华为eNSP防火墙 配置使用IPSec隧道

已于 2024-08-22 14:14:45 修改
阅读量979 收藏 9
点赞数 25
分类专栏: 华为eNSP防火墙实验 文章标签: 网络
于 2024-06-16 21:52:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75102488/article/details/139726737
版权

前置配置

1)防火墙基本转发配置(①添加安全区域,②安全转发策略,③配置默认路由,④基本的NAT策略)
①添加安全区域
②防火墙的安全转发策略(需要放通trust、untrust区域相互访问,local、untrust区域相互访问)
FW1:
security-policy
 rule name site1_site2_network
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  action permit
 rule name loacl_site2
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
FW2:
security-policy
 rule name site2_site1_network
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  action permit
 rule name loacl_site1
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
③配置默认路由
FW1:
ip route-static 0.0.0.0 0.0.0.0 192.168.10.254
FW2:
ip route-static 0.0.0.0 0.0.0.0 192.168.20.254
④基本的NAT策略
FW1:
nat-policy
 rule name nopat #用于IPSec隧道建立后的报文转发
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 192.168.100.0 mask 255.255.255.0
  destination-address 192.168.200.0 mask 255.255.255.0
  action no-nat
 rule name nat
  source-zone trust #用于访问ISP
  egress-interface GigabitEthernet1/0/1
  action source-nat easy-ip
FW2:
nat-policy
 rule name nopat
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 192.168.200.0 mask 255.255.255.0
  destination-address 192.168.100.0 mask 255.255.255.0
  action no-nat
 rule name nat
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  action source-nat easy-ip
2)允许ping访问防火墙的外网接口
[USG6000V1]int 接口
[USG6000V1]service-manage ping permit
3)连通检查:
FW1防火墙的外网接口能够ping通FW2防火墙的外网接口

FW1配置:

配置FW1防火墙acl列表
acl 3000
rule 5 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

配置FW1防火墙ike安全提议(使用默认即可)
ike proposal 1 #提议的编号为1

配置FW1防火墙的对等体
ike peer site2 #对等体名称为site2
pre-shared-key cipher huawei #配置密钥,需要双端相同
ike-proposal 1 #调用ike安全提议
remote-add 192.168.20.1 #对端IP地址

配置FW1防火墙的ipsec安全提议,安全提议类型需要双端相同
ipsec proposal 1 #提议的编号为1
encapsulation-mode tunnel #配置报文的IPsec封装模式为隧道模式
esp authentication-algorithm sha2-256 #配置ESP协议使用的认证算法
esp encryption-algorithm aes-256 #配置ESP协议使用的加密算法
transform esp #传输协议设置为esp

配置FW1防火墙的ipsec安全策略
ipsec policy site1 1 isakmp #安全策略名称为site1
security acl 3000 #调用acl列表
ike-peer site2 #调用对等体
proposal 1 #调用ipsec安全提议

将安全策略应用到出接口
int g1/0/1
ipsec policy site1 #调用安全策略site1

FW2配置:

配置FW2防火墙acl列表
acl 3000
rule 5 permit ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

配置FW2防火墙ike安全提议
ike proposal 1

配置FW2防火墙的对等体
ike peer site1
pre-shared-key cipher huawei
ike-proposal 1
remote-id-type ip
remote-add 192.168.10.1

配置FW2防火墙的ipsec安全提议
ipsec proposal 1
encapsulation-mode tunnel
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
transform esp

配置FW2防火墙的ipsec安全策略
ipsec policy site2 1 isakmp
security acl 3000
ike-peer site1
proposal 1

