企业VPN部署项目(学习案例)

最新推荐文章于 2024-05-26 12:43:54 发布
最新推荐文章于 2024-05-26 12:43:54 发布
阅读量1.4k 收藏 25
点赞数 30
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72488185/article/details/135422001
版权

拓扑图:

总部A、分公司B和分公司C的内部用户都能访问互联网

  1. 防火墙基本配置:主机名,接口IP,把接口加入相应的安全区域
  2. 防火墙配置安全策略,允许内部网段访问互联网(trust – untrust)
  3. 防火墙配置NAT策略,使用easy IP,允许内部网段访问互联网 (trust – untrust)
  4. 配置缺省路由
  5. 客户端配置IP地址和DNS,设置好eNSP的桥接
  6. 验证上网

  • 总部防火墙配置:

 sys TXA-FW1    #####配置主机名
  int g1/0/0   ####进入到接口模式下
  ip add 192.168.84.168 24   ####配置接口IP地址
  description WAN    ####描述
 
  int g1/0/1
  ip add 192.168.17.168 24
  description  LAN

配置安全区域划分

firewall zone untrust   
 add interface GigabitEthernet1/0/0

firewall zone trust
 add interface GigabitEthernet1/0/1


配置安全策略

security-policy   
 rule name data-ISP
  source-zone trust
  destination-zone untrust
  action permit
配置NAT策略

nat-policy
 rule name VPN          ######配置IPSEC VPN的流量不做NAT转换,为了后续的IPSEC VPN。
  source-zone trust
  destination-zone untrust
  source-address 192.168.17.0 mask 255.255.255.0
  destination-address 172.16.1.0 mask 255.255.255.0
  destination-address 172.16.2.0 mask 255.255.255.0
  action no-nat

 rule name data-nat         #####配置easy-IP
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
配置缺省路由
ip route-static 0.0.0.0 0.0.0.0 192.168.84.2

  • 分部B防火墙配置:

  sys TXB-FW2

 int g1/0/0
  ip add 192.168.84.169 24
  description  WAN
 
 int g1/0/1
  ip address 172.16.1.169 24
  description  LAN

firewall zone untrust
 add interface GigabitEthernet1/0/0

firewall zone trust
 add interface GigabitEthernet1/0/1


security-policy
 rule name data-ISP
  source-zone trust
  destination-zone untrust
  action permit


nat-policy
 rule name VPN
  source-zone trust
  destination-zone untrust
  source-address 172.16.1.0 mask 255.255.255.0
  destination-address 172.16.2.0 mask 255.255.255.0
  destination-address 192.168.17.0 mask 255.255.255.0
  action no-nat

 rule name data-nat
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip


ip route-static 0.0.0.0 0 192.168.84.2

分部C防火墙配置:

  sys TXC-FW3

interface GigabitEthernet1/0/0
 description WAN
 ip address 192.168.84.170 255.255.255.0

interface GigabitEthernet1/0/1
 description LAN
 ip address 172.16.2.170 255.255.255.0

firewall zone untrust
 add interface GigabitEthernet1/0/0


firewall zone trust
 add interface GigabitEthernet1/0/1

security-policy
 rule name data-ISP
  source-zone trust
  destination-zone untrust
  action permit

nat-policy
 rule name VPN
  source-zone trust
  destination-zone untrust
  source-address 172.16.2.0 mask 255.255.255.0
  destination-address 172.16.1.0 mask 255.255.255.0
  destination-address 192.168.17.0 mask 255.255.255.0
  action no-nat

 rule name data-nat
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip

#############################################################################

验证

总部  NAT上网:

分部B  NAT上网:

分部C  NAT上网:

分公司B和分公司C都能访问总公司A的网络,同时两个分公司能够互访

  • 防火墙配置安全策略:四条策略,1. 总公司—2个分公司(trust --- untrust) 2.2个分公司---总公司(untrust – trust),3. 总公司的外网接口接口---2个分公司的外网接口(local – untrust)4. 2个分公司的外网接口---总公司的外网接口接口(untrust – local)
  • 防火墙NAT策略:总公司和分公司之间的流量不做NAT,这条策略要放在最前面。
  • 防火墙配置点到多点IPSec VPN:注意两边的相关参数要一致
  • 防火墙配置总公司和分公司之间的静态路由

总部防火墙配置:

##向服务组添加IKE、IPSEC协商使用的isakmp报文
ip service-set ike type object 16
 service 0 protocol udp source-port 500 destination-port 500

##IKE、IPSEC协商策略
security-policy
 rule name data-ISP
  source-zone trust
  destination-zone untrust
  action permit
 rule name ike-ipsec
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service ah
  service esp
  service ike
  action permit

