防火墙配置PPPoE拨号与总部建立IPSec VPN隧道

已于 2023-11-08 12:11:46 修改
阅读量560 收藏 5
点赞数
文章标签: 网络
于 2023-11-08 12:01:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62913761/article/details/134285659
版权

概要

解决网络传输的安全隐患,总部分公司出差人员等访问总部网络资源的问题 。

整体架构流程

VPN=隧道+安全

技术细节

分部PC1通过PPPoe拨号上网的方式与总部PC2进行通讯。

FW1

int g1/0/0

ip ad 10.1.1.1 24

q

拨号口

int Dialer 1        

dialer user wakin    

dialer bundle 1     

ppp chap user wakin

ppp chap password cipher huawei

ip address ppp-negotiate

q

int g1/0/1

pppoe-client dial-bundle-number 1

q

ip route-static 0.0.0.0 0.0.0.0 Dialer1

zone

firewall zone trust

add int g1/0/0

q

firewall zone dmz

add int g1/0/0

add int dialer 1

q

security-policy

rule name ICMP

source-zone trust

destination-zone dmz

action permit

q

rule name ESP

source-zone dmz

destination-zone local

action permit

总部防火墙采用默认策略放开,忽略了策略安全区域配置请读者自行补充

IPSec

设置数据流,捕获到去往总部的地址送往IPSec VPN隧道

acl 3000

rule 10 permit ip destination 10.1.2.0 0.0.0.255

q

定义IPSec的加密算法、认证算法

ipsec proposal 1

esp encryption-algorithm aes-256

esp authentication-algorithm sha2-256

q

定义IKE使用的加密算法、认证算法和DH算法以及周期

ike proposal 1

authentication-algorithm md5

encryption-algorithm aes-256

dh group2

sa duration 3600

q

定义对端IKE发起协商的地址,设置身份认证信息密码,定义该隧道使用的安全提议

ike peer ZB

remote-address 6.6.6.6

pre-shared-key cipher wakin

ike-proposal 1

q

定义那些流量需要保护,制定了IKE SA使用的参数和IPSec SA使用的参数

ipsec policy TOZBVPN 1 isakmp

security acl 3000

ike-peer ZB

proposal 1

q

注意在拨号口捕获去往总部的流量,拨号网络所有的流量都从拨号口发出

int dialer 1

ipsec policy TOZBVPN

NAT

创建防火墙NAT采用EasyIP,源区域为PC所在区域,目标区域为拨号口dialer1接口所在区域

nat-policy

rule name EasyIP

source-zone trust

destination-zone untrust

action source-nat easy-ip

FW2

int g1/0/0

ip ad 6.6.6.6 24

int g1/0/1

ip ad 10.1.2.1 24

q

firewall zone untrust

add int g1/0/0

q

firewall zone trust

add int g1/0/1

q

ip route-static 0.0.0.0 0 6.6.6.1

acl number 3001

 rule 5 permit ip destination 172.16.0.0 0.0.0.255

ipsec proposal 2

esp encryption-algorithm aes-256

esp authentication-algorithm sha2-256

q

ike proposal 2

authentication-algorithm md5

encryption-algorithm aes-256

dh group2

sa duration 3600

q

ike peer FB

pre-shared-key cipher wakin

ike-proposal 2

security acl 3001

q

因为对端设备IP地址不固定所以需要配置IPSec 模板,只能由分布来触发该隧道。

