华为HCIA-IPSec VPN实验配置

最新推荐文章于 2024-05-14 22:51:01 发布
最新推荐文章于 2024-05-14 22:51:01 发布
阅读量2.6k 收藏 85
点赞数 2
分类专栏: 华为HCIA 文章标签: 华为 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37257635/article/details/131049610
版权

一、介绍IPsec VPN

指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。下面我们使用IPSec隧道模式来连接连个局域网(中间有Internet连接),对局域网通信的数据包进行二次封装,实现局域网的跨Internet通信。通过IPSec隧道模式建立两个局域网间的安全隧道,这就是IPsec VPN。

二、实验目的

通过IPsec VPN实现北京公司和上海公司的网络传输数据是加密的。

三、实验拓扑图

 

 四、实验配置

通过拓扑图给的IP,给AR1 AR2 AR3 配置IP地址,保证路由可达。

AR1

<AR1>SYS
Enter system view, return user view with Ctrl+Z.
[AR1]dis cur 
interface GigabitEthernet0/0/0
 ip address 12.0.0.1 255.255.255.0 

interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0 

ip route-static 0.0.0.0 0.0.0.0 12.0.0.2

AR2

[AR2]DIS CUR
interface GigabitEthernet0/0/0
 ip address 12.0.0.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 23.0.0.2 255.255.255.0 
#

AR3

[AR3]dis cur
interface GigabitEthernet0/0/0
 ip address 23.0.0.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 172.16.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
ip route-static 0.0.0.0 0.0.0.0 23.0.0.2

 在AR1和AR3配置IPSec 加密协议.

AR1上的配置

1.定义需要保护的数据流

[AR1]dis cur
acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 
 rule 10 deny ip

2.创建IPSec 安全提议

[AR1]
ipsec proposal prol --创建安全提议,命名为prol
 esp authentication-algorithm sha1  --认证算法
 esp encryption-algorithm aes-128   --加密算法

3.创建IKE对等实体

[AR1]
ike peer tosh v1                   --指定对等实体名称和版本
 pre-shared-key simple huawei123   --预共享密钥为huawei123
 remote-address 23.0.0.1           --隧道的终点IP地址

4.创建IPSec 安全策略

[AR1]
ipsec policy policy1 1 isakmp --策略名为policy1,指定索引号1,isakmp意思是使用IKE建立IPSec安全联盟
 security acl 3000             --指定感兴趣流
 ike-peer tosh                 --指定IKE对等实体
 proposal prol                 --指定安全提议

5.把IPSEC策略应用到公网的出接口上

[AR1]
interface GigabitEthernet0/0/0
 ipsec policy policy1

6.添加到远程上海网路的路由

ip route-static 172.16.1.0 255.255.255.0 12.0.0.2

AR3上的配置如下:

<AR3>dis cur

#定义需要保护的数据流
acl number 3000  
 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
 rule 10 deny ip 

#创建IPSec 安全提议
ipsec proposal prol
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128

#创建IKE对等实体
ike peer tobj v1
 pre-shared-key simple huawei123    --密钥和AR1相同
remote-address 12.0.0.1

#创建IPSec 安全策略
ipsec policy policy1 1 isakmp
 security acl 3000
 ike-peer tobj
 proposal prol

#把IPSEC策略应用到公网的出接口上
interface GigabitEthernet0/0/0
 ipsec policy policy1

#添加到远程北京网路的路由

ip route-static 192.168.1.0 255.255.255.0 23.0.0.2

五、实验结果测试

北京公司网路ping上海公司网络

 

在AR2的G0/0/1接口抓包分析结果:

 从抓包中看IPSEC隧道的数据包有ESP安全载荷,无法看到PC1发给PC2的源ip和目的ip地址(局域网的地址信息),只能看到公网ip.实现了跨公网传递私网数据并加密。

