H3C-两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(华三-主模式)

已于 2024-04-11 14:57:07 修改
阅读量1.6k 收藏 39
点赞数 46
文章标签: 服务器 网络 运维 网络安全 网络协议 华为
于 2024-04-11 14:56:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68265458/article/details/137638617
版权

1.配置需求

总部和分部各有一台防火墙部署在互联网出口,因业务需要两端内网需要通过VPN相互访问。

2.组网图

3.配置步骤

3.1两端防火墙固定IP地址上网配置参考

https://blog.csdn.net/m0_68265458/article/details/137507861?spm=1001.2014.3001.5501​​​​​​​

3.2创建IPsec感兴趣流(总部)

[FW1]acl advanced 3999        #匹配IPSEC数据
[FW1-acl-ipv4-adv-3999]rule 0 permit ip source 192.168.10.0 0.0.0.255 destinatio
n 192.168.20.0 0.0.0.255
[FW1]acl advanced 3888        #排除IPSEC兴趣流不做NAT
[FW1-acl-ipv4-adv-3888]rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 
192.168.20.0 0.0.0.255 
[FW1-acl-ipv4-adv-3888]rule 5 permit ip source any 

3.3创建IKE安全密钥(总部)

[FW1]ike keychain 1        #地址填写分部设备公网IP
[FW1-ike-keychain-1]pre-shared-key address 198.76.26.90 key simple 123456

3.4创建IKE安全提议(总部)

[FW1]ike proposal 1        #默认即可

3.5创建IKE安全框架(总部)

[FW1]ike profile 1        #调用本端,对端,提议,密钥
[FW1-ike-profile-1]keychain 1
[FW1-ike-profile-1]local-identity address 101.88.26.34
[FW1-ike-profile-1]match remote identity address 198.76.26.90
[FW1-ike-profile-1]proposal 1

3.6创建IPsec安全提议(总部)

[FW1]ipsec transform-set 1        
[FW1-ipsec-transform-set-1]esp authentication-algorithm sha1
[FW1-ipsec-transform-set-1]esp encryption-algorithm aes-cbc-128

3.7创建IPsec安全策略(总部)

[FW1]ipsec policy g1/0/3 1 isakmp         
[FW1-ipsec-policy-isakmp-g1/0/3-1]transform-set 1
[FW1-ipsec-policy-isakmp-g1/0/3-1]ike-profile 1
[FW1-ipsec-policy-isakmp-g1/0/3-1]security acl 3999
[FW1-ipsec-policy-isakmp-g1/0/3-1]local-address 101.88.26.34
[FW1-ipsec-policy-isakmp-g1/0/3-1]remote-address 198.76.26.90

3.8外网接口调用策略和NAT动态转换

[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]nat outbound 3888
[FW1-GigabitEthernet1/0/3]ipsec apply policy g1/0/3

3.9总部配置安全策略放通IPsec数据

[FW1]object-group ip address 192.168.10.0         #创建对象组
[FW1-obj-grp-ip-192.168.10.0]net subnet 192.168.10.0 24
[FW1]object-group ip address 192.168.20.0         #创建对象组
[FW1-obj-grp-ip-192.168.20.0]net subnet 192.168.20.0 24
[FW1]object-policy ip untrust-trust        #创建对象策略
[FW1-object-policy-ip-untrust-trust]rule 0 pass source-ip 192.168.20.0 destinati
on-ip 192.168.10.0 
[FW1]zone-pair security source untrust destination trust 
[FW1-zone-pair-security-Untrust-Trust]object-policy apply ip untrust-trust

3.10总部配置安全策略放通IPsec数据

[FW1]object-policy ip untrust-local         #创建对象策略
[FW1-object-policy-ip-untrust-local]rule 0 pass 
[FW1]zone-pair security source untrust destination local        
[FW1-zone-pair-security-Untrust-Local]ob
[FW1-zone-pair-security-Untrust-Local]object-policy apply ip untrust-local
[FW1]object-policy ip local-untrust
[FW1-object-policy-ip-local-untrust]rule 0 pass
[FW1]zone-pair security source local destination untrust 
[FW1-zone-pair-security-Local-Untrust]object-policy apply ip local-untrust

