp]service protocol udp source-port 500
[FW1-object-service-set-isakmp]q
[FW1]security-policy
[FW1-policy-security]rule name isakmp
[FW1-policy-security-rule-isakmp]source-zone local
[FW1-policy-security-rule-isakmp]source-zone untrust
[FW1-policy-security-rule-isakmp]destination-zone local
[FW1-policy-security-rule-isakmp]destination-zone untrust
[FW1-policy-security-rule-isakmp]source-address 200.10.2.3 32
[FW1-policy-security-rule-isakmp]source-address 200.10.1.1 32
[FW1-policy-security-rule-isakmp]destination-address 200.10.1.1 32
[FW1-policy-security-rule-isakmp]destination-address 200.10.2.3 32
[FW1-policy-security-rule-isakmp]service isakmp
[FW1-policy-security-rule-isakmp]action permit

FW3:

[FW3]security-policy

[FW3-policy-security]rule name t_u
[FW3-policy-security-rule-t_u]source-zone trust
[FW3-policy-security-rule-t_u]source-zone untrust
[FW3-policy-security-rule-t_u]destination-zone trust
[FW3-policy-security-rule-t_u]destination-zone untrust
[FW3-policy-security-rule-t_u]source-address 192.168.1.0 24
[FW3-policy-security-rule-t_u]source-address 172.16.1.0 24
[FW3-policy-security-rule-t_u]destination-address 172.16.1.0 24
[FW3-policy-security-rule-t_u]destination-address 192.168.1.0 24
[FW3-policy-security-rule-t_u]service icmp
[FW3-policy-security-rule-t_u]action permit 

[FW3-policy-security-rule-t_u]q
[FW3-policy-security]rule name u_l
[FW3-policy-security-rule-u_l]source-zone untrust
[FW3-policy-security-rule-u_l]destination-zone local
[FW3-policy-security-rule-u_l]source-address 200.10.1.1 32
[FW3-policy-security-rule-u_l]destination-address 200.10.2.3 32
[FW3-policy-security-rule-u_l]service esp
[FW3-policy-security-rule-u_l]action permit 

[FW3-policy-security-rule-u_l]q
[FW3-policy-security]q
[FW3]ip service-set isakmp type object 16
[FW3-object-service-set-isakmp]service protocol udp source-port 500
[FW3-object-service-set-isakmp]q
[FW3-policy-security]rule name isakmp
[FW3-policy-security-rule-isakmp]source-zone local
[FW3-policy-security-rule-isakmp]source-zone untrust
[FW3-policy-security-rule-isakmp]destination-zone local
[FW3-policy-security-rule-isakmp]destination-zone untrust
[FW3-policy-security-rule-isakmp]source-address 200.10.2.3 32
[FW3-policy-security-rule-isakmp]source-address 200.10.1.1 32
[FW3-policy-security-rule-isakmp]destination-address 200.10.1.1 32
[FW3-policy-security-rule-isakmp]destination-address 200.10.2.3 32
[FW3-policy-security-rule-isakmp]service isakmp
[FW3-policy-security-rule-isakmp]action permit
检查连通性

PC1 ping PC2:

PC>ping 172.16.1.1

Ping 172.16.1.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 172.16.1.1: bytes=32 seq=2 ttl=126 time=15 ms
From 172.16.1.1: bytes=32 seq=3 ttl=126 time=15 ms
From 172.16.1.1: bytes=32 seq=4 ttl=126 time=15 ms
From 172.16.1.1: bytes=32 seq=5 ttl=126 time=15 ms

--- 172.16.1.1 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/15/15 ms

对R2的g0/0/0抓包:

在这里插入图片描述

加入公网设备PC3后实验环境

在这里插入图片描述

IP配置

PC3:

在这里插入图片描述

R2:

[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]ip add 200.10.3.254 24
NAT配置

FW1:

//配置地址池
[FW1]nat address-group 1
[FW1-address-group-1]section 200.10.1.10 200.10.1.10

//配置NAT策略
[FW1]nat-policy 
[FW1-policy-nat-rule-no_nat]q
[FW1-policy-nat]rule name t_u
[FW1-policy-nat-rule-t_u]source-zone trust
[FW1-policy-nat-rule-t_u]destination-zone untrust
[FW1-policy-nat-rule-t_u]source-address 192.168.1.0 24
[FW1-policy-nat-rule-t_u]action source-nat address-group 1
配置安全策略

FW1:

