ensp华为GRE的防火墙配置

最新推荐文章于 2024-05-11 16:01:39 发布
最新推荐文章于 2024-05-11 16:01:39 发布
阅读量5k 收藏 90
点赞数 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjc321506301915/article/details/115362983
版权

作业十五:GRE的防火墙配置

文章目录

实验环境

在这里插入图片描述

实验思路

  • 规划并配置IP
  • 配置OSPF
  • 划分区域
  • 配置GRE
  • 配置静态路由
  • 配置安全策略
  • 检查连通性

实验步骤

规划并配置IP

PC1:

在这里插入图片描述

PC2:

在这里插入图片描述

FW1:

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24

[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 200.1.1.1 24

[FW1]int Tunnel 0
[FW1-Tunnel0]ip add 1.1.1.1 24

FW2:

[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 200.1.2.2 24

[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 192.168.2.254 24

[FW2]int Tunnel 0
[FW2-Tunnel0]ip add 2.2.2.2 24

R3:

[R3]int g 0/0/1
[R3-GigabitEthernet0/0/1]ip add 200.1.1.3 24
[R3-GigabitEthernet0/0/1]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 200.1.2.3 24
配置OSPF

FW1:

[FW1]ospf
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 200.1.1.1 0.0.0.0

FW2:


[FW2]ospf
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 200.1.2.2 0.0.0.0

R3:

[R3]ospf
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 200.1.1.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 200.1.2.3 0.0.0.0
划分区域

FW1:

[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0

[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1

[FW1]firewall zone dmz
[FW1-zone-dmz]add int Tunnel 0

FW2:

[FW2]firewall zone trust 
[FW2-zone-trust]add int g1/0/1

[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/0

[FW2-zone-untrust]firewall zone dmz
[FW2-zone-dmz]add int Tunnel 0
配置GRE

FW1:

[FW1]int Tunnel 0	
[FW1-Tunnel0]tunnel-protocol gre
[FW1-Tunnel0]source 200.1.1.1
[FW1-Tunnel0]destination 200.1.2.2

FW2:

[FW2]int Tunnel 0	
[FW2-Tunnel0]tunnel-protocol gre
[FW2-Tunnel0]source 200.1.2.2
[FW2-Tunnel0]destination 200.1.1.1
配置静态路由

FW1:

[FW1]ip route-static 192.168.2.0 24 Tunnel 0

FW2:

[FW2]ip route-static 192.168.1.0 24 Tunnel 0
配置安全策略

FW1:

[FW1]security-policy
[FW1-policy-security]rule name u_l	
[FW1-policy-security-rule-u_l]source-zone untrust 
[FW1-policy-security-rule-u_l]destination-zone local
[FW1-policy-security-rule-u_l]source-address 200.1.2.2 24
[FW1-policy-security-rule-u_l]destination-address 200.1.1.1 24
[FW1-policy-security-rule-u_l]service gre
[FW1-policy-security-rule-u_l]action permit

[FW1-policy-security-rule-u_l]rule name t_d
[FW1-policy-security-rule-t_d]source-zone trust
[FW1-policy-security-rule-t_d]destination-zone dmz
[FW1-policy-security-rule-t_d]source-address 192.168.1.1 24
[FW1-policy-security-rule-t_d]destination-address 192.168.2.2 24
[FW1-policy-security-rule-t_d]service icmp
[FW1-policy-security-rule-t_d]action permit

FW2:

[FW2]security-policy
[FW2-policy-security]rule name u_l
[FW2-policy-security-rule-u_l]source-zone untrust 
[FW2-policy-security-rule-u_l]destination-zone local 
[FW2-policy-security-rule-u_l]source-address 200.1.1.1 24
[FW2-policy-security-rule-u_l]destination-address 200.1.2.2 24
[FW2-policy-security-rule-u_l]service gre 
[FW2-policy-security-rule-u_l]action permit

[FW2-policy-security]rule name d_t
[FW2-policy-security-rule-d_t]source-zone dmz
[FW2-policy-security-rule-d_t]destination-zone trust
[FW2-policy-security-rule-d_t]source-address 192.168.1.1 24
[FW2-policy-security-rule-d_t]destination-address 192.168.2.2 24
[FW2-policy-security-rule-d_t]service icmp
[FW2-policy-security-rule-d_t]action permit
检查连通性

