eNSP—防火墙+IPSec 站点到站点的虚拟专用网络

已于 2023-10-25 10:59:27 修改
阅读量4.3k 收藏 69
点赞数 4
文章标签: 网络互联
于 2022-04-10 20:39:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46237205/article/details/124084673
版权

拓扑如下:
在这里插入图片描述
组网需求:
1、FW1内部网络172.16.1.0/24模拟站点一内部网络,pc1模拟站点一内部客户端。
2、FW2内部网络192.168.1.0/24模拟站点二内部网络,pc2模拟站点二内部客户端。
3、10.0.12.0/24和10.0.23.0/24网络模拟互联网,Internet路由器模拟互联网路由器。
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。
4、PC1可以与PC2互通。

【1】FW1的配置命令:
#基本配置

[SRG]sysname fw1
[fw1]int g0/0/1
[fw1-GigabitEthernet0/0/1]ip add 172.16.1.254 24
[fw1-GigabitEthernet0/0/1]int g0/0/2
[fw1-GigabitEthernet0/0/2]ip add 10.0.12.1 24
[fw1-GigabitEthernet0/0/2]quit

[fw1]ip route-static 0.0.0.0 0.0.0.0 10.0.12.2

#配置接口加入到相应的安全区域

[fw1]firewall zone trust 
[fw1-zone-trust]add interface g0/0/1
[fw1-zone-trust]quit
[fw1]firewall zone untrust 
[fw1-zone-untrust]add interface g0/0/2
[fw1-zone-untrust]quit

【2】采用IKE安全策略方式建立IPSec隧道主要配置如下:

#配置访问控制列表匹配两端通信网络之间的IPSec VPN加密感兴趣流

[fw1]acl 3000
[fw1-acl-adv-3000]rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#配置ike安全提议

[fw1]ike proposal 10
[fw1-ike-proposal-10]encryption-algorithm 3des-cbc 
[fw1-ike-proposal-10]dh group2
[fw1-ike-proposal-10]authentication-algorithm md5
[fw1-ike-proposal-10]quit

#配置ike Peer

[fw1]ike peer fw2	
[fw1-ike-peer-fw2]pre-shared-key qyt
[fw1-ike-peer-fw2]ike-proposal 10
[fw1-ike-peer-fw2]remote-address 10.0.23.1
[fw1-ike-peer-fw2]quit

#配置IPSec安全提议

[fw1]ipsec proposal qyt1	
[fw1-ipsec-proposal-qyt1]esp authentication-algorithm sha1 
[fw1-ipsec-proposal-qyt1]esp encryption-algorithm aes 
[fw1-ipsec-proposal-qyt1]quit

#配置IPSec安全策略组

[fw1]ipsec policy qytmap 10 isakmp 	
[fw1-ipsec-policy-isakmp-qytmap-10]security acl 3000
[fw1-ipsec-policy-isakmp-qytmap-10]ike-peer fw2
[fw1-ipsec-policy-isakmp-qytmap-10]proposal qyt1
[fw1-ipsec-policy-isakmp-qytmap-10]quit

#在接口上应用安全策略组

[fw1]int g0/0/2
[fw1-GigabitEthernet0/0/2]ipsec policy qytmap
[fw1-GigabitEthernet0/0/2]quit

【3】防火墙的域间策略主要配置如下:

#配置local区与untrust区的zone间策略
#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量

[fw1]policy interzone local untrust outbound 
[fw1-policy-interzone-local-untrust-outbound]policy 2	
[fw1-policy-interzone-local-untrust-outbound-2]policy source 10.0.12.1 0	
[fw1-policy-interzone-local-untrust-outbound-2]policy destination 10.0.23.1 0
[fw1-policy-interzone-local-untrust-outbound-2]policy service service-set ike 	
[fw1-policy-interzone-local-untrust-outbound-2]policy service service-set esp 
[fw1-policy-interzone-local-untrust-outbound-2]action permit 
[fw1-policy-interzone-local-untrust-outbound-2]quit
[fw1-policy-interzone-local-untrust-outbound]quit