//配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name nat
[FW1-policy-security-rule-nat]source-zone trust
[FW1-policy-security-rule-nat]destination-zone untrust
[FW1-policy-security-rule-nat]source-address 192.168.1.0 24
[FW1-policy-security-rule-nat]service icmp
[FW1-policy-security-rule-nat]action permit 

//配置静态路由
[FW1]ip route-static 0.0.0.0 0 200.10.1.2
检查连通性

PC1 ping PC3

PC>ping 200.10.3.3

Ping 200.10.3.3: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 200.10.3.3: bytes=32 seq=2 ttl=126 time=16 ms
From 200.10.3.3: bytes=32 seq=3 ttl=126 time=16 ms
From 200.10.3.3: bytes=32 seq=4 ttl=126 time=16 ms
From 200.10.3.3: bytes=32 seq=5 ttl=126 time<1 ms

--- 200.10.3.3 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/12/16 ms

对R2的g0/0/0抓包

在这里插入图片描述

此时用PC1 ping PC2无法成功,因为NAT协议将封装后的包源地址改变为公网地址,路由表无法转发,因此需要禁止对源目地址为192.168.1.1和172.16.1.1的包实行NAT策略。

配置NAT

FW1:

[FW1]nat-policy 
[FW1-policy-nat]rule name no_nat
[FW1-policy-nat-rule-no_nat]source-zone trust
[FW1-policy-nat-rule-no_nat]destination-zone untrust
[FW1-policy-nat-rule-no_nat]source-address 192.168.1.0 24
[FW1-policy-nat-rule-no_nat]destination-address 172.16.1.0 24
[FW1-policy-nat-rule-no_nat]action no-nat

//将no_nat移到t_u之前
[FW1-policy-nat]rule move no_nat before t_u
检查连通性

PC1 ping PC2

PC>ping 172.16.1.1

Ping 172.16.1.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 172.16.1.1: bytes=32 seq=2 ttl=126 time=15 ms
From 172.16.1.1: bytes=32 seq=3 ttl=126 time=15 ms
From 172.16.1.1: bytes=32 seq=4 ttl=126 time=15 ms
From 172.16.1.1: bytes=32 seq=5 ttl=126 time=15 ms

--- 172.16.1.1 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/15/15 ms

PC1 ping PC3

PC>ping 200.10.3.3

Ping 200.10.3.3: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 200.10.3.3: bytes=32 seq=2 ttl=126 time=16 ms
From 200.10.3.3: bytes=32 seq=3 ttl=126 time=16 ms
From 200.10.3.3: bytes=32 seq=4 ttl=126 time=16 ms
From 200.10.3.3: bytes=32 seq=5 ttl=126 time=31 ms

--- 200.10.3.3 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/19/31 ms

实验总结

​ 本次实验学习了IPSec的防火墙配置方法。相较于路由器而言,防火墙则需要多出的步骤就是划分区域和配置安全策略。配置安全策略需要多配置一个isakmp策略用于让封装VPN的包来回传递。若要让私网的主机访问公网的主机需要进行地地址转换,配置NAT,注意策略的顺序,策略匹配从前往后,先匹配的要放在前面。