PC1 ping PC2

PC>ping 192.168.2.2

Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.2: bytes=32 seq=2 ttl=126 time=47 ms
From 192.168.2.2: bytes=32 seq=3 ttl=126 time=31 ms
From 192.168.2.2: bytes=32 seq=4 ttl=126 time=15 ms
From 192.168.2.2: bytes=32 seq=5 ttl=126 time=15 ms

--- 192.168.2.2 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/27/47 ms

对R3的g/0/0抓包

在这里插入图片描述

实验总结

​ 通过本次实验学习了防火墙上的GRE配置。因为telnet流量属于防火墙自身收发,所以需要配置untrust区域到local区域的安全策略。GRE流量封装后,往外发送时是不需要匹配策略的,直接放行,但是接收时是需要匹配策略的。

实验注意:1.Tunnel要加入dmz区域。 2.配置策略:t_d ICMP 私网地址 ; u_l GRE 公网地址

南南很难
关注
  • 13
    点赞
  • 90
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
华为eNSP-GRE实验
weixin_45745641的博客
12-15 3638
文章目录实验1实验环境实验需求实验步骤1.配置PC1和PC2的IP、子网掩码、网关2.配置路由器IP3.配置GRE4.配置默认路由5.检测是否互通PC1 ping PC2实验2实验环境实验需求实验步骤1.配置ip2.配置FW1、FW2 ip3.创建tunnel借口并添加安全区域4.设置默认路由和静态路由5.配置安全策略6.ping命令测试 实验1 实验环境 实验需求 实现PC1和PC2跨公网互访 实验步骤 1.配置PC1和PC2的IP、子网掩码、网关 2.配置路由器IP R1 : G0/0/0 IP:
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
华为ensp防火墙双出口GRE over IPSEC主备切换
白话聊网络的博客
11-03 1739
IPSEC 对两个私网流量加密,通过GRE进行选路,通过静态路由来控制选路,但是主链路中的热任何节点故障,防火墙的主备ipsec流量该如何切换成为难题,这里用NQA和静态的联动,非常的可以解决该问题。配置nqa,只要你中间链路路由可达,指明目的地址,防火墙就开始发送nqa探测报文了。中间路由就是用动态协议打通网络,ospf isis 静态都可以,不是重点配置。本期实验适用在防火墙ipsec vpn多出口的场景,看拓扑。为两个gre隧道口创建两个ipsec名。配置ipsec流量进入gre隧道流量。
通用路由封装协议--GRE的简单配置
qq_43432623的博客
12-14 5734
通用路由封装协议GRE(Generic Routing Encapsulation)可以对某些网络层协议(如IPX、ATM、IPv6、AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IPv4)中传输。GRE提供了将一种协议的报文封装在另一种协议报文中的机制,是一种三层隧道封装技术,使报文可以通过GRE隧道透明的传输,解决异种网络的传输问题。
华为配置Ethernet over GRE实现AC与无线网关之间的二层互通
最新发布
专研计算机网络,数据通信,网络安全,系统集成
05-11 803
组网图形通过Ethernet over GRE实现AC与无线网关之间的二层互通的组网图。
华为设备GRE VPN配置
m0_72155191的博客
11-03 751
1.配置IP地址2.配置静态路由3.配置GRE隧道4.验证配置
ensp:GRE配置
omh164052427的博客
12-30 2605
GRE是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在ipv4网络中传输 实验配置:1台客户端,3台路由,一台服务器 我们规划好网段(两种网段不同)之后,给路由器端口配置ip跟回执路由,给客户端跟服务器配置好网址网段,之后我们用客户端ping服务器,发现不通 因为不同类型的协议不能互通,所以我们需要再R1与R2之间建立GRE协议 命令如下,例如R1 int Tunnel 0/0/1 ip address 1.1.1.1 255.255.255.252 t.
防火墙——GRE隧道讲解
m0_49864110的博客
05-19 8326
当对端设备访问公网时,也会进行GRE封装,目的地址为tunnel接口的目的地址(也就是对端公网地址),再次进行GRE封装;解决了跨越异种网络的报文传输问题——异种报文传输的通道称为Tunnel隧道(例如IPv6孤岛问题)GRE隧道配置后,只要有到达隧道中配置的目的地址的路由(无论是否可达),隧道口都会激活。GRE(通用路由封装)是一种三层隧道封装技术,可以对某些网络层协议的报文进行封装。“包装”乘客协议对应的报文,使得原始报文可以在新的网络中传输。封装后的报文在新网络中传输时所使用的网络协议。
ensp华为GRE的路由器配置
jjc321506301915的博客
03-31 1669