#####VPN之间流量
 rule name ipsec-vpn
  source-zone untrust
  destination-zone trust
  source-address 172.16.1.0 mask 255.255.255.0
  source-address 172.16.2.0 mask 255.255.255.0
  destination-address 192.168.17.0 mask 255.255.255.0
  action permit


#####配置IPSEC感兴趣流
acl number 3000
 rule 5 permit ip source 192.168.17.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
 rule 10 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

注:rule10 分支C到分支B去总部与分支B的隧道

acl number 3001
 rule 5 permit ip source 192.168.17.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
 rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

注:rule10 分支B到分支C去总部与分支C的隧道


#########配置IKE安全提议
注:分支共用一个

ike proposal 1
 encryption-algorithm aes-256
 dh group5
 authentication-algorithm sha2-256
 authentication-method pre-share


#####配置IKE对等体
分支B:
  ike peer 1
    version  1
  exchange-mode main
 pre-shared-key admin@123
 ike-proposal 1
 remote-address 192.168.84.169


分支C:
 ike peer 2
  pre-shared-key admin@123
  remote-address 192.168.84.170
  version  1
  exchange-mode main 
  ike-proposal 1

##########配置IPSEC安全提议
注:分部公用

 ipsec proposal 1
  transform esp
  encapsulation-mode tunnel 
  esp authentication-algorithm sha2-256
  esp encryption-algorithm aes-256

############配置IPSEC安全策略
分部B:
  ipsec policy vpn 100 isakmp 
  security acl 3000
  ike-peer  1
  proposal  1
  
分部C:
  ipsec policy vpn 110 isakmp 
  security acl 3001
  ike-peer  2
  proposal 1

 

分部B 配置:

ip service-set ike type object 16
 service 0 protocol udp source-port 500 destination-port 500


  security-policy
  rule name ike-ipsec
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service ah
  service esp
  service ike
  action permit
 
  rule name ipsec-vpn
  source-zone untrust
  destination-zone trust
  source-address 192.168.17.0 mask 255.255.255.0
  source-address 172.16.2.0 mask 255.255.255.0
  destination-address 172.16.1.0 mask 255.255.255.0
  action permit
  
  

 acl number 3000
 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.17.0 0.0.0.255
 rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
 
  ike proposal 1
 encryption-algorithm aes-256
 dh group5
 authentication-algorithm sha2-256
 authentication-method pre-share
 
 ipsec proposal 1
  transform esp
  encapsulation-mode tunnel 
  esp authentication-algorithm sha2-256
  esp encryption-algorithm aes-256
  
  
   ike peer 1
    version  1
  exchange-mode main
 pre-shared-key admin@123
 ike-proposal 1
  remote-address 192.168.84.168
  
    ipsec policy vpn 100 isakmp 
  security acl 3000
  ike-peer  1
  proposal  1

分部C配置:

ip service-set ike type object 16
 service 0 protocol udp source-port 500 destination-port 500

 security-policy
  rule name ike-ipsec
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service ah
  service esp
  service ike
  action permit
  
  rule name ipsec-vpn
  source-zone untrust
  destination-zone trust
  source-address 192.168.17.0 mask 255.255.255.0
  source-address 172.16.1.0 mask 255.255.255.0
  destination-address 172.16.2.0 mask 255.255.255.0
  action permit
  
  

 acl number 3000
 rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 192.168.17.0 0.0.0.255
 rule 10 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
 
 ike proposal 1
 encryption-algorithm aes-256
 dh group5
 authentication-algorithm sha2-256
 authentication-method pre-share
 
 ipsec proposal 1
  transform esp
  encapsulation-mode tunnel 
  esp authentication-algorithm sha2-256
  esp encryption-algorithm aes-256
  
  
   ike peer 1
    version  1
  exchange-mode main
 pre-shared-key admin@123
 ike-proposal 1
  remote-address 192.168.84.168
  
    ipsec policy vpn 100 isakmp 
  security acl 3000
  ike-peer  1
  proposal  1

###########################################################

这里先不验证,完成 L2tp over IPsec 一起验证

出差在外的用户可以通过SecoClient VPN访问公司总部的网络,使用域账号登录VPN

  • 安装域控,创建用户
  • 客户端安装Secoclient
  • 防火墙配置L2tp over IPsec
  • 测试登录

总部防火墙配置:

  dhcp enable 

###开启L2TP服务
  l2tp enable
 
###配置地址池
  ip pool l2tp
   section 0 192.168.100.100 192.168.100.150

###创建业务方案绑定地址
  aaa
   service-scheme l2tp
    ip-pool  l2tp
  
###创建认证域
   domain l2tp
    service-scheme l2tp //关联业务方案
    service-type internetaccess l2tp  //接入类型:L2TP
    internet-access mode password   //认证模式
    reference user current-domain 
  