IPSec模板方式只能响应对端发起的协商求,不能主动发起协商。但是在分出接口配置安全策略时加上auto-neg后,不需要流量触发直接建立IPSec隧道。

ipsec policy-template FBMB 10

ike-peer FB

proposal 2

q

ipsec policy TOFBVPN 10 isakmp template FBMB

int g1/0/0

ipsec policy TOFBVPN

PPPoE_Server

sys

sys ar1

aaa

local-user wakin password cipher huawei

local-user wakin service-type ppp

q

ip pool 1

net 172.16.0.0 mask 24

gateway-list 172.16.0.1

q

int virtual-template 1

ppp authentication-mode chap

ip ad 172.16.0.1 24

remote address pool 1

q

int g0/0/0

pppoe-server bind virtual-template 1

q

int g0/0/1

ip ad 6.6.6.1 24

查看实验结果

抓包分析

PPPoe阶段

IKE SA两个阶段,本次实验采用IKE V2

IP娃娃菜
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
玩转华为ENSP模拟器系列 | 两个网关之间通过IPSec VdPdNd互联并通过各自IPSec网关进行NAT后上网
COCO_gsta的博客
10-11 1070
的数据配置接口IP地址。FW_B的GE1/0/1若为动态地址,不用配置。将接口GE1/0/3加入Trust区域,接口GE1/0/1加入Untrust区域。详细步骤可参见FW_A的配置。在FW_B上配置IPSec策略,并在接口上应用此安全策略。在接口GE1/0/1上应用IPSec策略map1。配置接口IP地址,并将接口加入域。配置达到总部和其他分支机构的静态路由。在FW_A上配置IPSec策略。配置IPSec策略模板temp。配置FW_A的基础配置配置FW_B的基础配置。FW_A上配置NAT。
全新防火墙6.0 单条PPPOE(ADSL)上网配置
qq_40907977的博客
04-28 998
一、组网需求 外网接口使用ADSL拨号,内网为192.168.1.0/24网段,实现基本上网功能。 二、网络拓扑 三、配置要点 1、配置接口 wan1口: 接ADSL的接口,务必勾选“从服务器重新获得网关,这样ADSL拨号成功后设备会自动生成默认路由,无需手动配置默认路由。 internal口: IP地址设置格式为:192.168.1.200/24,可选择性地开启接口的管理功能。 2、 配置地址对象”lan“,内容为192.168.1.0/24 3、配置从internal到wan1口的策略,并开启NAT
山石网科PPPOE+IPsecVPN配置注意事项
normanhere的博客
04-27 366
隧道 有2种配置方法,一种是不配置IP地址,另外一种是配置IP地址 ,特别需要注意,如果配置IP地址(跑路由)那么隧道绑定这里也需要填写对端隧道口的路由信息(就是截图里面的网关必须写)其次分支机构因为是PPPOE拨号 ,所以 需要将自己指定为发起者 并且关闭对端存活检测(由于PPPOE分配到IP一来会发生变化,而来可能不是公网。同样的,如果隧道配置了IP地址 则写静态路由的时候需要指定下一跳,如果不写隧道IP地址,下一跳空着。通过排查,首先排除隧道内NAT 详见图片1-2。最后安全策略放行,流量就通了。
华为防火墙——通过IPv4 PPPoE接入互联网
xw19979790869的博客
11-21 960
PPPoE提供了在以太网上建立PPPoE会话以及封装PPP数据包的方法。PPPoE要求在通信双方之间建立的是点到点关系,而不是在以太网和其他多路访问环境中所出现的多点关系。它利用以太网将多个主机组成网络,通过一个远端接入设备接入因特网,并对接入的每个主机实现控制、计费功能。极高的性价比使PPPoE被广泛应用于包括小区组网等一系列应用中。当多个用户同时通过接入服务器获取服务时:用户希望接入成本低,不要或者很少改变配置即可接入成功。以太网无疑是最好的组网方式。
利用ensp模拟PPPoE认证上网
m0_67822797的博客
01-17 1874
ip address ppp-negotiate 设置接口地址为PPP获取。pppoe-client dial-bundle-number 1 客户端拨号接口与出接口绑定。pppoe-server bind Virtual-Template 1 服务器端与虚拟接口绑定。
华为ensp中PPPOE (点对点协议)原理和配置命令
博客之路,前途漫漫
04-12 2752
按需拨号(Dial-on-Demand)是一种网络连接方式,它允许用户在需要访问远程网络资源时,按需建立拨号连接。在按需拨号模式下,用户的网络设备会监测网络流量,当检测到需要访问远程网络资源时,自动拨打远程网络的电话号码,建立拨号连接。当网络流量减少或中断时,拨号连接会自动断开。
