安全设备-华为防火墙NAT环境配置IPSec

最新推荐文章于 2024-08-09 14:26:49 发布
最新推荐文章于 2024-08-09 14:26:49 发布
阅读量3.4k 收藏 31
点赞数 8
分类专栏: 安全设备 文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43381463/article/details/127662193
版权

华为防火墙NAT环境配置IPSec

本实验主要实现NAT穿透

实验环境

实验拓扑图:

image-20221102193957833

模拟器:eNSP
设备型号:AR2240、S3700、USG6000V

USG6000V
默认配置口为0口
默认用户名:admin
默认密码:Admin@123
默认管理地址:https://192.168.0.1:8443
登录后必改密码

实验步骤

环境配置

1、FW1、FW2配置

# FW1
<USG6000V1>sys
[USG6000V1]sysname FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]service-manage all permit 	# 允许所有服务

# FW2
<USG6000V1>sys
[USG6000V1]sysname FW2
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip add 192.168.0.2 24			# 为FW2重新配置管理地址
[FW2-GigabitEthernet0/0/0]service-manage all permit

2、根据拓扑图配置IP

# AR1
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 23.34.45.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 23.34.50.2 24

# 防火墙IP可以使用命令行,也可以在图形化界面配置

在浏览器输入https://192.168.0.1:8443https://192.168.0.2:8443进入防火墙图形化配置页面

image-20221102201123271

网络-接口,根据拓扑图的接线配置接口IP,配置如下:

FW1:

image-20221102201405972

注意:外网接口需要配置网关,FW2同理

image-20221102201353844

FW2:

image-20221102201446395

3、配置NAT策略

在FW1上配置源地址转换

策略-NAT策略-NAT策略-新建

配置填写完成后不要急着确定,点击新建安全策略

image-20221102203056043

image-20221102203108916

抓取g1/0/0接口的流量发现配置成功

image-20221102230243110

在FW1上配置目的地址转换

image-20221102230852010

image-20221102230700794

在FW1上配置源和目的地址转换

打开Server1的httpSwever

image-20221102231031666

image-20221102231604192

image-20221102231615412

NAT环境配置完成

实现NAT穿透(配置IPSec)