 ###创建用户:VPN 并调用认证域 
  user-manage user vpn domain l2tp 
   parent-group /l2tp  属于组/l2tp
   bind mode unidirectional 
   multi-ip  online enable 
   password vpn@123  //密码
  
interface Virtual-Template1
 ppp authentication-mode chap
 remote service-scheme l2tp
 ip address 192.168.100.254 255.255.255.0
 
l2tp-group 1
 tunnel authentication
 tunnel password cipher admin@123
 allow l2tp virtual-template 1 remote vpn
  
  

firewall zone dmz
 add interface Virtual-Template1
 
security-policy
 rule name L2TP-data   //隧道访问内网策略
  source-zone dmz
  destination-zone trust
  source-address 192.168.100.0 mask 255.255.255.0
  destination-address 192.168.17.0 mask 255.255.255.0
  action permit
  
 rule name l2tp   //l2tp协商策略
  source-zone untrust
  destination-zone local
  action permit

acl number 3002
 rule 5 permit udp source-port eq 1701
  

 ipsec  proposal 2
  encapsulation-mode transport 
  esp authentication-algorithm sha2-256
  esp encryption-algorithm aes-256
  
 ike proposal 2
  encryption-algorithm aes-256
  dh group5
  authentication-algorithm sha2-256
  authentication-method pre-share 
  
ike peer 3
  exchange-mode auto
  pre-shared-key Huawei@123
  ike-proposal 2
  
ipsec policy-template l2tp 90
 security acl 3002
 ike-peer 3
 proposal 2
总###部接口应用IPSEC

ipsec policy vpn 120 isakmp template l2tp 

interface GigabitEthernet1/0/0
 ipsec policy vpn

配置路由
ip route-static 172.16.1.0 255.255.255.0 192.168.84.169
ip route-static 172.16.2.0 255.255.255.0 192.168.84.170


####分部B 接口应用IPSEC
interface GigabitEthernet1/0/0
 ipsec policy vpn

配置路由
ip route-static 172.16.2.0 255.255.255.0 192.168.84.170
ip route-static 192.168.17.0 255.255.255.0 192.168.84.168

####分部C 接口应用IPSEC
interface GigabitEthernet1/0/0
 ipsec policy vpn

配置路由
ip route-static 172.16.1.0 255.255.255.0 192.168.84.169
ip route-static 192.168.17.0 255.255.255.0 192.168.84.168

验证

验证出差人员 L2TP over IPSEC 

user:vpn    password:admin@123   

Huawei@123

 

按照自己的设置选择

成功了

验证公司之间的 IPSEC VPN 

总部分部 之间通信:

分部之间通信:

实验到此结束

查看命令:

display  l2tp tunnel 
dis ike sa 

display ipsec sa brief 

躲起来偷懒
关注
  • 30
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
GREVPN讲解实例
weixin_44675999的博客
09-21 1136
GREvpn 基于IP地址 ip用协议号47标识GRE头 GRE是一种封装方法,在任意一种网络协议上传输任意一种其它网络协议的封装方法 优点: 最普遍的ip网络作为承载网络 支持多种协议 支持组播和动态路由协议 配置简单 部署容易 缺点 点到点隧道 静态配置隧道参数 部署复杂连接关系时代价巨大 缺乏安全性—不提供加密 不能分隔地址空间 |------------------ tunnel--------------|- Ip私网1----E0/0 MSRA s0/0-----
南方电网SSL VPN系统案例
03-04
南方电网 SSL VPN 系统案例 在这篇案例中,我们将探讨中国南方电网有限责任公司如何采用 SSL VPN 技术来解决移动办公和远程接入的问题。南方电网是国内结构最复杂、联系最紧密、科技含量最高的电网,也是西电东送...
企业如何搭建一套自己的VPN,实现远程访问、办公?
PLANET_08的博客
01-15 3047
在家办公远程访问公司服务
轻松构建一套企业VPN 解决方案
RAB
04-04 1240
轻松构建一套企业VPN 解决方案。
2、OpenVPN搭建
weixin_46371752的博客
05-26 3540
搭建OpenVPN,centos7搭建VPN,centos7部署OpenVPN,linux如何搭建VPN服务,cetnos7如何部署OpenVPN,centos7如何部署VPN服务
用户远程访问公司内网---防火墙配置SSL VPN,操作及原理讲解
h1008685的博客
04-13 2595
用户远程访问公司内网---防火墙配置SSL VPN,技术详解及实例,防火墙配置步骤及原理讲解。
VPN技术配置实例(gns3模拟环境)
szw737389785的博客
03-05 1383
VPN技术配置实例(gns3模拟环境)
VPN部署场景——点到点VPN—与其他设备互联实例
君逍遥o
09-21 1524
通过在NGFW与H3C路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
企业网络安全架构设计之IPSec VPN应用配置举例
while_if的博客
06-16 4866
现网场景中分支机构需要访问总部内网资源进行办公与协作,如果将内网资源映射至公网上存在安全风险,增加网络受威胁面。 为解决如上场景问题,需要在公网采用VPN技术,构建隧道对数据进行加密从而保证数据访问的安全性。 本文章主要侧重于架构设计与实现,具体技术原理可参考理论部分。
企业SSL_VPN深信服项目解决方案.doc
11-19
企业SSL_VPN深信服项目解决方案.doc
PacketiX VPN 3.0入门教程的学习文档
03-15
PacketiX VPN 3.0入门教程的学习文档
VPN系统使用说明pdf
最新发布
06-16
我校目前使用的VPN系统已经和我校的门户系统实现了用户集成工作, 校内门户系统的用户均可以使用门户系统的用户名和密码来使用VPN 系统。如在门户系统中对密码进行了修改,则登录VPN系统的时候也 需使用新的密码登录...
mpls vpn综合实例配置案例
IT技术
06-07 3551
mpls vpn综合实例配置案例
公司级VPN建设以及配置(Openvpn
callmeconquer的博客
03-13 1676
解决安装公司VPN的问题
华为mpls vpn多种简单应用案例
IT技术
06-30 2412
华为mpls vpn多种简单应用案例
VPN部署场景——高校图书馆SSL VPN配置案例
君逍遥o
09-25 1356
现需求通过组建sslvpn web代理模式和隧道模式以实现: 1.web代理模式:能访问http://lib.xxxx.edu.cn(位于校园网内)该网址,并通过该网址跳转到校外的中国知网等互联网及校园网地址(目标地址不固定,为all) 2.在web代理的模式下,实现用学校防火墙出口ip访问目标网站资源,可实现互联网受限文档的查阅下载。 3.隧道模式:访问校园网内部固定IP地址段的服务器server-2,同时隧道模式下启用隧道分割,客户端获取明细路由,访问非
华为路由器旁挂组网用vpn-instance实例上网配置案例
IT技术
11-26 3246
华为路由器旁挂组网用vpn-instance实例上网配置案例
MPLS VPN技术简介与基本配置案例
LiMITV的博客
12-13 5593
MPLS VPN技术的简介以及一个简单的配置案例,仅作学习分享,欢迎大家一起学习交流
如何在uniapp中引入openvpn
05-24
在uniapp中引入openvpn需要进行以下步骤: 1. 安装openvpn客户端库 首先需要从openvpn官网下载openvpn客户端库,并安装到你的设备上。 2. 在uniapp项目中安装插件 在uniapp项目中安装插件`uni-plugin-openvpn`,可以通过npm或yarn进行安装,具体安装方法可以参考官方文档。 3. 配置openvpn 在`manifest.json`文件中配置openvpn插件,例如: ``` "openvpn": { "package": "com.openvpn.client", "versionCode": 110, "versionName": "1.1.0", "permissions": [ "android.permission.INTERNET", "android.permission.ACCESS_NETWORK_STATE", "android.permission.WRITE_EXTERNAL_STORAGE", "android.permission.READ_EXTERNAL_STORAGE" ], "configs": [ { "name": "My VPN", "path": "/sdcard/openvpn/myvpn.ovpn", "username": "myusername", "password": "mypassword" } ] } ``` 其中,`package`为openvpn客户端的包名,`versionCode`和`versionName`为版本信息,`permissions`为需要的权限,`configs`为配置信息,包括VPN名称、配置文件路径、用户名和密码等。 4. 使用openvpn 在需要使用openvpn的页面中,使用`uni.openvpn`进行连接,例如: ``` uni.openvpn.connect({ name: 'My VPN', success: function () { console.log('Connected'); }, fail: function (error) { console.log('Error: ' + error); } }); ``` 其中,`name`为配置文件中的VPN名称,`success`和`fail`为连接成功和连接失败的回调函数。 需要注意的是,openvpn插件目前只支持Android平台,iOS平台的支持正在开发中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值