华为防火墙PPPOE拨号配置
10-19
华为防火墙PPPOE拨号配置。挺实用的
【华三】IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 2518
本篇讲的是新华三的IPsec VPN配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
解决PPPoE连接与防火墙冲突问题
weixin_73725158的博客
08-29 356
在使用PPPoE(Point-to-Point Protocol over Ethernet)连接时,有时可能会遇到与防火墙之间的冲突问题。c) 在新窗口中,找到“Exclusions”部分,并单击“Add or remove exclusions”,然后选择"Exclude a folder".d) 浏览并选取 PPPoE 连接所使用的程序文件夹路径(通常位于 C:\Windows\System32\),将其添加至排除列表。通过以上步骤,您可以解决PPPoE连接与防火墙之间的常见冲突问题。
IPsec VPN 的基本配置
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
05-15 3064
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。R1 模拟公网部分。网络地址规划如下:A公司内网为 192.168.10.0/24B公司内网为 192.168.20.0/24A公司运营商公网网段 10.8.6.0/30B公司运营商公网网段 10.8.6.4/30。
防火墙IPSec VPN(NAT 穿透-双侧 NAT)
weixin_44080599的博客
06-05 3849
奇安信防火墙 IPSEC VPN 详解
天融信防火墙配置手册.zip
07-14
目录 ACM NGTOS WAF 防毒墙 防火墙 负载均衡 静态隧道 漏扫 入侵防御 网闸
天融信防火墙配置实例
06-19
教你如何配置通过防火墙访问内网中的web服务器及ftp服务器
个人电脑配置PPPOE拨号宽带连接
02-03
·电脑已有网卡并且驱动安装正常·运营商的网线已正确接于网卡并提供信号·有运营商提供用于PPPOE拨号的帐号密码1、点“开始”,选择“控制面板”,点击“网络和Internet连接”,再点击“网络连接”,这时你应该看到...
思科防火墙、路由器配置pppoe拨号
08-28
思科防火墙、路由器配置PPPoE拨号文档
华赛防火墙PPPOE拨号配置实例.pdf
11-02
本文主要介绍如何在华赛防火墙配置PPPoE拨号,以便实现局域网内的PC通过防火墙接入Internet。配置过程分为配置下行链路、上行链路、安全区域、NAT、DNS代理以及静态路由等步骤。 1. **配置下行链路**: - 首先,...
隧道篇 / IPsec】(7.0) ❀ 02. 两端都是ADSL拨号宽带建立IPsec连接 (点对点) ❀ FortiGate 防火墙
防火墙技术专栏
04-12 3461
上一篇文章我们介绍了在两边都有可以远程的公网IP的情况下,用向导快速的建立IPsec安全隧道。但是如果用的是ADSL拨号宽带,每次连接都会变更IP,那么IPsec肯定会经常断开,有什么好办法解决吗?...
全方位讲解硬件防火墙的选择(转)
见证自己的学习之路
06-25 4608
  防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网
IPSEC VXN在PPPoE对端配置方案
永远是少年
07-06 1405
在我的上一篇博文(IPSEC VPN配置实例)中,简单介绍了IPSEC VXN的配置过程,在这种配置方式下,IPSEC VPN需要指名对端的IP地址,但是如果一方采取的是PPPoE的方式上互联网,那么此时他的对端就不能使用该方式配置IPSEC VPN了,因为该端口的IP地址不确定,在这样的情况下该如何配置IPSEC VPN呢,今天带大家了解一下。 一、实验需求及拓扑图 实验拓扑如上所示,要求两个私网之间建立IPSEC VPN,R3和R2之间采取拨号的形式上网,并远程获取IP地址。 二、实验配置思路 与上篇
ensp中usg6000v防火墙配置pppoe
最新发布
04-29
在ENSP中配置USG6000V防火墙PPPoE连接,可以按照以下步骤进行: 1. 打开ENSP软件,并创建一个新的拓扑图。 2. 在拓扑图中添加USG6000V防火墙设备,并连接到其他网络设备。 3. 右键点击USG6000V防火墙设备,选择"配置",进入设备的配置界面。 4. 在配置界面的左侧导航栏中,选择"接口",然后选择"物理接口"。 5. 在物理接口列表中,找到需要配置PPPoE连接的接口,右键点击该接口,选择"配置"。 6. 在接口配置界面中,选择"连接类型"为"PPPoE"。 7. 输入PPPoE连接的相关参数,包括用户名、密码、服务名称等。 8. 点击"应用"或"确定"按钮,保存配置并使其生效。 9. 在拓扑图中连接其他网络设备到USG6000V防火墙的接口上。 10. 完成以上步骤后,可以进行其他相关配置,如安全策略、NAT等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值