1、在防火墙上配置IPSec

网络-IPSec-IPSec

FW1

image-20221102233109779
新建安全策略

image-20221102234302536

FW2

image-20221102234405795

image-20221102234354250

2、修改FW1上的源地址转换策略

image-20221103000955798

意思是当目的地址为192.168.100.0网段的地址时,不进行源地址转换,对应的安全策略也需要修改

image-20221103001012324

FW2新建源地址转换策略

image-20221102234654021
image-20221102234926519

3、新建互访安全策略

FW1与FW2相同,都需要新建

image-20221103003945845

配置完成

校验

image-20221103004039883

贫僧法号云空丶
关注
专栏目录
华为防火墙初始化配置与高级配置
悦分享
07-18 1417
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。...
防火墙HA配置
悦分享
07-15 4653
高可靠性(HighAvailability),简称为HA,能够在通信线路或设备产生故障时提供备用方案,从而保证数据通信的畅通,有效增强网络的可靠性。实现HA功能,用户需要配置两台采用完全相同的硬件平台、固件版本,均启用VR及防病|毒功能、安装防病毒许可证的安全网关,组成HA簇。当一台设备不可用或者不能处理来自客户端的请求时,该请求会及时转到另外的可用设备来处理,这样就保证了网络通信的不间断进行,极大地提高了通信的可靠性。2、HA基础概念HA簇HA簇是实现HA功能的设备的组合。HA组HANode。...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙IPSec虚拟环境配置
qq_39330735的博客
11-02 2119
华为USG6000V防火墙IPSec VPN配置
华为防火墙NAT源地址转换基础配置详解
最新发布
2301_77508242的博客
08-09 1608
本实验主要针对防火墙NAT基本的配置进行详解,内容主要有防火墙Easy IP NAT的基础配置和NAPT以及NO-PAT基本配置实验最后再通过防火墙NAT服务器映射转换。
华为防火墙NAT介绍及配置详解
cheng198956的专栏
08-06 1万+
博文大纲:一、华为防火墙NAT的六个分类;二、解决NAT转换时的环路及无效ARP;三、server-map表的作用;四、NAT对报文的处理流程;五、各种常用NAT配置方法; 一、华为防火墙NAT的六个分类 华为防火墙NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network...
华为防火墙配置防火墙NAT
1风天云月的博客
12-05 1万+
目录 前言 一、防火墙NAT概述 1、防火墙NAT策略介绍 2、NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3、NAT策略组成 4、NAT策略匹配规则 5、NAT策略处理流程 6、源NAT的使用限制 7、目的NAT的使用限制 8、与双机热备结合使用的限制 9、其它使用限制 10、源NAT简介 11、源NAT分类 (1)NAT No-PAT (2)NAPT (3)Smart NAT
华为防火墙NAT配置
2301_76769137的博客
04-15 1111
所示,某企业在网络边界处部署了DeviceA作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。想要更多网工专业学习资料,可直接找我领取。通过静态IPv4地址接入Internet组网图。(没有领取门槛,主要是一个个发邮件太麻烦了)如果需要系统深入的学习网工知识。视频课程(部分示意)实验拓扑(部分示意)
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
华为防火墙IPSEC虚拟专网基本配置
07-16 2459
本文介绍一下华为防火墙IPSEC 虚拟专网的配置方法,本范文内没有计划NAT相关事项。配置步骤:一、 配置接口二、 配置安全区域三、 配置安全策略四、 配置静态路由五、配置IPSEC1. ike proposal2. ike peer3. ipsec proposal4. ACL5. ipsec policy#调用ACL、IPSEC Proposal、ike peer6. ...
二、云计算-私有云-国产-华为-FusionCloud+HCIE Cloud相关知识点+笔试题库
stqer的博客
08-02 3185
企业IT向云化和数据智能逐步演进FusionCloud功能架构FusionCloud系统架构ManageOne在FusionCloud私有云解决方案中承担CMP(Cloud Management Platforms)的职责,通过自研和集成的方式,为企业客户提供对企业私有云资源及企业租用的公有云资源统一管理的能力,包括租户自服务界面,云产品管理和产品目录,计量,计算、存储和网络资源自动化配置,云服务和云资源的运维监控等。ManageOne在FusionCloud的位置。....................
华为防火墙ipsec vpn实例配置
u012926781的博客
05-23 632
c、ike peer ,绑定ike proposal,指定ike交互模式与对端用于接收IPSEC报文地址,指定共享秘钥,还可以设定dpd消息(类似Keepalive报文)。3、当NATIPSEC同时配置在一台设备上,会先执行NAT再执行IPSEC,所以需要在NAT的ACL中deny掉IPSEC的感兴趣数据流。e、创建ipsec policy,绑定ipsec proposal、Ike peer、ACL感兴趣流、配置本地站点地址。1、双方站点使用的加密协议与算法要保持一致,否则协商不通过。
华为防火墙ipsec vp*实例配置
weixin_45457085的博客
03-22 1万+
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。 2、IPSEC配置 a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。 b、ike proposal(ike提案),如果是通过IKE自动协商..
华为防火墙NAT综合配置
qq_36963043的博客
07-02 835
华为防火墙NAT综合配置 1.1 问题 只有PC可以telnet到防火墙,ISP不能telnet防火墙 配置安全策略和服务器发布,使Client1可以访问Server1的HTTP服务 配置安全策略和Easy IP,使Server1通过地址转换ping通PC 1.2 方案 搭建实验环境,如图-1所示。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 1)只有PC可以telnet到防火墙(ISP不能telnet防火墙) telnet server enable interface GigabitEth
华为防火墙IPSEC简单搭建
baidu_41701694的博客
09-05 3817
消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP。
华为 HCIP 实验 - 防火墙 _ 防火墙NAT配置
君逍遥o
07-19 412
你是公司的网络管理员。公司的网络使用防火墙隔离成三个区域。现在内部网络Trust区域的用户需要能够访问外部区域。并且需要将DMZ区域中的一台服务器(IP地址为10.0.4.4)提供的Telnet服务和FTP服务发布出去,对外公开的地址为1.1.1.254/24。
华为防火墙 IPSec over GRE 配置
白话聊网络的博客
03-19 2045
GRE OVER IPSEC 是 gre 做内层封装, ipsec 做外层封装,ipsec 感兴趣数据流为 gre源目地址,适用于两点都是固定 ip 或者一方是动态 IP 或内网环境,由于 ipsec 不能传广播和组播,gre 可以,这种环境还可以运行一些适用组播和广播的协议。GRE是一种三层VPN封装技术。IPSEC OVER GRE 是 IPSEC 做内层封装,GRE 做外层封装,适用于两端路由器都是固定IP,ipsec 策略应用在物理口,ipsec 感兴趣数据流为业务网段,只对业务数据进行加密。
华为IPSec VPN手动配置
2301_77161465的博客
05-06 1558
这个主要是在软考里面会考到,平时项目中用的是IPSec 自动协商的,就是有IKE密钥交换协议在
华为防火墙NAT配置访问外网
weixin_33964094的博客
09-15 2082
AR1模拟外网,配置一个IP,在配置一个LoopBack地址,AR1的配置如下:interface GigabitEthernet0/0/0ip address 100.100.100.1 255.255.255.0#interface LoopBack1ip address 200.200.200.1 255.255.255.0USG的配置如下:#配置内网接口,开启...
华为防火墙NAT配置实验与技巧
第二步,配置防火墙NAT。需要配置NAT地址池,将内部私有地址转换为公网地址。同时配置NAT Server,将DMZ区域中的服务器的服务发布给外部用户。具体配置方法如下: ``` nat address-group 1 1.1.1.100 1.1.1.100 nat ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值