将安全策略应用到出接口
int g1/0/1
ipsec policy site2

使用命令查看IKE安全联盟、IPSec安全联盟建立情况
[USG6000V1]dis ike sa
[USG6000V1]dis ipsec sa

就是ping不通的蛋黄派
关注
专栏目录
华为防火墙SSL VPN隧道连接实验配置
加油!
05-20 6304
用于远程访问VPN,工作在应用层与传输层之间SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。SSL与IPSec、L2TP的区别:1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。2.IPSec、L2TP配置繁琐3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
使用IPSEC VPN实现隧道通信实验
qq_68163788的博客
08-01 1220
IPsec(Internet Protocol Security)是一种用于保护IP通信的协议套件。它提供了对IP数据包进行加密、身份验证和完整性保护的功能,以确保通信的安全性。 IPsec通过在IP协议栈中添加安全性层来工作。它可以在网络层(IP层)或传输层(TCP/UDP层)提供安全性。IPsec可以用于保护网络连接、远程访问和虚拟专用网络(VPN)等场景。 IPsec(Internet Protocol Security)是一种用于保护IP通信的协议套件。它提供了对IP数据包进行加密、身份验证等等
华为防火墙:GRE over IPSec
u010612642的博客
07-29 3007
华为防火墙:GRE over IPSec-(ipsec安全策略方式)-(点到点)-(静态路由)
华为防火墙总部与分支机构建立IPsec VPN涉及NAT穿越
最新发布
weixin_45457085的博客
07-18 1234
隧道建立方式:分为手动建立和IKE自动协商,手动建立需要人为配置指定所有IPsec建立的所有参数信息,不支持为动态地址的发起方,实际网络中很少应用;IKE协议是基于密钥管理协议ISAKMP框架设计而来,建立IKE SA 对等体后,双方通过IKE SA交互数据加密的秘钥信息,并协商建立IPsec SA,数据在IPsec SA上进行加密传输。传输模式和隧道模式:两种方式表现为对报文的封装方式差异。
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为eNSP IPsec VPN配置指南
外游者
04-10 6561
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP配置IPsec VPN的步骤,并解析每一条关键命令的含义。
华为eNSP配置专题-IPSec配置
日拱一卒的博客
10-26 1993
华为eNSP配置专题-IPSec配置
华为防火墙IPSec详解与配置实验
m0_68208233的博客
11-04 9835
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有限低于网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。
华为防火墙ipsec vp*实例配置
热门推荐
weixin_45457085的博客
03-22 1万+
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。 2、IPSEC配置 a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。 b、ike proposal(ike提案),如果是通过IKE自动协商..
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4006
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
weixin_44611826的博客
04-21 727
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
ENSP防火墙IP级综合性简单实验配置
qq_53108686的博客
10-02 1788
ENSP防火墙IP级综合性简单实验配置
华为防火墙ipsec vpn实例配置
u012926781的博客
05-23 561
c、ike peer ,绑定ike proposal,指定ike交互模式与对端用于接收IPSEC报文地址,指定共享秘钥,还可以设定dpd消息(类似Keepalive报文)。3、当NAT和IPSEC同时配置在一台设备上,会先执行NAT再执行IPSEC,所以需要在NAT的ACL中deny掉IPSEC的感兴趣数据流。e、创建ipsec policy,绑定ipsec proposal、Ike peer、ACL感兴趣流、配置本地站点地址。1、双方站点使用的加密协议与算法要保持一致,否则协商不通过。
华为防火墙IPSEC简单搭建
baidu_41701694的博客
09-05 3802
消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP。
华为防火墙ipsec vpn nat穿越2种场景配置案例_nat映射ipsec
2401_84254133的博客
04-11 1278
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
防火墙配置IPSec VPN【IPSecVPN概念及详细讲解】
h1008685的博客
04-08 2354
ipsecvpn技术详细讲解,防火墙配置ipsec,NAT连用IPSecVPN问题解决思路
华为Ensp ipsec
分享的都是纯自学心得
04-14 462
R1-ike-proposal-1] encryption-algorithm aes-cbc-128 #配置IKE加密算法为aes-cbc-128。[R1-ipsec-policy-isakmp-policy1-1] proposal tranl #引用定义的IPsec安全提议1。[R1-ipsec-policy-isakmp-policy1-1] ike-peer rta #引用定义的IKE对等体。[R1-ike-peer-rta] local-id-type name #配置本端id类型为名称。
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
baimao__Ch的博客
04-19 1362
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png) 上网需求 服务器发布需求 VPN需求 攻击模拟 实验步骤 1、防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc
华为ensp防火墙配置NAT
05-27
以下是华为ENSP防火墙配置NAT的步骤: 1. 进入ensp防火墙模拟器,选择“配置”选项卡,进入“NAT”配置页面。 2. 点击“添加”按钮,进入“添加NAT条目”页面。 3. 在“添加NAT条目”页面中,选择“内部接口”和“外部接口”,并设置“内部地址”和“外部地址”。 4. 在“映射类型”中选择“静态NAT”或“动态NAT”,并设置相应的参数。 5. 点击“确定”按钮保存设置。 以上是简单的华为ENSP防火墙配置NAT的步骤,具体配置过程需要根据实际情况进行设置。如果您有任何疑问,可以参考华为ENSP防火墙配置手册或者咨询华为技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值