华三模拟器(防火墙)实现IPSEC穿越NAT实验

最新推荐文章于 2024-06-14 18:00:31 发布
最新推荐文章于 2024-06-14 18:00:31 发布
阅读量9.4k 收藏 54
点赞数 6
分类专栏: 网络协议原理 文章标签: 网络 ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43590351/article/details/121630002
版权

实验拓扑

在这里插入图片描述

接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作)

另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置

FW1

步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW1] acl advanced 3002
[FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255


步骤二:配置IPsec安全提议
[FW1] ipsec transform-set tran1											创建IPsec安全提议tran1
[FW1-ipsec-transform-set-tran1] encapsulation-mode tunnel				配置安全协议对IP报文的封装形式为隧道模式
[FW1-ipsec-transform-set-tran1] protocol esp							配置采用的安全协议为ESP。
[FW1-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128	配置ESP协议采用的加密算法为128比特的AES
[FW1-ipsec-transform-set-tran1] esp authentication-algorithm sha1		认证算法为HMAC-SHA1。
[FW1-ipsec-transform-set-tran1] quit

步骤三:配置IKE keychain
[FW1] ike keychain keychain1			创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW1-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456
[FW1-ike-keychain-keychain1] quit

步骤四:配置IKE profile 
[FW1] ike profile profile1								创建并配置IKE profile,名称为profile1
[FW1-ike-profile-profile1] keychain keychain1		
[FW1-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0	#指定对端公网地址
[FW1-ike-profile-profile1] quit

步骤五:配置IPsec安全策略			
[FW1] ipsec policy map1 10 isakmp						创建IKE协商方式的IPsec安全策略,名称为map1,序列号为10。
[FW1-ipsec-policy-isakmp-map1-10] security acl 3002						指定引用感兴趣流的ACL 3002
[FW1-ipsec-policy-isakmp-map1-10] transform-set tran1					指定引用的安全提议为tran1
[FW1-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1					指定IPsec隧道的本端IP地址为1.1.1.1
[FW1-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2				指定IPsec隧道的对端IP地址为2.2.2.2
[FW1-ipsec-policy-isakmp-map1-10] ike-profile profile1					指定引用的IKE profile为profile1。
[FW1-ipsec-policy-isakmp-map1-10] quit
 
                           
步骤六:在接口上应用IPsec安全策略    
[FW1-GigabitEthernet1/0/0] ipsec apply policy map1

FW2配置

步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW2] acl advanced 3002
[FW2] rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255


步骤二:配置IPsec安全提议
[FW2] ipsec transform-set tran1											创建IPsec安全提议tran1
[FW2-ipsec-transform-set-tran1] encapsulation-mode tunnel				配置安全协议对IP报文的封装形式为隧道模式
[FW2-ipsec-transform-set-tran1] protocol esp							配置采用的安全协议为ESP。
[FW2-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128	配置ESP协议采用的加密算法为128比特的AES
[FW2-ipsec-transform-set-tran1] esp authentication-algorithm sha1		认证算法为HMAC-SHA1。
[FW2-ipsec-transform-set-tran1] quit

步骤三:配置IKE keychain
[FW2] ike keychain keychain1			创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW2-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple 123456
[FW2-ike-keychain-keychain1] quit

步骤四:配置IKE profile 			
[FW2] ike profile profile1								创建并配置IKE profile,名称为profile1。
[FW2-ike-profile-profile1] keychain keychain1		
[FW2-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0	#指定对端公网地址
[FW2-ike-profile-profile1] quit

步骤五:配置IPsec安全策略			
[FW2] ipsec policy use1 10 isakmp						创建IKE协商方式的IPsec安全策略,名称为use1,序列号为10。
[FW2-ipsec-policy-isakmp-map1-10] security acl 3002						指定引用感兴趣流的ACL 3002
[FW2-ipsec-policy-isakmp-map1-10] transform-set tran1					指定引用的安全提议为tran1
[FW2-ipsec-policy-isakmp-map1-10] local-address 2.2.2.2					指定IPsec隧道的本端IP地址为2.2.2.2
[FW2-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.1				指定IPsec隧道的对端IP地址为1.1.1.1
[FW2-ipsec-policy-isakmp-map1-10] ike-profile profile1					指定引用的IKE profile为profile1。
[FW2-ipsec-policy-isakmp-map1-10] quit
 
