华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 CLI配置 (三)

已于 2022-11-05 20:45:46 修改
阅读量3.4k 收藏 43
点赞数 5
文章标签: 服务器 负载均衡 网络
于 2022-08-11 23:07:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60444349/article/details/126294474
版权

1. 组网需求

1.1 IPSCE VPN

出口配置双线路,并配置负载均衡方式。通过配置IPSEC VPN服务,在各个分支与总部之间建立点到点的安全隧道连接,实现访问总部的网络资源和业务系统。IPSEC VPN的组网方式较为灵活,可采用点对多点或点对点方式实现总部与各分支连接,总部VPN网关负责响应各分支VPN网关的请求,需要配置固定IP地址,各个分支机构部署VPN网关,可采用静态IP或动态IP方式,与总部建立VPN隧道。

2. 配置思路

2.1组网架构

2.2测试拓扑

2.3 IP地址规划

2.4安全策略

  1. 创建允许VPN流量访问策略
  2. 创建允许总部与分公司的内网网络互通策略
  3. 创建允许分公司访问总部ERP、文件服务器、FTP服务器等业务策略

2.5 NAT策略

  1. 在防火墙上做NAT地址转换,允许内网用户上网。
  2. VPN流量不走NAT,直接转发。

3. 分公司FWA配置

1.设备名称更改
#
sysname FWA
#
2.开启DHCP服务
#
dhcp enable
#
3.配置接口及将接口加入区域
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.1.254 255.255.255.0
 service-manage ping permit
 dhcp select interface
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.1.1 255.255.255.0   /配置公网IP地址
 service-manage ping permit           /允许ping
 ipsec policy klt      /在接口下调用ipsec policy策略
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
4.配置静态路由
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.2
#
5.创建感兴趣流(内网业务的VPN流量)
#
acl number 3001
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
#
6.配置IPSEC VPN

6.1 配置IKE Proposal
#
ike proposal 1                   /创建ike安全提议,名称为1
 encryption-algorithm aes-256    /配置加密算法为aes-256
 dh group14 
authentication-algorithm sha2-256  /配置认证算法为sha2-256
authentication-method pre-share    /认证模式为预共享密钥 
#
6.2 配置IKE Peer
# 
ike peer 12        /创建ike对等体,名称为12。
 pre-shared-key %^%#fUIiD9jVgDb/qVQyaG_OR<Zh3KY7:N>z#[N0X)A7%^%# /设置预共享密钥的密码
 ike-proposal 1             /引用ike安全提议
 remote-address 200.1.1.1   /对端的公网IP
#
6.3 配置IPSEC Proposal 
#
ipsec proposal 1   /创建ipsec提议,名称为1。
 esp authentication-algorithm sha2-256  /使用esp对在公网上传输的数据进行加密,认证模式使用sha2-256
 esp encryption-algorithm aes-256 /使用esp对在公网上传输的数据进行加密,加密模式使用aes-256
#
6.4 配置IPSEC Policy
#
ipsec policy klt 5 isakmp   /创建ISAKMP方式IPSec安全策略
 security acl 3001    /引用acl,将感兴趣流与ipsec policy绑定
 ike-peer 12  /将ike对等体与ipsec policy绑定
 proposal 1   /将安全提议与ipsec policy绑定,一个ISAKMP方式IPSec安全策略最多可以引用12个IPSec安全提议
#
6.5 将ipsec policy应用到接口
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.1.1 255.255.255.0
 service-manage ping permit
 ipsec policy klt   /引用ipsec策略
#
7.创建自定义服务,允许500端口(IKE协议所用到)
#
ip service-set isakmp type object 16
 service 0 protocol udp source-port 500 destination-port 500
#
8.创建安全策略
#
security-policy
 rule name Permit-Internet
  source-zone trust
  destination-zone untrust
  action permit
 rule name yewo
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  destination-address 192.168.2.0 mask 255.255.255.0
  action permit
 rule name vpn
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 100.1.1.1 mask 255.255.255.255
  source-address 200.1.1.1 mask 255.255.255.255
  destination-address 100.1.1.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  service isakmp
  service protocol 50
  action permit
#
9.创建NAT策略
#
nat-policy
 rule name VPN           /VPN流量一定要放在最前端!
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 192.168.2.0 mask 255.255.255.0
  action no-nat
 rule name Permit-Internet  /允许内网用户上网
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
#

