华三模拟器(防火墙)实现IPSEC穿越NAT实验

最新推荐文章于 2024-05-23 15:50:16 发布
最新推荐文章于 2024-05-23 15:50:16 发布
阅读量9.4k 收藏 54
点赞数 6
分类专栏: 网络协议原理 文章标签: 网络 ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43590351/article/details/121630002
版权

实验拓扑

在这里插入图片描述

接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作)

另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置

FW1

步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW1] acl advanced 3002
[FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255


步骤二:配置IPsec安全提议
[FW1] ipsec transform-set tran1											创建IPsec安全提议tran1
[FW1-ipsec-transform-set-tran1] encapsulation-mode tunnel				配置安全协议对IP报文的封装形式为隧道模式
[FW1-ipsec-transform-set-tran1] protocol esp							配置采用的安全协议为ESP。
[FW1-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128	配置ESP协议采用的加密算法为128比特的AES
[FW1-ipsec-transform-set-tran1] esp authentication-algorithm sha1		认证算法为HMAC-SHA1。
[FW1-ipsec-transform-set-tran1] quit

步骤三:配置IKE keychain
[FW1] ike keychain keychain1			创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW1-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456
[FW1-ike-keychain-keychain1] quit

步骤四:配置IKE profile 
[FW1] ike profile profile1								创建并配置IKE profile,名称为profile1
[FW1-ike-profile-profile1] keychain keychain1		
[FW1-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0	#指定对端公网地址
[FW1-ike-profile-profile1] quit

步骤五:配置IPsec安全策略			
[FW1] ipsec policy map1 10 isakmp						创建IKE协商方式的IPsec安全策略,名称为map1,序列号为10。
[FW1-ipsec-policy-isakmp-map1-10] security acl 3002						指定引用感兴趣流的ACL 3002
[FW1-ipsec-policy-isakmp-map1-10] transform-set tran1					指定引用的安全提议为tran1
[FW1-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1					指定IPsec隧道的本端IP地址为1.1.1.1
[FW1-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2				指定IPsec隧道的对端IP地址为2.2.2.2
[FW1-ipsec-policy-isakmp-map1-10] ike-profile profile1					指定引用的IKE profile为profile1。
[FW1-ipsec-policy-isakmp-map1-10] quit
 
                           
步骤六:在接口上应用IPsec安全策略    
[FW1-GigabitEthernet1/0/0] ipsec apply policy map1

FW2配置

步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW2] acl advanced 3002
[FW2] rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255


步骤二:配置IPsec安全提议
[FW2] ipsec transform-set tran1											创建IPsec安全提议tran1
[FW2-ipsec-transform-set-tran1] encapsulation-mode tunnel				配置安全协议对IP报文的封装形式为隧道模式
[FW2-ipsec-transform-set-tran1] protocol esp							配置采用的安全协议为ESP。
[FW2-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128	配置ESP协议采用的加密算法为128比特的AES
[FW2-ipsec-transform-set-tran1] esp authentication-algorithm sha1		认证算法为HMAC-SHA1。
[FW2-ipsec-transform-set-tran1] quit

步骤三:配置IKE keychain
[FW2] ike keychain keychain1			创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW2-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple 123456
[FW2-ike-keychain-keychain1] quit

步骤四:配置IKE profile 			
[FW2] ike profile profile1								创建并配置IKE profile,名称为profile1。
[FW2-ike-profile-profile1] keychain keychain1		
[FW2-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0	#指定对端公网地址
[FW2-ike-profile-profile1] quit

步骤五:配置IPsec安全策略			
[FW2] ipsec policy use1 10 isakmp						创建IKE协商方式的IPsec安全策略,名称为use1,序列号为10。
[FW2-ipsec-policy-isakmp-map1-10] security acl 3002						指定引用感兴趣流的ACL 3002
[FW2-ipsec-policy-isakmp-map1-10] transform-set tran1					指定引用的安全提议为tran1
[FW2-ipsec-policy-isakmp-map1-10] local-address 2.2.2.2					指定IPsec隧道的本端IP地址为2.2.2.2
[FW2-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.1				指定IPsec隧道的对端IP地址为1.1.1.1
[FW2-ipsec-policy-isakmp-map1-10] ike-profile profile1					指定引用的IKE profile为profile1。
[FW2-ipsec-policy-isakmp-map1-10] quit
 
