华为防火墙ipsec vpn nat穿越2种场景配置案例_nat映射ipsec

已于 2024-04-12 11:42:52 修改
阅读量1k 收藏 30
点赞数 18
分类专栏: 2024年程序员学习 文章标签: 华为 智能路由器 网络
于 2024-04-12 11:42:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58846287/article/details/137674967
版权

4.在FW_C上配置IPSec策略。 a.定义被保护的数据流。
[FW_C] acl 3000
[FW_C-acl-adv-3000] rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

b.配置IPSec安全提议tran1。采用默认参数。
[FW_C] ipsec proposal tran1
[FW_C-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 //默认就有
[FW_C-ipsec-proposal-tran1] esp encryption-algorithm aes-256 //默认就有
[FW_C-ipsec-proposal-tran1] quit

c.配置IKE安全提议。采用默认参数。
[FW_C] ike proposal 10
[FW_C-ike-proposal-10] authentication-method pre-share //默认就有
[FW_C-ike-proposal-10] prf hmac-sha2-256 //默认就有
[FW_C-ike-proposal-10] encryption-algorithm aes-256 //默认就有
[FW_C-ike-proposal-10] dh group14 //默认就有
[FW_C-ike-proposal-10] integrity-algorithm hmac-sha2-256 //默认就有
[FW_C-ike-proposal-10] quit

d.配置IKE Peer。
[FW_C] ike peer a
[FW_C-ike-peer-a] ike-proposal 10
[FW_C-ike-peer-a] remote-address 1.1.2.1
[FW_C-ike-peer-a] pre-shared-key admin123
[FW_C-ike-peer-a] quit

e.配置IPSec策略map1。
[FW_C] ipsec policy map1 10 isakmp
[FW_C-ipsec-policy-isakmp-map1-10] security acl 3000
[FW_C-ipsec-policy-isakmp-map1-10] proposal tran1
[FW_C-ipsec-policy-isakmp-map1-10] ike-peer a
[FW_C-ipsec-policy-isakmp-map1-10] quit

f.在接口GigabitEthernet 1/0/2上应用IPSec策略组map1。
[FW_C] interface GigabitEthernet 1/0/2
[FW_C-GigabitEthernet1/0/2] ipsec policy map1
[FW_C-GigabitEthernet1/0/2] quit

c.出路路由器配置。
acl number 2000
rule 5 permit source 10.1.2.0 0.0.0.255

interface GigabitEthernet0/0/0
ip address 10.1.5.1 255.255.255.0

interface GigabitEthernet0/0/1
ip address 1.1.5.1 255.255.255.0
nat outbound 2000

ip route-static 0.0.0.0 0.0.0.0 1.1.5.2
ip route-static 10.1.2.0 255.255.255.0 10.1.5.2

结果验证

1.配置完成后,PC2发起访问,之后PC1与PC2之间可以相互访问。PC2同时可以访问到公网。

2.PC2可以Ping通FW_A的1.1.2.1,同时在FW_B上可以查看NAT转换session表项。
<FW_B> display firewall session table
Current Total Sessions : 2
udp VPN:public --> public 10.1.5.2:500[1.1.5.1:2048]–>1.1.2.1:500
udp VPN:public --> public 10.1.5.2:4500[1.1.5.1:2048]–>1.1.2.1:4500

3.总部防火墙FW_A上可以查看到对应的IKE SA。 <FW_A> display ike sa IKE SA information : Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID

83887864    1.1.5.1:500           RD|A     v2:2   IP          1.1.5.1
83887652    1.1.5.1:500           RD|A     v2:1   IP          1.1.5.1

Number of IKE SA : 2

Flag Description:
RD–READY ST–STAYALIVE RL–REPLACED FD–FADING TO–TIMEOUT
HRT–HEARTBEAT LKG–LAST KNOWN GOOD SEQ NO. BCK–BACKED UP
M–ACTIVE S–STANDBY A–ALONE NEG–NEGOTIATING

4.分支上FW_C可以查看到对端为总部的IKE SA,FW_C是发起方,标志位为ST。 <FW_C> display ike sa IKE SA information : Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID

62887864    1.1.2.1:500           RD|ST|A  v2:2   IP          1.1.2.1
62887652    1.1.2.1:500           RD|ST|A  v2:1   IP          1.1.2.1

Number of IKE SA : 2

Flag Description:
RD–READY ST–STAYALIVE RL–REPLACED FD–FADING TO–TIMEOUT
HRT–HEARTBEAT LKG–LAST KNOWN GOOD SEQ NO. BCK–BACKED UP
M–ACTIVE S–STANDBY A–ALONE NEG–NEGOTIATING

5.总部防火墙FW_A上可以查看到一对双向的IPSec SA,对应分支FW_C。
<FW_A> display ipsec sa brief
Current ipsec sa num:2

Spu board slot 1, cpu 1 ipsec sa information: Number of SAs:2 Src address Dst address SPI VPN Protocol Algorithm

1.1.2.1         1.1.5.1       3923280450           ESP      E:AES-256 A:SHA2_256_128 
1.1.5.1         1.1.2.1       2676437093           ESP      E:AES-256 A:SHA2_256_128

6.分支节点FW_C上可以查看到一对双向IPSec SA。<FW_C> display ipsec sa brief
Current ipsec sa num:2

Spu board slot 1, cpu 1 ipsec sa information: Number of SAs:4 Src address Dst address SPI VPN Protocol Algorithm