4. 总部FWB配置

1. 修改设备名称
#
sysname FWB
#
2. 开启DHCP服务
#
dhcp enable
#
3. 配置接口IP及将接口加入区域中
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.2.254 255.255.255.0
 service-manage ping permit
 dhcp select interface
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.1.1 255.255.255.0
 service-manage ping permit
 ipsec policy sozon
#
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
4. 配置静态路由
#
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
#
5. 定义感兴趣流
#
acl number 3001
 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
#
6. 配置IPSEC VPN
6.1 配置IKE Proposal安全提议
#
ike proposal 1
 encryption-algorithm aes-256 
 dh group14 
 authentication-algorithm sha2-256 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
6.2 配置IKE对等体
#
ike peer 12
 pre-shared-key %^%#}@%vHBNwt7vc<\"Zl#[7ME+;;vT`*7qB8Y&:@V6~%^%#
 ike-proposal 1
 remote-address 100.1.1.1 
#
6.3 创建IPSEC Proposal安全提议
#
ipsec proposal 1
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256 
#
6.4 创建IPSEC Policy
#
ipsec policy sozon 5 isakmp
 security acl 3001
 ike-peer 12
 proposal 1
#
6.5 将IPSEC POLICY应用到接口上
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.1.1 255.255.255.0
 service-manage ping permit
 ipsec policy sozon
#
6.6 创建自定义服务
#
ip service-set isakmp type object 16
 service 0 protocol udp source-port 500 destination-port 500
#
6.7 配置安全策略
#
security-policy
 rule name shangwang
  source-zone trust
  destination-zone untrust
  action permit
 rule name yewo
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  destination-address 192.168.2.0 mask 255.255.255.0
  action permit
 rule name vpn
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 100.1.1.1 mask 255.255.255.255
  source-address 200.1.1.1 mask 255.255.255.255
  destination-address 100.1.1.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  service isakmp
  service protocol 50
  action permit
#
7. 创建NAT策略
#
nat-policy
 rule name VPN
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action no-nat
 rule name shangwang
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
#