[fw1]policy interzone untrust local inbound 
[fw1-policy-interzone-local-untrust-inbound]policy 2
[fw1-policy-interzone-local-untrust-inbound-2]policy source 10.0.23.1 0
[fw1-policy-interzone-local-untrust-inbound-2]policy destination 10.0.12.1 0
[fw1-policy-interzone-local-untrust-inbound-2]policy service service-set ike 	
[fw1-policy-interzone-local-untrust-inbound-2]policy service service-set esp 
[fw1-policy-interzone-local-untrust-inbound-2]action permit

#配置trust区与untrust区的zone间策略
#放行untrust区和trust区双方向上通信网络之间的流量

[fw1]policy interzone untrust trust inbound 	
[fw1-policy-interzone-trust-untrust-inbound]policy 1
[fw1-policy-interzone-trust-untrust-inbound-1]policy source 192.168.1.1 0	
[fw1-policy-interzone-trust-untrust-inbound-1]policy destination 172.16.1.1 0
[fw1-policy-interzone-trust-untrust-inbound-1]action permit 
[fw1-policy-interzone-trust-untrust-inbound-1]quit
[fw1-policy-interzone-trust-untrust-inbound]quit
[fw1]policy interzone trust untrust outbound 
[fw1-policy-interzone-trust-untrust-outbound]policy 1
[fw1-policy-interzone-trust-untrust-outbound-1]policy source 172.16.1.1 0
[fw1-policy-interzone-trust-untrust-outbound-1]policy destination 192.168.1.1 0	
[fw1-policy-interzone-trust-untrust-outbound-1]action permit

【4】FW2的配置命令:
#基本配置

[SRG]sysname fw2
[fw2]int g0/0/1
[fw2-GigabitEthernet0/0/1]ip add 192.168.1.254 24
[fw2-GigabitEthernet0/0/1]int g0/0/2
[fw2-GigabitEthernet0/0/2]ip add 10.0.23.1 24
[fw2-GigabitEthernet0/0/2]quit

[fw2] ip route-static 0.0.0.0 0.0.0.0 10.0.23.2

#配置接口加入到相应的安全区域

[fw2]firewall zone trust 
[fw2-zone-trust]add interface g0/0/1
[fw2-zone-trust]quit
[fw2]firewall zone untrust 
[fw2-zone-untrust]add interface g0/0/2
[fw2-zone-untrust]quit

【5】采用IKE安全策略方式建立IPSec隧道主要配置如下:

#配置访问控制列表匹配两端通信网络之间的IPSec VPN加密感兴趣流

[fw2]acl 3000
[fw2-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
[fw2-acl-adv-3000]quit

#配置ike安全提议

[fw2]ike proposal 10
[fw2-ike-proposal-10]encryption-algorithm 3des-cbc 	
[fw2-ike-proposal-10]dh group2
[fw2-ike-proposal-10]authentication-algorithm md5 
[fw2-ike-proposal-10]quit

#配置ike Peer

[fw2]ike peer fw1	
[fw2-ike-peer-fw1]pre-shared-key qyt
[fw2-ike-peer-fw1]ike-proposal 10
[fw2-ike-peer-fw1]remote-address 10.0.12.1
[fw2-ike-peer-fw1]quit

#配置IPSec安全提议

[fw2]ipsec proposal qyt1	
[fw2-ipsec-proposal-qyt1]esp authentication-algorithm sha1 
[fw2-ipsec-proposal-qyt1]esp encryption-algorithm aes 
[fw2-ipsec-proposal-qyt1]quit

#配置IPSec安全策略组

[fw2]ipsec policy qytmap 10 isakmp 	
[fw2-ipsec-policy-isakmp-qytmap-10]security acl 3000
[fw2-ipsec-policy-isakmp-qytmap-10]ike-peer fw1
[fw2-ipsec-policy-isakmp-qytmap-10]proposal qyt1
[fw2-ipsec-policy-isakmp-qytmap-10]quit