                           
步骤六:在接口上应用IPsec安全策略    
[FW2-GigabitEthernet1/0/0] ipsec apply policy use1

测试

用PC_5去访问PC_4发现不通,还是一样的原因,需要拒绝ipsec的感兴趣流

在这里插入图片描述

FW1上修改
rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched)
rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched)

FW2修改
rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)

实验结果

用PC_5去访问PC_4发现可以成功访问

在这里插入图片描述

ike sa

[FW1]display  ike sa

在这里插入图片描述

ipsec sa

display ipsec sa

在这里插入图片描述

到此防火墙的ipsec穿越NAT实验结束,其实很简单很简单昨天搞了一天不知道啥原因,今天早上上课按照手册在敲一遍就通了挺兴奋的

写个博客记录下以后可能会用到(毕设)

实验报告下载地址

链接:https://pan.baidu.com/s/1lz2-U0fyXhkxKHVrgfFrVw 
提取码:tpen
萌新_大鹏鸟
关注
  • 6
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
华为模拟器防火墙打开web_H3C模拟器里的F1060防火墙如何开启WEB界面
weixin_39620679的博客
12-19 1144
大家都知道H3C(新华三)旗下有一款设备模拟器,该模拟器可以完全模拟H3C的路由交换和防火墙设备(仅限支持的型号),但是很多新手不知道怎么开启F1060防火墙的web访问。本篇文章将教大家如何开启F1060的WEB访问,同时本文也适用于物理机配置WEB访问。1 准备工作1.1 配置基本的拓扑图注意:本篇文章只要配置红色线框内的两台设备,防火墙网口为GE_0/1,HOST桥接虚拟机网卡。1.2 安装...
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
华三模拟器(路由器)实现ipsec穿越NAT实验
qq_43590351的博客
11-29 3903
IPSEC VPN 实验拓扑 接口及路由配置省略,R1和R3配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 接下来主要配置IPSEC VPN,如下配置 R1配置 R1配置 步骤一:在R1上创建感兴趣流,匹配两端私网地址网段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 步骤二:在 R1 上创建IKE提议,配置验证模式为预共
虚拟机中安装华为eNSP模拟器运行USG6000防火墙
最新发布
imtech的博客
05-23 1053
至此配置完成,好像使用host-only网卡的方式可以互相ping通,我这种方式ping不通,但实际上已经可以使用。估计也有响应解决办法。
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1568
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
H3C CLI基础笔记(设备访问——Ipsec NAT穿越
weixin_33979203的博客
01-08 766
引入 ·可以通过Console、AUX、Telnet和SSH多种途径,搭建网络设备配置环境·H3C Comware在上述配置方法中使用的命令行采用了配置权限的分级控制访问网络设备命令行接口的方法·通过Console口本地访问·通过AUX口远程访问(可用电话modem,走PSTN调试)·使用Telnet终端访问·使用SSH终...
H3C IPsec穿越nat实验
h320758724的博客
05-26 3736
实验拓扑 H3C IPsec VPN 实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24网段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 R1 和 R3 上配置默认路由连通公网
ipsec *** nat 穿越实验
weixin_34336292的博客
02-11 283
ipsecnat穿越实验2010-09-3010:00:04做此实验需开启NAT穿越功能,cisco设备默认是开启的。R2添加此2条命令是为了能够让外部穿越NAT设备以此来建立×××关系ipnatinsidesourcestaticudp10.1.1.14500interfaceEthernet0/14500ipnatinsidesourc...
H3C模拟器防火墙端口聚合 + 双机备份
m0_57442337的博客
08-25 323
2、登录到防火墙网页,点击 网络、接口、链路聚合(选择静态聚合、三层)4、配置双击备份,如图,点击系统,高可靠性,按需求添加即可。3、配置IP,将IP配置在聚合端口,网络、IP。以上操作两台设备都需操作。