                           
步骤六:在接口上应用IPsec安全策略    
[FW2-GigabitEthernet1/0/0] ipsec apply policy use1

测试

用PC_5去访问PC_4发现不通,还是一样的原因,需要拒绝ipsec的感兴趣流

在这里插入图片描述

FW1上修改
rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched)
rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched)

FW2修改
rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)

实验结果

用PC_5去访问PC_4发现可以成功访问

在这里插入图片描述

ike sa

[FW1]display  ike sa

在这里插入图片描述

ipsec sa

display ipsec sa

在这里插入图片描述

到此防火墙的ipsec穿越NAT实验结束,其实很简单很简单昨天搞了一天不知道啥原因,今天早上上课按照手册在敲一遍就通了挺兴奋的

写个博客记录下以后可能会用到(毕设)

实验报告下载地址

链接:https://pan.baidu.com/s/1lz2-U0fyXhkxKHVrgfFrVw 
提取码:tpen
萌新_大鹏鸟
关注
  • 6
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
华三模拟器(路由器)实现ipsec穿越NAT实验
qq_43590351的博客
11-29 3903
IPSEC VPN 实验拓扑 接口及路由配置省略,R1和R3配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 接下来主要配置IPSEC VPN,如下配置 R1配置 R1配置 步骤一:在R1上创建感兴趣流,匹配两端私网地址网段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 步骤二:在 R1 上创建IKE提议,配置验证模式为预共
华三HCL模拟器安装及华三防火墙配置
最新发布
imtech的博客
06-14 1127
使用HCL模拟器其实可以做很多复杂的试验,是一个不错的选择。如果我选的话会选择HCL,二不是eNSP。HCL打开后会看到市场有一些工程,可以直接下载进行学习和实验。启动时候的欢迎画面截一下,很好看。
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1568
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
H3C CLI基础笔记(设备访问——Ipsec NAT穿越
weixin_33979203的博客
01-08 766
引入 ·可以通过Console、AUX、Telnet和SSH多种途径,搭建网络设备配置环境·H3C Comware在上述配置方法中使用的命令行采用了配置权限的分级控制访问网络设备命令行接口的方法·通过Console口本地访问·通过AUX口远程访问(可用电话modem,走PSTN调试)·使用Telnet终端访问·使用SSH终...
H3C IPsec穿越nat实验
h320758724的博客
05-26 3739
实验拓扑 H3C IPsec VPN 实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24网段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 R1 和 R3 上配置默认路由连通公网
ipsec *** nat 穿越实验
weixin_34336292的博客
02-11 283
ipsecnat穿越实验2010-09-3010:00:04做此实验需开启NAT穿越功能,cisco设备默认是开启的。R2添加此2条命令是为了能够让外部穿越NAT设备以此来建立×××关系ipnatinsidesourcestaticudp10.1.1.14500interfaceEthernet0/14500ipnatinsidesourc...
华三模拟器实验操作手册
02-16
华三模拟器搭建实验相关操作守则,便于大家熟悉操作方法等等
华三模拟器 HCL_v2.1.2
03-25
交换机模拟器软件分享
华三模拟器和虚拟机,HCL-V3.0.1
10-14
加上配套的虚拟机,可以直接安装使用
华三模拟器2.1.2版本(全)
01-23
华三模拟器2.1.2版本(全)】是一个包含多个组件的软件包,主要针对网络设备的模拟和虚拟化技术。该版本的模拟器华三通信技术有限公司提供,是学习和实践网络技术的重要工具。在描述中提到了以下几个关键文件: ...