网络工程师的学习笔记
关注
  • 2
    点赞
  • 85
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
华为路由器 IPSec VPN 配置
一直被模仿,从未被超越
05-31 7826
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
HCIA-Routing & Switching V2.5培训材料&实验指导书.zip
07-13
华为HCIA认证,全套学习与指导资料。 内含: 01-HCIA-Routing & Switching V2.5培训材料 包括: 1.传输介质简介 2.以太网帧结构 3.IP编址 4.ICMP协议 5.ARP协议 6.传输层协议 7.数据转发过程 8.VRP基础 9....
数通--IPsec VPN隧道搭建配置实验
m0_74313947的博客
01-21 1568
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置了防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
ipsec vpn网关部署实验
qq_64302290的博客
03-22 1019
还不了解ipsec协议簇的小伙伴可以移步到我之前的文章:ipsec协议簇详解(IPSec vpn)-CSDN博客 在上期我们已经将ipsec协议簇讲解的非常详细了,接下来我们做一个基于ipsec协议簇,在网关搭建ipsec vpn实验实验图:在边界防火墙上搭建IPSEC VPN,要求总公司的办公区能够与子公司的192.168.1.0/24网段通信;已知:FW6与FW7组成了双击热备,已经将各种的安全策略和NAT策略做了,办公区可以访问外网,要求在此基础上搭建IPSEC V
华为IPSec VPN手动配置
2301_77161465的博客
05-06 810
这个主要是在软考里面会考到,平时项目中用的是IPSec 自动协商的,就是有IKE密钥交换协议在
华为ensp中路由器IPSec VPN原理及配置命令(超详解)
博客之路,前途漫漫
05-13 2944
是一种通过公用网络建立安全连接的技术。它可以使您的设备看起来像是连接到另一个网络,例如公司或家庭网络,即使您实际上位于其他位置。通过在您的设备和远程服务器之间创建加密隧道来工作。该隧道可保护您的互联网流量免受窥探,即使您使用的是公共 Wi-Fi 网络
华为IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-08 2930
本篇文章是关于IPsec VPN实验配置,场景是在两端的IP地址都是固定的情况下,里面有配置思路和配置代码,还有注释等等
华为IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-08 2569
本篇文章是关于IPsec VPN实验配置,场景是在一段IP地址是固定和另一端IP地址不固定的情况下的,那里面的配置思路会和两端地址固定的场景有一些不一样,文章里面都有注释,会更好去理解啦等等
华为设备IPsec简单配置
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
华为设备IPSec配置命令
Tony_long7483的博客
06-13 2235
华为设备IPSec配置命令
华为HCIA-RS V2.5培训PPT和实验指导手册汇总集.rar
10-06
29 IPSec VPN原理与配置 30 GRE原理与配置 31 SNMP原理与配置 32 IPv6基础介绍 33 IPv6路由基础 34 DHCPv6原理与配置 35 MPLS基本原理 36 SR基本原理 HCIA-Routing & Switching V2.5入门实验指导书 HCIA-...
华为HCIA-RS培训视频教程【共25集】.rar
10-04
目录:网盘文件永久链接 01 基础知识 02 文件系统 03 传输介质 04 ip 地址编址 05 arp 协议 06 静态路 07 rip 1 08 rip 2 09 ospf 1 10 ospf 2 11 ospf 3 12 ospf 4 ...24 ipsec vpn 25 ipv6
华为HCIA-RS V2.5 LVC公开课培训视频教程【共36集】.rar
10-17
目录:网盘文件,永久连接 ...8.4 ipsec vpn原理与配 8.5 gre原理与配 9.1 snmp原理与配 10.1 ipv6基础介绍 10.2 ipv6路由基础 10.3 dhcpv6原理与配 11.1 mpls基本原理 11.2 segment routing基本原理
华为认证HCIA-Security(安全)PPT教材及实验手册V3.0.rar
01-07
信息安全概念、信息安全标准与规范、常见攻击手段、基础操作系统安全、防火墙安全策略、防火墙NAT技术、防火墙双机热备技术、入侵防御技术、密码学基础、PKI机制、IPSec/SSL VPN技术、数据监控与分析、电子取证技术...
华为ipsec vpn配置案例
IT技术
04-02 1400
华为ipsec vpn配置案例
华为设备IPsecVPN配置记录
最新发布
weixin_45103766的博客
05-14 348
IPsec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE协议动态协商,IKE协议建立在internet安全联盟和密钥管理协议ISAKMP框架之上,采用DH算法在不安全的网络上安全的分发密钥,验证身份,以保证数据传输的安全性。IKE协议可提升密钥的安全性,并降低 IPsec管理复杂度。默认sha2-256验证算法……2.配置Ipsec安全协议(封装模式,安全协议,加密算法和验证算法)IKE SA:主模式和野蛮模式:安全性低已被模板模式取代。RB的配置与RA类似,省略。
IPSec 隧道技术--基础实验配置
热门推荐
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
华为 eNsp ipSec vpn实验配置(1)
爱意随风起,人生不可弃。
04-11 2万+
实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-static 12.0.0.0 255.255.255.0 11.0.0.2 ip route-static 192.168.2.0 255.255.255.0 12.0.0.2 [Huawei]ac...
华三IPsec over GRE VPN 实验
04-29
华三IPsec over GRE VPN 实验可以分为以下几个步骤: 1. 配置GRE隧道:在两个VPN网关设备上分别配置GRE隧道,并配置隧道IP地址和隧道端点地址。 2. 配置IPSec加密:在两个VPN网关设备上分别配置IPSec加密,包括设置加密协议、加密算法、预共享密钥等参数。 3. 配置路由:在两个VPN网关设备上配置路由,将隧道IP地址和隧道端点地址加入路由表。 4. 测试连接:通过ping命令或其他网络工具测试IPSec over GRE VPN连接是否可用。 下面是一个具体的实验步骤: 1. 在两个华三VPN网关设备上分别配置隧道IP地址和隧道端点地址,比如设备A上配置隧道IP地址为10.1.1.1,隧道端点地址为192.168.1.1;设备B上配置隧道IP地址为10.1.1.2,隧道端点地址为192.168.1.2。 2. 在两个华三VPN网关设备上配置IPSec加密,比如设置加密协议为ESP,加密算法为AES,预共享密钥为123456。 3. 在设备A上配置路由,将隧道IP地址和隧道端点地址加入路由表: ``` ip route 192.168.1.0/24 10.1.1.2 ip route 10.1.1.2/32 10.1.1.1 ``` 在设备B上也配置类似的路由。 4. 测试连接,可以在设备A上ping设备B的隧道端点地址192.168.1.2,也可以在设备B上ping设备A的隧道端点地址192.168.1.1。 如果连接正常,就可以进行数据传输了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值