华为eNSP防火墙 配置使用GRE over IPSec隧道

已于 2024-12-08 14:54:50 修改
阅读量2.4k 收藏 34
点赞数 26
分类专栏: 华为eNSP防火墙实验 文章标签: 网络
于 2024-08-31 17:33:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75102488/article/details/141755661
版权

前置配置

1)防火墙基本转发配置(①添加安全区域,②安全转发策略,③配置默认路由,④基本的NAT策略)

①添加安全区域

firewall zone trust

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/1

②防火墙的安全转发策略

FW1:

security-policy

rule name gre_over_ipsec

source-zone local trust untrust

destination-zone local local trust untrust

action permit

FW2:

security-policy

rule name gre_over_ipsec

source-zone local trust untrust

destination-zone local local trust untrust

action permit

③配置默认路由

FW1:

ip route-static 0.0.0.0 0.0.0.0 192.168.10.254

FW2:

ip route-static 0.0.0.0 0.0.0.0 192.168.20.254

④基本的NAT策略

如果防火墙内部网络设备不需要访问互联网(ISP),则无需配置

2)允许ping访问防火墙的外网接口

[USG6000V1]int 接口

[USG6000V1]service-manage ping permit

3)连通检查:

FW1防火墙的外网接口能够ping通FW2防火墙的外网接口

防火墙配置内层GRE隧道:

FW1:

配置Tunnel接口

[FW1]interface Tunnel 0

[FW1-Tunnel0]tunnel-protocol gre

[FW1-Tunnel0]ip address 192.168.1.1 24

[FW1-Tunnel0]source 192.168.10.1

[FW1-Tunnel0]destination 192.168.20.1

将创建的Tunnel接口添加到untrust区域

[FW1]firewall zone untrust

[FW1-zone-untrust]add interface Tunnel 0

配置GRE VPN访问对端网络的静态路由

[FW1]ip route-static 192.168.200.0 24 Tunnel 0

FW2:

配置Tunnel接口

[FW2]interface Tunnel 0

[FW2-Tunnel0]tunnel-protocol gre

[FW2-Tunnel0]ip address 192.168.1.2 24

[FW2-Tunnel0]source 192.168.20.1

[FW2-Tunnel0]destination 192.168.10.1

将创建的Tunnel接口添加到untrust区域

[FW2]firewall zone untrust

[FW2-zone-untrust]add interface Tunnel 0

配置GRE VPN访问对端网络的静态路由

[FW2]ip route-static 192.168.100.0 24 Tunnel 0

连通检查:

使用命令查看GRE VPN隧道建立情况

display interface Tunnel 0

使用命令查看GRE VPN会话建立情况

display firewall session table

PC1能够ping通PC2,此时数据包以明文的形式传输

GRE隧道配置成功

防火墙配置外层IPSec隧道:

FW1:

配置FW1防火墙acl列表匹配GRE隧道流量

[FW1]acl 3000

[FW1-acl-adv-3000]rule 5 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

配置FW1防火墙ike安全提议

[FW1]ike proposal 1

配置FW1防火墙的对等体

[FW1]ike peer site2

[FW1-ike-peer-site2]pre-shared-key cipher huawei

[FW1-ike-peer-site2]ike-proposal 1

[FW1-ike-peer-site2]remote-add 192.168.1.2 #使用对端的隧道IP地址

配置FW1防火墙的ipsec安全提议

[FW1]ipsec proposal 1

[FW1-ipsec-proposal-1]encapsulation-mode tunnel

[FW1-ipsec-proposal-1]esp authentication-algorithm sha2-256

[FW1-ipsec-proposal-1]esp encryption-algorithm aes-256

[FW1-ipsec-proposal-1]transform esp

配置FW1防火墙的ipsec安全策略

[FW1]ipsec policy site1 1 isakmp

[FW1-ipsec-policy-isakmp-site1-1]security acl 3000

[FW1-ipsec-policy-isakmp-site1-1]ike-peer site2

[FW1-ipsec-policy-isakmp-site1-1]proposal 1

将安全策略应用到Tunnel接口

[FW1]interface Tunnel 0

[FW1-Tunnel0]ipsec policy site1

FW2:

配置FW2防火墙acl列表匹配GRE隧道流量

[FW2]acl 3000

[FW2-acl-adv-3000]rule 5 permit ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