3.11分部配置

与总部侧配置基本相同,IPSEC感兴趣流需要取反配置。

我恨路由交换!
关注
  • 46
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ip 华三secondary_H3c-IPsec vpn(两端都是固定ip地址
weixin_29093017的博客
12-23 2156
ipsec vpn描述:本端公网地址:1.1.1.1 对端公网地址:2.2.2.2 本端私网地址:3.3.3.3 对端私网地址:4.4.4.4第一步:ike协商密钥ike keychain 1match local address g1/0/1(本地出接口地址)可以不写pre-shared-key address 2.2.2.2 255.255.255.255 key simple 密钥(需与对端...
H3C_IPSec主模式)及NAT转换综合配置案例
zsisle的博客
10-26 1459
案例将以IPSec主模式来演示出口路由如何配置IPSec来达到内网互通以及NAT转换来访问外网。
H3C_MSTP基础配置案例
04-21
H3C_MSTP基础配置案例,原创文档。 适用于H3CV7版本的网络设备,包括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
H3C 防火墙典型配置案例集整本手册【COMWARE V7平台】.rar
03-22
目录: H3C 防火墙G 虚拟防火墙典型配置案例(V7) H3C 防火墙IPsec典型配置案例(V7) H3C 防火墙NAT444典型配置案例(V7) H3C 防火墙NAT典型配置案例(V7) H3C 防火墙堆叠冗余口应用典型配置案例(V7) H3C 防火墙基于ACL包过滤策略的域间策略典型配置案例(V7) H3C 防火墙基于对象策略的域间策略典型配置案例(V7)
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
p70 内网安全-域横向内网漫游 Socks 代理隧道技术(NPS、FRP、CFS 三层内网漫游)
weixin_43263566的博客
05-03 3069
内网安全-域横向内网漫游 Socks 代理隧道技术(NPS、FRP、CFS 三层内网漫游)
H3C防火墙公网固定地址华为搭建IPSEC-SITEtoSITE配置案例
aalmost的博客
08-30 1275
配置需求及实现的效果 总部和分部各有一台防火墙部署在互联网出口,因业务需要两端内网需要通过VPN相互访问。IP地址及接口规划如下表所示: 组网图 H3C防火墙IPSEC VPN策略配置 #在“网络”>“VPN”>“策略”中点击新建。 #在“基本配置”中“接口”选择接入外网的1/0/3接口,“优先级”设置为1(优先级代表了策略匹配顺序,当存在多条VPN隧道时需要对各VPN隧道优先级进行设置),“认证方式”选择域共享密钥,建立VPN两端隧道的域共享密钥必须一致。对端ID设置对IP地址即分公司公
华三IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-09 1804
本篇文章是关于新华三IPsec VPN的实验配置,里面的场景是一段的IP地址是动态接入的情况下,里面的配置和两端地址固定配置有一些些不同,然后解释的也很详细,易懂
华三H3C-VXLAN配置-扫盲必看
04-03
H3C-VXLAN,H3设备的基础配置,详细介绍了 华三VXLAN的概念,配置指导,配置案例,以及使用场景,适合数据中心SDN虚拟化以及小型局域网整网设计应用的技术,其中里面有一部分扫盲配置,并带有相关基础配置,包括...
【强强对接】H3CH3C防火墙华为防火墙对接案例汇总集.rar
09-15
【强强对接】H3CH3C网关以模板方式与NGFW建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C网关在NAT穿越场景下建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C网关建立GRE overIPSec隧道 【强强对接】H3C篇 NGFW以策略...
运维知识进阶篇】手把手教你搭建OpenVPN(保姆级教程)
热门推荐
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-16 8万+