10.1.5.2         1.1.2.1       2179965693          ESP     E:AES-256 A:SHA2_256_128
1.1.2.1         10.1.5.2       3813759530          ESP     E:AES-256 A:SHA2_256_128

第二种方法,即做vpn又做nat,意思是电脑又和总部vpn通,又能上外网,都在一台防火墙设备上实现。

在这里插入图片描述

FW_A主要配置:

acl number 3000
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

ipsec proposal pro1
transfrom esp

ike proposal 10

ike peer fenbu_1
pre-shared-key admin
ike-proposal 10
nat traversal

ipsec policy-template temp1 1
security acl 3000
ike-peer fenbu_1
proposal pro1

ipsec policy policy1 1 isakmp template temp1

interface GigabitEthernet1/0/0
undo shutdown
ip address 1.1.1.1 255.255.255.0
service-manage ping permit
ipsec policy policy1

interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.0.1 255.255.255.0
service-manage ping permit
dhcp select interface

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1

firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

FW_B主要配置:

acl number 2000
rule 5 permit source 172.16.0.0 0.0.0.255

acl number 3000
rule 5 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

ipsec proposal pro1
transfrom esp

ike proposal 10

ike peer zongbu
pre-shared-key admin
ike-proposal 10
remote-address 1.1.1.1
nat traversal

ipsec policy policy1 1 isakmp
security acl 3000
ike-peer zongbu
proposal pro1

interface GigabitEthernet1/0/0
undo shutdown
ip address 1.1.1.1 255.255.255.0
service-manage ping permit
ipsec policy policy1

interface GigabitEthernet1/0/1
undo shutdown
ip address 172.16.0.1 255.255.255.0
service-manage ping permit
dhcp select interface

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1

ip route-static 0.0.0.0 0.0.0.0 2.2.2.1

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

2VVN-1712893354547)]
[外链图片转存中…(img-JFxGSuq2-1712893354547)]
[外链图片转存中…(img-JwwRLDjm-1712893354547)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-3HNEvtMa-1712893354547)]

BTA面试题
关注
  • 18
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
华为防火墙ipsec vpn实例配置
最新发布
u012926781的博客
05-23 444
c、ike peer ,绑定ike proposal,指定ike交互模式与对端用于接收IPSEC报文地址,指定共享秘钥,还可以设定dpd消息(类似Keepalive报文)。3、当NATIPSEC同时配置在一台设备上,会先执行NAT再执行IPSEC,所以需要在NAT的ACL中deny掉IPSEC的感兴趣数据流。e、创建ipsec policy,绑定ipsec proposal、Ike peer、ACL感兴趣流、配置本地站点地址。1、双方站点使用的加密协议与算法要保持一致,否则协商不通过。
华为防火墙ipsec vp*实例配置
weixin_45457085的博客
03-22 1万+
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。 2、IPSEC配置 a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。 b、ike proposal(ike提案),如果是通过IKE自动协商..
华为IPSec VPN配置
热门推荐
caolongbin的博客
09-08 2万+
基于华为ENSP的简单IPSecVPN实验
华为设备IPsec简单配置
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 9623
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有限低于网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙nat端口映射
06-07
对应主页文章名称
华为防火墙如何为NAT开放安全策略
09-16
如何为NAT开放安全策略
华为防火墙IPSec站点到站点实验配置
05-17
该实验使用华为防火墙USG6000v,在两个局域网的出口网关之间建立IPSec隧道,实现局域网之间通过IPSec隧道互访。
华为防火墙基础NAT实验及配置
11-11
华为防火墙基础NAT实验及配置,包含基础配置及测试图片
华为路由器 IPSec VPN 配置
一直被模仿,从未被超越
05-31 7826
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
华为防火墙综合案例IPSec、SSL、NAT、ACL、安全防护)
ywc0825的博客
03-14 4451
华为防火墙综合案例IPSec、SSL、NAT、ACL、安全防护)
华为防火墙ipsec vpn nat穿越2种场景配置案例
IT技术
11-09 2317
华为防火墙ipsec vpn nat穿越2种场景配置案例
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 3431
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
VPN专题:IPsec VPN实验配置 超详细必码!
2301_76170756的博客
11-14 955
ESP protocol : Authentication MD5-HMAC-96 //认证模式为MD5。IPSec proposal name: 1 //名字为1。[AR1]display ipsec proposal //查看IPSEC VPN 提议。[AR1]display ipsec policy //查看IPSEC的策略。Number of proposals: 1 //编号为1。(2)在AR1的g0/0/2抓包。(1)如图所示配置IP地址。
华为网络配置IPSec
1风天云月的博客
12-17 7135
目录 前言 一、IPSec概述 1、IPSec介绍 2、IPSec的安全性 3、安全联盟 4、安全协议 5、封装模式 6、传输模式和隧道模式比较 7、加密和验证 8、密钥交换 9、IKE协议 10、IKE安全机制 11、IKE版本 二、IPSec配置 1、案例 2、配置过程 (1)AR1 (2)AR2 (3)AR3 (4)在总公司上搭建简单web服务 3、测试 (1)分公司访问总公司 (2)总公司访问分公司 (3)访问总公司web服务 结语
华为防火墙建立IPSEC VPNNAT穿越问题(大学生易读版)
qq_74338624的博客
12-29 974
其中华为防火墙和思科路由器R1建立连接形成VPN,在ISP上有8.8.8.8的回环口网段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值