#在接口上应用安全策略组

[fw2]int g0/0/2
[fw2-GigabitEthernet0/0/2]ipsec policy qytmap

【6】防火墙的域间策略主要配置如下:

#配置local区与untrust区的zone间策略
#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量

[fw2]policy interzone local untrust outbound 
[fw2-policy-interzone-local-untrust-outbound]policy 2	
[fw2-policy-interzone-local-untrust-outbound-2]policy source 10.0.23.1 0	
[fw2-policy-interzone-local-untrust-outbound-2]policy destination 10.0.12.1 0
[fw2-policy-interzone-local-untrust-outbound-2]policy service service-set ike 
[fw2-policy-interzone-local-untrust-outbound-2]policy service service-set esp 	
[fw2-policy-interzone-local-untrust-outbound-2]action permit 
[fw2-policy-interzone-local-untrust-outbound-2]quit
[fw2-policy-interzone-local-untrust-outbound]quit
[fw2]policy interzone untrust local inbound 
[fw2-policy-interzone-local-untrust-inbound]policy 2
[fw2-policy-interzone-local-untrust-inbound-2]policy source 10.0.12.1 0
[fw2-policy-interzone-local-untrust-inbound-2]policy destination 10.0.23.1 0
[fw2-policy-interzone-local-untrust-inbound-2]policy service service-set ike 
[fw2-policy-interzone-local-untrust-inbound-2]policy service service-set esp 
[fw2-policy-interzone-local-untrust-inbound-2]action permit

#配置trust区与untrust区的zone间策略
#放行untrust区和trust区双方向上通信网络之间的流量

[fw2]policy interzone trust untrust outbound 
[fw2-policy-interzone-trust-untrust-outbound]policy 1
[fw2-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.1 0
[fw2-policy-interzone-trust-untrust-outbound-1]policy destination 172.16.1.1 0	
[fw2-policy-interzone-trust-untrust-outbound-1]action permit 
[fw2-policy-interzone-trust-untrust-outbound-1]quit
[fw2-policy-interzone-trust-untrust-outbound]quit
23:11:27  2022/03/02
[fw2]policy interzone untrust trust inbound 
[fw2-policy-interzone-trust-untrust-inbound]policy 1
[fw2-policy-interzone-trust-untrust-inbound-1]policy source 172.16.1.1 0
[fw2-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.1 0
[fw2-policy-interzone-trust-untrust-inbound-1]action permit

【7】AR1的配置命令:

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 10.0.12.2 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 10.0.23.2 24
[Huawei-GigabitEthernet0/0/2]quit	

[Huawei]ip route-static 192.168.1.0 24 10.0.23.1	
[Huawei]ip route-static 172.16.1.0 24 10.0.12.1

实验结果:PC1可以ping通PC2
在这里插入图片描述

!!!
PS:在防火墙策略那边使用不了ike的解决方法(如果没有自定义ike服务,策略那边就会使用不了ike),使用这两条命令去定义:
[FW1]ip service-set ike type object
[FW1-object-service-set-ike]service 0 protocol udp source-port 0 to 65535 destination-port 500
在这里插入图片描述

