华三模拟器(路由器)实现ipsec穿越NAT实验

最新推荐文章于 2024-04-20 07:49:57 发布
最新推荐文章于 2024-04-20 07:49:57 发布
阅读量3.8k 收藏 54
点赞数 6
分类专栏: 网络协议原理 文章标签: 网络 ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43590351/article/details/121607659
版权

实验拓扑

在这里插入图片描述

接口及路由配置省略,R1和R3配置默认路由即可实现公网互通(测试两端公网互通即可开始操作)

接下来主要配置IPSEC VPN,如下配置

R1配置

R1配置

步骤一:在R1上创建感兴趣流,匹配两端私网地址网段
[R1] acl advanced 3500
[R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

步骤二:在 R1 上创建IKE提议,配置验证模式为预共享密钥,并配置加密算法
[R1]ike proposal 1
[R1-ike-proposal-1]authentication-method pre-share
[R1-ike-proposal-1]encryption-algorithm aes-cbc-128

步骤三:在 R1 上创建预共享密钥
[R1]ike keychain r3
[R1-ike-keychain-r3]pre-shared-key address 2.2.2.2 key simple 123456


步骤四:在 R1 上创建 IKE Profile,指定本端和对端公网地址,并调用预共享密钥和 IKE 提议
[R1]ike profile r3
[R1-ike-profile-r3]keychain r3
[R1-ike-profile-r3]local-identity address 1.1.1.1
[R1-ike-profile-r3]match remote identity address 2.2.2.2
[R1-ike-profile-r3]proposal 1


步骤五:在 R1 上创建IPsec 转换集,配置加密和验证算法。由于工作模式默认是隧道模式,且协议默认使用 ESP,所以无需配置
[R1]ipsec transform-set r3
[R1-ipsec-transform-set-r3]esp authentication-algorithm sha1
[R1-ipsec-transform-set-r3]esp encryption-algorithm aes-cbc-128


步骤六:在 R1 上创建 IPsec 策略,调用上述配置
[R1]ipsec policy r3 1 isakmp 
[R1-ipsec-policy-isakmp-r3-1]security acl 3500
[R1-ipsec-policy-isakmp-r3-1]ike-profile r3
[R1-ipsec-policy-isakmp-r3-1]transform-set r3
[R1-ipsec-policy-isakmp-r3-1]remote-address 2.2.2.2


步骤七:在 R1 的公网接口上下发 IPsec 策略
[R1-GigabitEthernet0/0]ipsec apply policy r3

R2配置

R2配置

步骤一:在R2上创建感兴趣流,匹配两端私网地址网段
[R2]acl advanced 3500
[R2]rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

步骤二:在 R2 上创建IKE提议,配置验证模式为预共享密钥,并配置加密算法
[R2]ike proposal 1
[R2-ike-proposal-1]authentication-method pre-share
[R2-ike-proposal-1]encryption-algorithm aes-cbc-128

步骤三:在 R2 上创建预共享密钥
[R2]ike keychain r1
[R2-ike-keychain-r1]pre-shared-key address 1.1.1.1 key simple 123456


步骤四:在 R2 上创建 IKE Profile,指定本端和对端公网地址,并调用预共享密钥和 IKE 提议
[R2]ike profile r1
[R2-ike-profile-r1]keychain r1
[R2-ike-profile-r1]local-identity address 2.2.2.2
[R2-ike-profile-r1]match remote identity address 1.1.1.1
[R2-ike-profile-r1]proposal 1


步骤五:在 R2 上创建IPsec 转换集,配置加密和验证算法。由于工作模式默认是隧道模式,且协议默认使用 ESP,所以无需配置
[R2]ipsec transform-set r1
[R1-ipsec-transform-set-r1]esp authentication-algorithm sha1
[R1-ipsec-transform-set-r1]esp encryption-algorithm aes-cbc-128


步骤六:在 R2 上创建 IPsec 策略,调用上述配置
[R2]ipsec policy r1 1 isakmp 
[R2-ipsec-policy-isakmp-r1-1]security acl 3500
[R2-ipsec-policy-isakmp-r1-1]ike-profile r1
[R2-ipsec-policy-isakmp-r1-1]transform-set r1
[R2-ipsec-policy-isakmp-r1-1]remote-address 1.1.1.1
                
步骤七:在 R2 的公网接口上下发 IPsec 策略
[R2-GigabitEthernet0/0]ipsec apply policy r1

此时配置到这里,IPSEC全部结束,你以为就能互通了嘛,太天真了

测试

在这里插入图片描述

哈哈是不是不通,分析原理其实是IPSEC的acl与NAT的acl冲突。
解决方法是在NAT的acl中拒绝ipsec的acl,让他不进行nat转换

修改ACL

R1上修改
rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched)
rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched)

R3上修改
rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)