华三模拟器中的remote实现简单组网
weixin_46639226的博客
06-11 1804
局域网内通过remote设备实现组网 remote又叫远端虚拟网络代理,那他到底是怎么使用的呢,比如我们的电脑内存不够,只能带起来模拟器中的5台设备,但是你需要10台设备来组网,这时你就需要用到remote设备,把组网图给分割出来,一半在你电脑上,一半在另一台电脑上;中间通过remote设备相连; 实验需求: 1.两台电脑 2.两台电脑能够ping通(最简单的办法就是连接到同一台wifi路由器上) 实验拓扑 电脑1拓扑 电脑2拓扑 为什么不连线,因为这时remote设备没有配置,无法连线; 先在两台电脑
华三模拟器telnet远程登录
weixin_34381666的博客
05-16 936
H3C模拟器Telnet远程登录 1.在模拟器上打开一个服务器并启动该设备,在连接一个本地主机,如图所示:2.打开MSR36-20_1设备并配置它(1)网络相连端口的IP地址(2)打开Telnet服务器功能(3)进入vty用户界面(4)配置密码(5)设置服务器类型(6)设置用户级别如图所示:3.在本机上添加一个虚拟网卡如图所示:4.在虚拟网卡上面配置IP地址如图所示:5.在控制面板里面打开Teln...
H3C 模拟器HCL实验配置案例系列.rar
09-10
H3CHCL模拟器交换机的维叠配置方法mp4 H3CHCL模拟器交换机的链路聚合配置方法mp4 H3CHCL模拟器 telnet远程登录配置mp4 H3CHCL模拟器web界面的配置mpa 4 H3CHCL模拟器的Man的划分和多端口的加入配置方法录配置命令mp4 H3CHCL模拟器的不同van的通信方法,mp H3CHCL模拟器的单臂路由配置方法mp4 H3CHCL模拟器的交换机的 mstp mp4 H3CHCL模拟器的交换机的Mp冗余网关的配置方法.mp4 H3CHCL模拟器的路由器的动态路由RIP的配置.mp4 H3CHCL模拟器的路由器的静态路由的配置.mp4 H3CHCL模拟器的路由器的默认路由配置方法.mp4
H3C防火墙应用
weixin_34327761的博客
01-21 411
1、H3C secPath F1000-A-E1防火墙:支持外部***防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。安全区域优先级:非受信区(untrust): 5非军事化区(dmz): 50受信区(trust): 85本地区域(local): 100管理区域(manage): 1002、ipsec ***的配置:实现两个内网互访①配置访问控制列表,匹配保护的数据...
H3C模拟器单臂路由配置实例
daubee5963的博客
11-16 1065
单臂路由:用802.1Q和子接口实现VLAN间路由 单臂路由利用trunk链路允许多个VLAN的数据帧通过而实现 网络拓扑图:    RTA配置:    SW1配置:    PC1/2配置如图:   但是值得注意的是,在配置PC时应当注意配置它们的网关,否则两台PC是无法ping通的 测试两台主机连通性:       RTA路由表:    转载于:ht...
H3C 点对点IPSec 添加NAT穿越实验
松紧带的自习室
01-18 1325
本次实验里面有一部分我只是做了皮毛,大部分配置都是可以自己定制的,我写这篇文章的主要目的就是为了让新手能够有一个相对靠谱的答案,其实本次实验可能在高手看来不足为奇,但是如果是对于初学者来说,还是有难度的,特别是在NAT设备加入以后,整个的思路可能就乱了,我也乱了好久,因为我以前对什么IPSec真的一窍不通,通过这次学习,也算是了解了一部分知识。我相信只要又不断的求知欲,再难的问题也可以解决,不要怕麻烦,解决问题不麻烦那不就都成神了。
H3C模拟器HCL中进行链路聚合实验
m0_56423316的博客
10-13 1892
为了线路的可靠性,设置SW1和SW2之间的最大传输带宽为2G(SW1和SW2之间有3 条千兆线,最大传输带宽可以为3G,但这里为了链路的可靠性设置一条冗余线路,最大传输带宽设为2G,即同一时刻只允许选中2个聚合成员端口)第三步:尝试切断接口G1/0/1,链路聚合就会自动选中G1/0/3接口,保持聚合链路的2G传输带宽,聚合链路的可靠性由此可见。
H3C交换机使用
YPFeime的博客
06-09 6480
1、接口模式 # 接口的两种模式 如果将工作模式设置为二层模式(bridge),则作为一个二层以太网接口使用,如果将工作模式设置为三层模式(route),则作为一个三层以太网接口使用。 接口模式切换后,除了shutdown命令,该以太网接口下的其它所有命令都将恢复到新模式下的缺省情况。 # 接口模式切换命令 <Sysname> system-view [Sysname] interface ten-gigabitethernet 1/0/1 [Sysname-Ten-GigabitEthern
华三防火墙NAT配置CLI
qq_47529104的博客
06-05 7225
华三NAT
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 6344
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值