南南很难
关注
  • 13
    点赞
  • 130
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
enspipsec实验(ike自动协商)
qq_44933518的博客
04-02 6887
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
华为防火墙IPSEC虚拟专网基本配置
07-16 2448
本文介绍一下华为防火墙IPSEC 虚拟专网的配置方法,本范文内没有计划NAT相关事项。配置步骤:一、 配置接口二、 配置安全区域三、 配置安全策略四、 配置静态路由五、配置IPSEC1. ike proposal2. ike peer3. ipsec proposal4. ACL5. ipsec policy#调用ACL、IPSEC Proposal、ike peer6. ...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
ENSP防火墙综合实验(GRE、IPSecNAT通信)【防火墙安全策略】
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
华为ipsec vpn 的介绍配置实例故障案例分析-(值得收藏)
最新发布
满地找牙的博客
07-01 1074
华为IPsec (Internet Protocol Security) VPN是一种基于IP层的安全协议,用于在公共网络(如互联网)上创建安全、加密的通信隧道,确保数据在传输过程中的保密性、完整性、真实性和抗重放能力。IPsec是企业网络中最常用的远程访问和站点间连接的加密技术之一。
ENSP防火墙配置实验,防火墙配置安全策略和GRE以及配置NAT进行路由通信
milu_nff的博客
05-16 7955
该实验要求如下: 配置GRE 实现总部和分部客户端PC之间私有IPv4地址和IPv6相互通信 隧道IPv4地址:10.1.12.0/24 隧道IPv6地址:2001:12::/64 NAT 实现所有的PC通过NAT转换访问client1,使用Easy-ip技术实现 NAT Server FTP公网IP地址为110.1.1.100,client1通过此公网IP访问FTP服务 路由 全网使用静态路由来实现通信 该实验拓扑图如下 1、配置底层IP地址信息 FW1的配置 interface GigabitEth
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 3068
ENSP配置IPSEC实验
华为ENSP模拟IPSEC连接
WXDCSDN的博客
06-14 389
华为ENSP模拟IPSEC连接
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。 北京总部部署...
HUAWEI 防火墙 综合配置案例.pdf
02-22
HUAWEI 防火墙 综合配置案例.pdf
eNSP—GRE+DNS+WEB+NAT综合实验
m0_46237205的博客
02-21 935
拓扑图如下: AR1的基本配置: [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [AR1-GigabitEthernet0/0/0]undo shut [AR1-GigabitEthernet0/0/0]quit [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip add 10.0.12.1 24 [AR1-GigabitEthernet0/0/1]undo shut AR1的隧道
华为Ensp ipsec
分享的都是纯自学心得
04-14 452
R1-ike-proposal-1] encryption-algorithm aes-cbc-128 #配置IKE加密算法为aes-cbc-128。[R1-ipsec-policy-isakmp-policy1-1] proposal tranl #引用定义的IPsec安全提议1。[R1-ipsec-policy-isakmp-policy1-1] ike-peer rta #引用定义的IKE对等体。[R1-ike-peer-rta] local-id-type name #配置本端id类型为名称。
[eNSP]建立IPSec隧道
ZXW_NUDT的博客
03-31 2778
1、配置静态路由 [AR 1]ip route-static 200.2.2.0 24 200.1.1.2 [AR 1]ip route-static 192.168.2.0 24 200.2.2.1 [AR 3]ip route-static 200.1.1.0 24 200.2.2.2 [AR 3]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-.
华为ensp企业网ipsec-vpn点到多点部署
白话聊网络的博客
09-20 725
KM-AR2220-AR1-ike-proposal-5] encryption-algorithm aes-cbc-128 //配置认证算法。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] proposal tran1 //绑定安全提议。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] ike-peer SY //绑定ike邻居。[KM-AR2220-AR1]ike proposal 5 //配置ike安全提议。
ensp防火墙NAT
k20190300的博客
01-28 1536
需求: 要做到内网用户能够正常通过nat转换为公网地址访问外网,且外网用户能访问内网的web服务器,服务器不能主动发出请求报文.2.外网-->内网web服务器。
基于eNSP+软考中级各类组网技术/综合实验
热门推荐
m0_46179473的博客
03-26 2万+
由于华为近几年在国内的市场越来越大,网络工程师中的组网技术的题目都由思科变为了华为,所以华为的设备还是有必要学习一下的了;由于本文章只提供,在设计过程中的关键技术与设计笔记(可根据以下所提供的设计与实现步骤一步一步自行实现(每一条命令都是关键的命令);但是如果有需要的也可以根据以下地址进行下载完整的topo图和完整的配置进行参考与借鉴 [配套资源:基于eNSP+软考中级各类组网技术/综合实验,网络规划topo图及其相应实验的配套软件.rar]
eNSP防火墙+IPSec 站点到站点的虚拟专用网络
m0_46237205的博客
04-10 4303
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
eNSPNAT网络地址转换实验
weixin_44508518的博客
07-14 2737
1、R2为IsP设备只能在该设备上配置ip地址,不得在进行其他任何配置2、1.1-1.0/24网段代表整个互联网的所有网段;3、Pc1可以正常pingPc24、R1仅拥有一个公有ip地址,在G0/0/1接口上5、CLIENT可以通过http访问到两台server6、client在访问其他一台server通过域名。...
011-Ensp-实验-NAT网络地址转换
qq_41149775的博客
01-08 682
PC1 与 AR2 互通。
华为ensp防火墙配置NAT
05-27
以下是华为ENSP防火墙配置NAT的步骤: 1. 进入ensp防火墙模拟器,选择“配置”选项卡,进入“NAT配置页面。 2. 点击“添加”按钮,进入“添加NAT条目”页面。 3. 在“添加NAT条目”页面中,选择“内部接口”和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值