实验结果

PC_4与PC_5成功互访

在这里插入图片描述

ike sa

display ike sa

在这里插入图片描述

ipsec sa

display ipsec sa

在这里插入图片描述

路由器的ipsec穿越NAT很简单,下一篇文章我看能不能把防火墙的放出来。因为上午上课防火墙的ipsec穿越NAT实验没做出来,其实

都大差不差可能防火墙的策略问题吧,研究一下。
实验报告下载地址

链接:https://pan.baidu.com/s/1rqVXxhuFAFjr6BhodtOnBA 
提取码:mkt5
萌新_大鹏鸟
关注
  • 6
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
华三模拟器实验操作手册
02-16
华三模拟器搭建实验相关操作守则,便于大家熟悉操作方法等等
华三模拟器(防火墙)实现IPSEC穿越NAT实验
qq_43590351的博客
11-30 9350
华三模拟器(防火墙)实现IPSEC穿越NAT实验 实验拓扑 接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置 FW1 步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段 [FW1] acl advanced 3002 [FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.
华三防火墙-IPsec VPN配置
qq_53146347的博客
04-20 552
公司需要搭建VPN让子公司连接内网服务器直接获取内网数据,使用IPsec VPN进行对接,预共享密钥:123456。
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1356
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
H3C CLI基础笔记(设备访问——Ipsec NAT穿越
weixin_33979203的博客
01-08 737
引入 ·可以通过Console、AUX、Telnet和SSH多种途径,搭建网络设备配置环境·H3C Comware在上述配置方法中使用的命令行采用了配置权限的分级控制访问网络设备命令行接口的方法·通过Console口本地访问·通过AUX口远程访问(可用电话modem,走PSTN调试)·使用Telnet终端访问·使用SSH终...
H3C IPsec穿越nat实验
h320758724的博客
05-26 3645
实验拓扑 H3C IPsec VPN 实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24网段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 R1 和 R3 上配置默认路由连通公网
通过配置路由器实现IPSec
10-30
该项目是通过华三实验室搭建的
华三模拟器 HCL_v2.1.2
03-25
交换机模拟器软件分享
华三模拟器和虚拟机,HCL-V3.0.1
10-14
加上配套的虚拟机,可以直接安装使用
华为华三路由器交换机模拟器
12-09
华为华三路由器交换机模拟器
H3C NAT配置手册
12-20
华三防火墙中关于NAT的配置说明,配置命令及典型的配置案例
华三模拟器(HCL)使用CRT方法教程.rar
01-13
工作后,我想很多网络工程师都习惯用CRT来对网络设备进行操作。 那么,在进行用华三模拟器做测试时,你一定也很想使用CRT。本期就来讲讲如何使用CRT关联CRT
华三模拟器HCL最新版
05-06
用户可以通过该软件实现H3C公司多种型号设备的虚拟组网、配置、调试。该软件具备友好的图形界面,可以模拟路由器、交换机、防火墙等网络设备及PC的全部功能,用户可以使用它在个人电脑上搭建虚拟化的网络环境。
华三模拟器2.1.2版本(全)
01-23
内含HCL_v2.1.2-Setup; HCL_Device_B59_V2.1.2_Setup VirtualBox-5.2.22-126460-Win;
华三路由器设备的巡检命令
最新发布
06-09
参看华三路由器设备巡检命令,可以参看命令显示的内容,查看设备状态
ipsec *** nat 穿越实验
weixin_34336292的博客
02-11 281
ipsecnat穿越实验2010-09-3010:00:04做此实验开启NAT穿越功能,cisco设备默认开启的。R2添加此2条命令是为了能够让外部穿越NAT设备以此来建立×××关系ipnatinsidesourcestaticudp10.1.1.14500interfaceEthernet0/14500ipnatinsidesourc...
H3C 点对点IPSec 添加NAT穿越实验
松紧带的自习室
01-18 1204
本次实验里面有一部分我只是做了皮毛,大部分配置都是可以自己定制的,我写这篇文章的主要目的就是为了让新手能够有一个相对靠谱的答案,其实本次实验可能在高手看来不足为奇,但是如果是对于初学者来说,还是有难度的,特别是在NAT设备加入以后,整个的思路可能就乱了,我也乱了好久,因为我以前对什么IPSec真的一窍不通,通过这次学习,也算是了解了一部分知识。我相信只要又不断的求知欲,再难的问题也可以解决,不要怕麻烦,解决问题不麻烦那不就都成神了。
华三路由器ER3260 ipsec配置
ye_hua的博客
08-11 1552
路由器ipsec vpn 配置笔记
华三模拟器ac ap上线实验
08-01
华三模拟器是一种用于网络设备模拟和测试的工具,可以模拟真实的网络环境和设备行为。在华三模拟器上进行AC AP上线实验,是为了测试和验证网络的性能、可靠性和稳定性。 在AC AP上线实验中,首先需要模拟一个网络环境,包括设置AP(接入点)和AC(接入控制器)的参数,以及模拟实际的用户设备。然后,通过配置AP和AC的相关参数,使AP能够成功连接到AC,并通过AC进行管理和控制。 在实验过程中,可以通过监测和记录AP和AC之间的通信过程,分析数据包传输的延迟、丢包率等指标,以评估网络的性能。同时,可以通过调整AP和AC的配置,例如增加AP的数量、调整频道等,来测试网络的负载能力和稳定性。 通过进行AC AP上线实验,可以及时发现和定位网络中的问题,例如信道干扰、设备故障等,并采取相应的措施进行优化和修复。此外,实验还可以用于验证新的网络方案、协议或技术的可行性和效果。 总之,华三模拟器AC AP上线实验是一种有效的网络测试方法,它能够帮助我们评估和优化网络性能,提高网络的可靠性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值