VPN就是虚拟专用通道,是提供给企业之间或者公司个人与公司之间安全数据传输的隧道,OpenVPN是Linux下开源VPN的先锋,提供了良好的性能和友好的用户GUI(图形用户界面)。本篇文章包含OpenVPN应用场景,OpenVPN服务端搭建,OpenVPN客户端搭建(windows+linux),OpenVPN密码认证,手把手教大家搭建OpenVPN
H3C防火墙IPsec综合实验
qq_45049184的博客
03-08 6315
我们知道IPsec需要配置感兴趣来抓取本端私网到达对端私网的量,NAT转换抓取的同样也是本端私网量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的量被NAT抓取且当做正常量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec感兴趣,成功匹配则将其丢弃,这样即使访问对端私网的量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
服务器端口查询:一项至关重要的网络管理任务
day3ZY的博客
05-28 540
需要注意的是,在进行服务器端口查询时,管理员应确保遵循相关的安全和隐私标准。因此,管理员应确保只使用授权的工具和方法进行查询,并遵循最佳实践来确保数据的安全性和完整性。通过准确而有效地查询服务器端口的状态和配置,管理员可以优化网络性能、确保网络安全并保护数据的完整性。因此,对于任何负责网络管理的专业人员来说,掌握服务器端口查询的技能和工具是至关重要的。在网络管理和系统维护中,服务器端口查询是一项至关重要的任务。因此,准确而有效地查询服务器端口的状态和配置对于确保网络的安全性和稳定性至关重要。
服务器上创建搭建gitlab
han_cui的博客
05-28 786
gitlab重置用户密码:https://blog.csdn.net/weixin_33937913/article/details/91769988。卸载GitLab并重装:https://blog.csdn.net/jia12216/article/details/84853136。此处设置root用户的密码,设置新密码,如果之前安装过其他版本,这里可能直接是登陆,可以用命令重置gitlab密码。可以在开源软件镜像站选择合适的版本,版本不同页面菜单会稍有差异,此次选择的是14.0.1,
网络编程——多进程的服务器
qq_41885018的博客
05-28 576
多进程的网络服务器是一种使用多个进程来处理并发网络请求的服务器架构。在这种架构中,服务器在接收到客户端连接请求后,会创建一个新的子进程来处理该请求,从而允许服务器同时处理多个客户端连接。多进程服务器通常用于需要高并发处理能力的场景,例如Web服务器、文件服务器等。
服务器硬件基础知识
最新发布
龚帅立的博客
05-30 560
这些组件共同构成了服务器硬件的基础,为服务器提供了强大的计算、存储和网络通信能力。
OpenWrt部署配置openVPN服务器
衡水铁头哥的博客
05-27 1363
正文共:888 字 16 图,预估阅读时间:1 分钟我们之前在云主机上部署openVPN的时候(巧用openVPN实现访问云资源池业务),云主机是单网卡的。现在我们又有了一台单网卡的OpenWrt(OpenWrt配置单臂路由模式),而且是Linux内核的,能不能在OpenWrt部署一下openVPN呢?然后我去官网搜了一下,果然有相关的软件包。和在Linux系统中部署openVPN一样,也是分为O...
华三防火墙web端口_H3C SecPath F100-C-AI防火墙 Web配置指导-5PW100
06-11
华三防火墙的Web端口默认是443,可以通过Web界面进行配置。以下是H3C SecPath F100-C-AI防火墙Web配置指导: 1. 打开Web浏览器,在地址栏输入防火墙的管理IP地址,例如https://192.168.1.1。 2. 输入用户名和密码登录防火墙的Web界面。 3. 点击“系统管理”菜单,选择“端口配置”子菜单。 4. 在“端口配置”页面中,可以看到Web端口的默认端口号为443。如果需要修改Web端口号,可以直接在端口号框中输入新的端口号,并点击“应用”按钮保存更改。 5. 修改Web端口号后,需要重新登录防火墙的Web界面,使用新的端口号进行访问。 注意:修改Web端口号可能会影响防火墙的远程管理和VPN等功能,请谨慎操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值