'61
关注
ensp防火墙
m0_63199267的博客
03-15 3667
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备授权用户非授权用户防火墙的区域:区域的划分,根据安全等级来划分。
[eNSP]建立IPSec隧道
ZXW_NUDT的博客
03-31 2807
1、配置静态路由 [AR 1]ip route-static 200.2.2.0 24 200.1.1.2 [AR 1]ip route-static 192.168.2.0 24 200.2.2.1 [AR 3]ip route-static 200.1.1.0 24 200.2.2.2 [AR 3]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-.
ENSP实现防火墙区域策略与用户管理
最新发布
ghostd4的博客
07-12 1032
要求:我的拓扑:实验需求1、DMZ区内的服务器,办公区仅能在办公时间内(9:80-18:88)可以访问,生产区的设备全天可以访问2、生产区不允许访问互联网,办公区和游客区允许访问互联网3、办公设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.104、办公区分为市场部和研发部,研发部IP地址固定,访问0Mz区使用匿名认证,市场部需要用户绑定p地址,访问DMZ区使用免认证.
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2164
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
华为ensp防火墙ipsec
热门推荐
西北纵队
11-22 1万+
菊厂防火墙ipsecvpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略是否允许区域间流量流动; 拓扑图的IP地址配置在图上已经标好,按照图示配置即可 地址配好,将会出现一个问题,防火墙的编号最小的接口将不会存在直连路由,哪怕你提前配置了一条往公网的静态默认路由,都不会显示在转发录音表中,这是因为防火墙默认有一个vpn模型在他的g0/0/0接口上,把他undo即可 [FW2-Gigab
ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 1580
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙
华为eNSP配置专题-IPSec的配置
日拱一卒的博客
10-26 2025
华为eNSP配置专题-IPSec的配置
华为ENSP防火墙+路由器+交换机的常规配置
07-07
1、普通企业级网络无冗余网络环境,防火墙作为边界安全设备,分trust(内部网络信任区域)、untrust(外部网络非信任区域)、dmz(非军事服务器区域) 2、dmz区域运行企业的专业服务器,本例以FTP与HTTPS服务器为...
华为ensp防火墙镜像包
03-11
华为ensp防火墙镜像包
基于ensp防火墙双击热备二层网络规划与设计(命令齐全)-参考文章-配置实验命令笔记
07-02
文件中包含了基于ensp防火墙双击热备二层网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(二层架构,核心层、计入层),文件在加入了相应的配套文章连接,并加入了实验的...
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
ensp防火墙USG6000v
02-04
eNSP里面的防火墙USG6000v可用版本,解决eNSP防火墙USG6000v为beta版的问题 适合刚入手学习eNSP及其防火墙配置的实验 亲测可配置云、nat、IP v6过渡技术、VRRP、隧道等技术
华为eNSP防火墙 配置使用IPSec隧道
m0_75102488的博客
06-16 990
华为eNSP防火墙配置
华为eNSP IPsec VPN配置指南
外游者
04-10 6652
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
ensp-防火墙
西部壮仔的博客
05-18 5672
实验拓扑: 工作模式: ①透明网桥模式(可将防火墙当成二层交换机) ②路由模式 (可将防火墙当成三层路由器) DMZ:demilitarized zone,通常给该区域放服务器 注:优先级越高表示越信任 将接口划入区域 方向 outbound:高优先级访问低优先级 inbound:低优先级访问高优先级 注:“访问”仅指的是出包即主动发起的第一个报文,即建立会话(session)的过程。 五元组 防火墙NAT ① NAT转换:firewall 允许内网私网用户访问外网服务器 nat-policy
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
华为ensp路由器IPSec VPN原理及配置命令(超详解)
博客之路,前途漫漫
05-13 3625
是一种通过公用网络建立安全连接的技术。它可以使您的设备看起来像是连接到另一个网络,例如公司或家庭网络,即使您实际上位于其他位置。通过在您的设备和远程服务器之间创建加密隧道来工作。该隧道可保护您的互联网流量免受窥探,即使您使用的是公共 Wi-Fi 网络。
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4020
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
ensp防火墙------安全策略实验
m0_74355247的博客
07-11 529
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网权限,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。1、配置IP,创建一个测试以太网,给cloud增加端口,并给防火墙配置(开启所有允许服务、修改登录密码),划分vlan。
ensp防火墙虚拟系统
09-14
在华为eNSP模拟器中,可以使用防火墙虚拟系统来实现资源配置和管理功能。首先,进入虚拟系统界面,可以使用以下命令切换到指定的虚拟系统:switch vsys VSYSA。然后,根据需求进行虚拟系统的配置,包括分配资源和创建管理用户。在根系统下执行服务开启的命令来管理虚拟系统的服务,比如ssh、telnet等。通过这些步骤,你可以在华为eNSP防火墙中成功配置和管理防火墙虚拟系统。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值