配置FW2防火墙ike安全提议

[FW2]ike proposal 1

配置FW2防火墙的对等体

[FW2]ike peer site1

[FW2-ike-peer-site1]pre-shared-key cipher huawei

[FW2-ike-peer-site1]ike-proposal 1

[FW2-ike-peer-site1]remote-id-type ip

[FW2-ike-peer-site1]remote-add 192.168.1.1 #使用对端的隧道IP地址

配置FW2防火墙的ipsec安全提议

[FW2]ipsec proposal 1

[FW2-ipsec-proposal-1]encapsulation-mode tunnel

[FW2-ipsec-proposal-1]esp authentication-algorithm sha2-256

[FW2-ipsec-proposal-1]esp encryption-algorithm aes-256

[FW2-ipsec-proposal-1]transform esp

配置FW2防火墙的ipsec安全策略

[FW2]ipsec policy site2 1 isakmp

[FW2-ipsec-policy-isakmp-site2-1]security acl 3000

[FW2-ipsec-policy-isakmp-site2-1]ike-peer site1

[FW2-ipsec-policy-isakmp-site2-1]proposal 1

将安全策略应用到Tunnel接口

[FW2]interface Tunnel 0

[FW2-Tunnel0]ipsec policy site2

连通检查:

使用命令查看IKE安全联盟

dis ike sa

IPSec安全联盟建立情况

dis ipsec sa

PC1能够ping通PC2,此时数据包以加密的形式传输

GRE over IPSec隧道配置成功

eNSP综合实例:防火墙GRE over IPSec配置实例(2)
weixin_44611826的博客
04-21 963
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3019
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密和认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
防火墙Gre over IPSec的原理和配置
最新发布
2403_83112422的博客
03-09 1171
实现PC1与PC2之间通过Gre over IPsec互访并且PC1能够通过NAT访问R3的loopback8接口
华为防火墙GRE over IPSec
u010612642的博客
07-29 3503
华为防火墙GRE over IPSec-(ipsec安全策略方式)-(点到点)-(静态路由)
华为eNSP模拟器防火墙GRE OVER IPSEC VPN
IThqx的博客
06-25 648
admin/Admin@1234(注意原始密码是Admin@123,因为第一次用命名配置的话会强制改密码!源地址:to-1:118.122.120.90 目的地址ip:to-2:118.122.120.80。gre-to-ipsec源地址:118.122.120.80。to-2目的地址:118.122.120.90。注意:ip地址可以自己规划!
华为 GRE OVER IPSEC
baidu_41701694的博客
09-08 2025
当网关之间采用GRE over IPSec连接时,先进行GRE封装,再进行IPSec封装。GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPSec头,导致报文长度更长,更容易导致分片,所以推荐采用传输模式GRE over IPSecGRE over IPSec可利用GREIPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文,通过IPSec为封装后的IP报文供安全地通信,进而可以提供在总部和分支之间安全地传送广播、
华为GRE_OVER_IPSEC
weixin_34111790的博客
09-25 309
配置如下[AR1]dispcur[V200R003C00]#sysnameAR1#snmp-agentlocal-engineid800007DB03000000000000snmp-agent#clocktimezoneIndianStandardTimeminus05:13:20clockdaylight-saving-timeDay...
华为GRE Over IPsec 实验配置
2301_77161465的博客
02-02 3667
GRE over IPSec可利用GREIPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如动态路由协议消息等。就是将GRE的优点和IPsec的优点相结合因为GRE能够传输组播、广播等数据,但对数据的传输是不进行加密的,在不安全的公网上面相当于裸奔啦。而咱们的IPsec 是可以对数据进行加密和认证的,但是不支持传输组播、广播等数据,就是会有一些弊端,然后将二者结合起来。
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4598
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
93.华为路由器:IPSec加密GRE通道(GRE over IPsec
热门推荐
迷逝
01-05 1万+
IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE; 加密数据流后从隧道传输,称为GRE over IPsec。 下面将配置一个简单的IPsec over GRE实验。 一、搭建模拟环境 首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。 [AR1]in g0/0/0 [AR
【HUAWEI】配置案例:GRE Over IPSec
u012468770的博客
11-07 8518
【背景】 某公司拥有两地办事机构,这里用AR1和AR3代表,分别拥有各自的子网。出口网关分别从ISP处获得一公网IP(此处分别以10.0.12.1/24和10.0.23.3/24网络代表)。架设一个网络,使得内部子网能够通信。 这是一个两地办公经常会遇到的网络问题。 【解决方案】 为了使得两地可以相互访问内网,冒无疑问的需要使用到VPN技术。为了保证传输的安全性,这里直接使用IPSec...
华为防火墙GRE over IPSec