5. 访问测试

文件皆一印
关注
  • 5
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
华为防火墙IPSec站点站点实验配置
05-17
该实验使用华为防火墙USG6000v,在两个局域网的出口网关之建立IPSec隧道实现局域网之通过IPSec隧道互访。
L2TP/IPSEC搭建详细步骤
热门推荐
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
防火墙配置IPsec vpn (超详细附带思路看完就会)
weixin_52557120的博客
06-18 9135
防火墙配置ipsec vpn ,按照思路去配置一般不会出现差错,防火墙其实就是默认拒绝所有流量的路由器,可以这么理解
计算机网络4——网络层7 VPN 和NAT,MPLS
ning_xiao_xuan的博客
05-06 918
计算机网络4——网络层7虚拟专用网 VPN 和网络地址转换 NAT
ENSP ipsec manual (手动)简单拓扑配置
weixin_57193107的博客
05-20 829
网络拓扑和ip配置 第一步:先把上面的ip配进端口 AR1上的操作,同时给他配置一个默认路由 两边路由配置一样 [AR1]acl 3000 [AR1-acl-adv-3000]rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192 .168.20.0 0.0.0.255 [AR1]ipsec proposal bj //ipsec proposal <name> [AR1-ipsec-proposal-bj]tra.
实现防火墙的各个区域互通
weixin_59181877的博客
03-24 2515
防火墙上面创建vlanif10和vlanif11接口,并配置ip地址,开启ping服务。将交换机的0/0/3接口类型改为access,并允许通过van10。将交换机的0/0/4接口类型改为access,并允许通过van11。在sw1,sw2,r1上面写两天回包路由(用缺省代替)给路由器0/0/0和0/0/1口配置ip地址。让全网可以互通,在防火墙上面写6条策略。在防火墙1/0/3口配置ip地址。在防火墙1/0/0口配置ip地址。将vlan3划入g0/0/1口。将vlan2划入g0/0/2口。
华为防火墙配置IPSEC实现二个站点网络互通 隧道模式 web配置(二)
m0_60444349的博客
08-10 8287
企业IPSEC VPN组网方案目 录近年来,VPN技术以其可以利用公共网络资源,建立安全可靠、经济便捷、调整转输等特点引起了企业的广泛关注,随着信息化建设的深入以及解决企业分支机构与总部的资源共享和访问、端到端的数据转输的安全性等问题,VPN的应用也显示出它的强大优势。在各行业中基于VPN的解决方案已得到了成功应用,且能有效地降低企业组网成本,同时也为XX公司的信息化建设提供了可参加的模板。..............................
跨厂商IPSEC实践配置--总部(华为USG)防火墙和分支机构(思科ASA)防火墙点到点IPSEC 连接,两端公网出口IP固定、且出口存在NAT
aassassinator的博客
12-12 3454
一、案例介绍 本例介绍总部和分支机构的出口网关同时为NAT设备时如何建立IPSec隧道 二、组网拓扑 某企业分为总部(A)和分支机构(B)。 如下图所示: (建议将上图画在草稿纸上,标好端口及IP,以便后续配置时候查看) 组网如下: • 总部(A)和分支机构(B)分别通过FW_A和FW_B与Internet相连。 • FW_A和FW_B公网路由可达。 • 总部FW_A和分支机构FW_B为固定公网地......
防火墙的各个区域互通
weixin_65621133的博客
03-17 2483
防火墙上面创建vlanif10和vlanif11接口,并配置ip地址,开启ping服务。在交换机sw1上面创建Vlanif2和Vlanif3并添加Ip地址。将交换机的0/0/3接口类型改为access,并允许通过van10。将交换机的0/0/4接口类型改为access,并允许通过van11。在sw1,sw2,r1上面写两天回包路由(用缺省代替)给路由器0/0/0和0/0/1口配置ip地址。在防火墙1/0/3口配置ip地址。在防火墙1/0/0口配置ip地址。将vlan3划入g0/0/1口。
10张图片教会你配置华为防火墙上网,以及两地内网互通
m0_57121953的博客
12-11 3639
基本配置里面,名称随便写,无所谓;跨地区联网办公最经济实惠的方式,莫过于ipsec vpn,笔者此前也不止一次地写过ipsec vpn的配置方法,但是总有网友说太复杂了,今天我非要给各位看官来个简单版的教程,只用10张图片,就能展示华为防火墙配通外网,并且配通总部与分支机构的ipsec vpn。这条源NAT策略的意思是,从总部内网访问分支的内网,不做地址转换,如果没有这个配置,那么默认为转换,那数据流量就走到公网出去了,而不会从ipsec隧道走,那当然不会有回包了,所以两端无法互访。
华为USG防火墙ipsec穿越nat
weixin_34297300的博客
08-02 2783
本帖最后由 freeit_zfz 于 2014AR1:acl number 3001rule 1 deny ip source 10.1.2.0 0.0.0.255destination 10.1.1.0 0.0.0.255rule 2 permit ip source 10.1.2.0 0.0.0.255rule 3 permit ip source 172.16.1...
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
华为防火墙配置基于静态路由的GRE隧道.pdf
05-12
华为防火墙配置基于静态路由的GRE隧道.pdf
华为防火墙配置勒索软件防护指南
最新发布
06-10
华为防火墙配置防勒索,防止用户下挂网络收到勒索攻击
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
使用IPSEC VPN 在有防火墙的场景和有NAT转换的场景下实现隧道通信实验
qq_68163788的博客
08-03 1168
在使用IPsec VPN时,NAT(Network Address Translation)问题可能会导致连接问题。以下是一些常见的IPsec VPN NAT问题和解决方法: NAT Traversal问题:当VPN设备之存在NAT设备时,IPsec VPN连接可能会受到NAT Traversal问题的影响。解决方法是启用NAT Traversal选项,以确保VPN数据包能够通过NAT设备。 IP地址冲突问题:如果本地网络和远程网络使用相同的IP地址范围,NAT设备可能无法正确转发VPN数据包。
华为USG防火墙搭建IPsec***实战
weixin_34195142的博客
06-02 2768
1.实验拓扑:使用模拟器eNSP(版本号:1.2.00.350 V100R002c00)+AR3260+USG5500 AR1模拟运营商2.实验需求: a)在FW1上做PAT,让C1可以上互联网 b)在FW1和FW2之IPsec×××,让C1、C2实现私网通信3.实验步骤: a)IP地址规划:FW1GE0/0/...
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 3184
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
IPSEC隧道配置
杜颐的博客
05-09 1153
拓扑图如下: 建立IPSEC隧道,使江苏访问深圳 配置如下: Client客户端配置 server服务器 AR1配置 AR1配置 [AR1]interface GigabitEthernet 0/0/0 //进入接口 [AR1-GigabitEthernet0/0/0]ip address 10.10.10.254 24 //配置IP地址 [AR1]interface GigabitEthernet 0/0/1 //进入接口 [AR1-GigabitEthernet0
华为4个防火墙配置IPSEC实现4个站点网络互通 隧道模式 web配置
06-03
华为防火墙可以通过配置IPSec VPN实现多个站点网络互通。以下是配置IPSec VPN的步骤: 1. 创建IPSec策略。 在防火墙上创建IPSec策略,包括加密算法、认证算法、DH组和预共享密钥等。 2. 创建IKE策略。 在防火墙上创建IKE策略,包括加密算法、认证算法、DH组和预共享密钥等。 3. 配置VPN隧道。 在防火墙上创建VPN隧道,包括本地网段和远程网段。 4. 配置安全策略。 在防火墙上创建安全策略,指定源地址、目的地址和VPN隧道,以允许相互通信。 5. 配置NAT。 如果需要对内网进行NAT,则需要在防火墙配置NAT策略。 对于华为防火墙配置,可以通过Web界面进行配置。具体步骤可以参考华为防火墙的相关文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值