作业十四:GRE的原理和配置 文章目录作业十四:GRE的原理和配置实验环境实验思路实验步骤规划并配置IP配置OSPF配置VPN配置静态路由检查连通性实验总结 实验环境 实验思路 规划并配置IP 配置OSPF 配置VPN 配置静态路由 检查连通性 实验步骤 规划并配置IP PC1: PC2: R1: [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1
ensp GRE的配置
qq_45631844的博客
03-13 8094
GRE的概述 GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(IPX, AppleTalk, IP, IPSec, DVMRP, etc.)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是VPN(Virtual Private Network)的第三层隧道协议。 简单理解就是在公网开辟一条虚拟通道给两个不相邻的局域网提供通信服务 配置过程 网络拓扑图 IP地址以及公网互
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
华为secoway-usg5150防火墙配置实战指导
01-19
华为secoway-usg5150防火墙配置实战指导
ensp做GRE实验
08-18
ensp做GRE实验
华为ensp虚拟防火墙vfw_usg.rar软件包
03-28
ENSP里面有一个华为的虚拟防火墙,找了好几天 终于获取到了这个vfw_usg.rar虚拟防火墙软件包。目前华为官网已经无法下载了,此处提供给大家。
华为ensp防火墙usg6000安装包
02-27
该资源为华为eNSP防火墙USG6000v的安装包,下载后在ensp导入镜像,初始账号为admin,密码为Admin@123
华为ENSP模拟器USG6000防火墙
08-28
解压后获得vfw_usg.vdi文件,直接导入ensp模拟器即可,新建USG6000V防火墙时会弹出导入界面
华为模拟器eNSP防火墙综合实验
热门推荐
末初的CSDN博客
05-19 2万+
实验配置目标: trust区域可以访问DMZ区域 trust区域可以访问unstrust区域 unstrust区域可以访问DMZ区域 首先把三个区域的接口地址给配置上: Trust: R1: sys un in en sysname Trust_R1 int e0/0/0 ip address 192.168.1.7 24 dis this Unstrust: R2: sys un in en sysname Unstrust_R2 int e0/0/0 ip address 177.7.7.7 .
ensp防火墙综合实验lab
enterprise2333的博客
12-20 1万+
实验要求: 1.完成防火墙组网基础配置(IP,安全域,路由(可配置动态路由,只可宣告防火墙untrust所在网段)ISP路由器不能存在防火墙非untrust区域内路由),校本部和南校区防火墙管理地址分别为192.168.0.1/24,192.168.0.2/24 2.校本部防火墙1/0/1设置为二层接口,在防火墙配置SVI分别为vlan 10和vlan 20的网关,两SVI安全域均为trust 3.PC2可以使用防火墙出接口地址上网访问到百度服务器(可ping通6.6.6.6即可) 4.使用校本部防火墙
华为eNSP配置MGRE实验详解
m0_65992344的博客
01-26 1269
MGRE(Multipoint GRE)是一种基于GRE技术的多点到多点虚拟隧道协议,它可以在IP网络上创建一个虚拟的多点连接,使多个站点之间可以直接通信。
华为ensp5500v防火墙配置
09-14
华为 ENSP5500V 防火墙配置可以分为以下几个步骤: 1. 登录设备:使用 SSH 或者控制台连接到 ENSP5500V 防火墙设备。 2. 进入系统视图:输入 "system-view" 命令,进入系统视图。 3. 配置 IP 地址:使用 "interface GigabitEthernet 0/0/0" 进入防火墙的接口视图,然后配置接口的 IP 地址和掩码,例如 "ip address 192.168.1.1 255.255.255.0"。 4. 配置安全区域:使用 "security-zone trust" 命令创建一个信任的安全区域,并将接口添加到该安全区域中,例如 "add interface GigabitEthernet 0/0/0"。 5. 配置策略:使用 "firewall policy 1" 命令创建一个防火墙策略,然后配置策略的源地址、目的地址、服务等信息,例如 "source zone trust"、"destination zone untrust"、"service tcp source-port eq 80 destination-port eq 80"。 6. 启用防火墙:使用 "firewall enable" 命令启用防火墙功能。 7. 保存配置:使用 "save" 命令保存配置,并使用 "commit" 命令使配置生效。 请注意,上述只是一个简单的示例配置,实际操作中可能需要根据具体需求进行更详细的配置。为了确保配置正确性和安全性,建议在进行配置之前参考设备的用户手册或者咨询华为技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值