H3C 模拟器HCL实验配置案例系列.rar
09-10
H3CHCL模拟器交换机的维叠配置方法mp4 H3CHCL模拟器交换机的链路聚合配置方法mp4 H3CHCL模拟器 telnet远程登录配置mp4 H3CHCL模拟器web界面的配置mpa 4 H3CHCL模拟器的Man的划分和多端口的加入配置方法录配置命令mp4 H3CHCL模拟器的不同van的通信方法,mp H3CHCL模拟器的单臂路由配置方法mp4 H3CHCL模拟器的交换机的 mstp mp4 H3CHCL模拟器的交换机的Mp冗余网关的配置方法.mp4 H3CHCL模拟器的路由器的动态路由RIP的配置.mp4 H3CHCL模拟器的路由器的静态路由的配置.mp4 H3CHCL模拟器的路由器的默认路由配置方法.mp4
华三SecPath防火墙实验指导视频教程.rar
05-11
0.华三防火墙课程介绍mp4 网盘文件永久链接 1.设备基本管理mp4 2接口与安全区域.mp4 3.安全策略backet-fter,mp4 4.安全第略object-policy/及security-policy-p.mp4 5,静态路由static routing,mp4 6.动态路由rip与...
H3C模拟器防火墙端口聚合 + 双机备份
m0_57442337的博客
08-25 324
2、登录到防火墙网页,点击 网络、接口、链路聚合(选择静态聚合、三层)4、配置双击备份,如图,点击系统,高可靠性,按需求添加即可。3、配置IP,将IP配置在聚合端口,网络、IP。以上操作两台设备都需操作。
华为模拟器防火墙打开web_H3C模拟器里的F1060防火墙如何开启WEB界面
weixin_39620679的博客
12-19 1144
大家都知道H3C(新华三)旗下有一款设备模拟器,该模拟器可以完全模拟H3C的路由交换和防火墙设备(仅限支持的型号),但是很多新手不知道怎么开启F1060防火墙的web访问。本篇文章将教大家如何开启F1060的WEB访问,同时本文也适用于物理机配置WEB访问。1 准备工作1.1 配置基本的拓扑图注意:本篇文章只要配置红色线框内的两台设备,防火墙网口为GE_0/1,HOST桥接虚拟机网卡。1.2 安装...
华三模拟器中的remote实现简单组网
weixin_46639226的博客
06-11 1805
局域网内通过remote设备实现组网 remote又叫远端虚拟网络代理,那他到底是怎么使用的呢,比如我们的电脑内存不够,只能带起来模拟器中的5台设备,但是你需要10台设备来组网,这时你就需要用到remote设备,把组网图给分割出来,一半在你电脑上,一半在另一台电脑上;中间通过remote设备相连; 实验需求: 1.两台电脑 2.两台电脑能够ping通(最简单的办法就是连接到同一台wifi路由器上) 实验拓扑 电脑1拓扑 电脑2拓扑 为什么不连线,因为这时remote设备没有配置,无法连线; 先在两台电脑
华三模拟器telnet远程登录
weixin_34381666的博客
05-16 936
H3C模拟器Telnet远程登录 1.在模拟器上打开一个服务器并启动该设备,在连接一个本地主机,如图所示:2.打开MSR36-20_1设备并配置它(1)网络相连端口的IP地址(2)打开Telnet服务器功能(3)进入vty用户界面(4)配置密码(5)设置服务器类型(6)设置用户级别如图所示:3.在本机上添加一个虚拟网卡如图所示:4.在虚拟网卡上面配置IP地址如图所示:5.在控制面板里面打开Teln...
H3C防火墙应用
weixin_34327761的博客
01-21 411
1、H3C secPath F1000-A-E1防火墙:支持外部***防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。安全区域优先级:非受信区(untrust): 5非军事化区(dmz): 50受信区(trust): 85本地区域(local): 100管理区域(manage): 1002、ipsec ***的配置:实现两个内网互访①配置访问控制列表,匹配保护的数据...
H3C模拟器单臂路由配置实例
daubee5963的博客
11-16 1065
单臂路由:用802.1Q和子接口实现VLAN间路由 单臂路由利用trunk链路允许多个VLAN的数据帧通过而实现 网络拓扑图:    RTA配置:    SW1配置:    PC1/2配置如图:   但是值得注意的是,在配置PC时应当注意配置它们的网关,否则两台PC是无法ping通的 测试两台主机连通性:       RTA路由表:    转载于:ht...
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值