weixin_45123715的博客
08-06 1544
具体原理可以看之前的一篇介绍GRE的一篇文章,这里不做赘述,这里讲述的是GRE over IPSec防火墙上的应用 实验: 拓扑:
[eNSP]GRE over IPSec(对GRE通道进行加密)
ZXW_NUDT的博客
04-07 3980
首先要打通GRE通道: https://blog.csdn.net/ZXW_NUDT/article/details/115480258 然后: 2、创建IKE提议 [AR 1]ike proposal 1 # 创建IKE提议 [AR 1-ike-proposal-1]encryption-algorithm 3des-cbc # 指定加密算法 [AR 1-ike-proposal-1]authentication-algorithm md5 # 认证算法 [AR 3]ike pr.
华为防火墙 IPSec over GRE 配置
白话聊网络的博客
03-19 2259
GRE OVER IPSECgre 做内层封装, ipsec 做外层封装,ipsec 感兴趣数据流为 gre源目地址,适用于两点都是固定 ip 或者一方是动态 IP 或内网环境,由于 ipsec 不能传广播和组播,gre 可以,这种环境还可以运行一些适用组播和广播的协议。GRE是一种三层VPN封装技术。IPSEC OVER GREIPSEC 做内层封装,GRE 做外层封装,适用于两端路由器都是固定IP,ipsec 策略应用在物理口,ipsec 感兴趣数据流为业务网段,只对业务数据进行加密。
GRE OVER IPSEC配置方法
weixin_33812433的博客
04-17 1190
试验目的:GRE OVER IPSEC配置方法: 试验拓扑: R1: interface Tunnel0 ip unnumbered Loopback1 tunnel source Serial1/1 tunnel destination 202.100.23.3 ip route 0.0.0.0 0.0.0.0 Serial1/1 ip route 192.168.23.0...
华为ensp防火墙双出口GRE over IPSEC主备切换
白话聊网络的博客
11-03 2604
IPSEC 对两个私网流量加密,通过GRE进行选路,通过静态路由来控制选路,但是主链路中的热任何节点故障,防火墙的主备ipsec流量该如何切换成为难题,这里用NQA和静态的联动,非常的可以解决该问题。配置nqa,只要你中间链路路由可达,指明目的地址,防火墙就开始发送nqa探测报文了。中间路由就是用动态协议打通网络,ospf isis 静态都可以,不是重点配置。本期实验适用在防火墙ipsec vpn多出口的场景,看拓扑。为两个gre隧道口创建两个ipsec名。配置ipsec流量进入gre隧道流量。
华为eNSP防火墙 配置使用GRE隧道
m0_75102488的博客
07-09 1431
华为eNSP防火墙配置
华为GRE over IPSEC结局方案
DREW德鲁
07-30 621
GRE over IPSECIPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由 使用场合 总部与分支机构跨越Internet互联。 总部与分支机构之间的路由协议为动态路由协议。 1,配置GRE [AR1]int t0/0/0 [AR1-Tunnel0/0/0]ip add 10.1.1.1 24 [AR1-Tunnel0/0/0]tunnel-protoco gre [
华为eNSP防火墙配置
02-21
### 华为eNSP防火墙配置指南 #### 1. 基础环境搭建 为了在华为eNSP模拟器中进行防火墙配置,需先建立基础网络拓扑结构。通常情况下,这涉及到创建至少两个路由器或交换机以及一台或多台PC终端来模拟内外网环境。 #### 2. 防火墙模块安装与初始化设置 启动所需设备后,在目标路由器上加载防火墙软件包,并完成初始向导式的简单设定过程,比如定义主机名、登录密码等基本信息[^1]。 #### 3. 安全区域划分 通过命令行界面CLI进入安全策略视图下,利用`firewall zone`指令新增自定义的安全区段,如Trust(信任)、Untrust(不信任),并将相应的物理端口分配给这些逻辑分区: ```shell [Huawei] firewall zone trust [Huawei-zone-trust] add interface GigabitEthernet 0/0/1 ``` 上述例子表示将GigabitEthernet 0/0/1接口划入到名为“trust”的区域内[^2]。 #### 4. 访问控制列表ACL的应用 针对不同方向的数据流制定过滤规则,即所谓的访问控制列表(Access Control List, ACL),用于精确管控进出流量的行为模式。例如允许特定IP地址范围内的计算机访问内部资源的同时阻止其他外部请求: ```shell [Huawei] acl number 3000 [Huawei-acl-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination any [Huawei-adv-3000] quit [Huawei] interface gigabitethernet 0/0/2 [Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3000 ``` 此段脚本实现了仅放行来自192.168.1.x子网内机器发起的所有类型的连接尝试,而拒绝其余未授权源点发出的信息传递活动[^3]。 #### 5. NAT转换机制部署 对于希望隐藏真实局域网布局或者实现多对一映射场景而言,启用Network Address Translation (NAT) 功能至关重要。下面给出了一种典型应用场景下的参数调整方式——动态PAT(port address translation): ```shell [Huawei]interface g0/0/2 [Huawei-GigabitEthernet0/0/2]nat outbound 2000 [Huawei]interface loopback 0 [Huawei-LoopBack0]ip address 1.1.1.1 255.255.255.255 [Huawei]acl number 2000 [Huawei-2000]rule permit source 172.16.0.0 0.0.255.255 ``` 这里假设外网出口位于g0/0/2接口处,则该组语句的作用就是让所有源自私有IPv4区间(172.16.0.0~172.16.255.255) 的报文经过此处时自动替换掉原有的源地址字段值成为公网可见形式再向外转发出去[^4]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值