华为IPsec实现支部与支部间借助总部进行隧道中转

最新推荐文章于 2022-09-09 09:47:44 发布
最新推荐文章于 2022-09-09 09:47:44 发布
阅读量534 收藏 3
点赞数
分类专栏: 网络技术 华为 HCIA/HCIP sercurity 文章标签: 安全 IPsec 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/123996696
版权
网络技术 同时被 3 个专栏收录
134 篇文章 20 订阅
订阅专栏
华为
100 篇文章 14 订阅
订阅专栏
HCIA/HCIP sercurity
88 篇文章 17 订阅
订阅专栏
本文详细介绍了如何通过设置IPsec安全联盟(SA)和感兴趣流,实现总部与两个分支机构之间的加密隧道通信。首先,确保总部与每个分支机构建立IPsecSA,然后在各防火墙上配置相应的感兴趣流,例如支部1的192.168.2.0/24到支部2的192.168.3.0/24,以及相反方向的流。通过这种方式,流量能够通过隧道安全转发,实现分支机构间的加密通信。
摘要由CSDN通过智能技术生成

如图所示,左边的防火墙是总部,中间的防火墙是支部1,右边的防火墙是支部2,三台防火墙我用cloud进行web界面管理。

如果要实现支部1借助总部和支部2之间的隧道进行加密通信,那么该如何实现?

1、保证总部与支部1,支部2之间建立好IPsec SA

这是一个毋庸置疑的前提,因为只有总部建立好了隧道之后,它们之间才能进行隧道转发

2、感兴趣流的设置

在这种转发模式下,感兴趣流是十分关键的,因为只有隧道双方的感兴趣流一致后才能进行隧道加密转发。下面是三台防火墙的感兴趣流设置:

 ​​​

 

 因为支部之间需要进行隧道加密转发,所以我们必须创建相对应的感兴趣流,这样才能保证对应的流被隧道转发出去,总部是一个关键点,因为它要承载支部与支部之间隧道流量,所以它也要创建相对应的感兴趣流,不然将导致支部间的流量无法进行隧道转发。如上面几张图所示:

支部1为了可以借助总部去往支部2创建了感兴趣流:192.168.2.0/24 ---->192.168.3.0/24

支部2为了可以借助总部去往支部1创建了感兴趣流:192.168.3.0/24 ---->192.168.2.0/24

总部为了可以与支部1互为镜像流去承载相关转发流量创建感兴趣流:

192.168.3.0/24--->192.168.2.0/24 

总部为了可以与支部2互为镜像流去承载相关转发流量创建感兴趣流:

192.168.2.0/24--->192.168.3.0/24

通过IPsec绕过公司机房服务器网络限制,实现虚拟化实验环境的上网
weixin_34146805的博客
03-12 1846
需求:解决机房服务器虚拟化实验环境的上网问题。背景:部署虚拟化环境学习技术,公司服务器管理网络不能上外网,办公内网可以上外网。因是实验环境,不想改变网络,加之安全考虑,要自己控制上网时。使用IPsec技术,利用路由软件,让虚拟化环境网络通过×××隧道到达办公电脑,NAT后上互联网。实现网络拓扑: 机房管理网络:172.16.27.0/24(仅内网互联)办公内网网络:172.16.19.0/24...
华为IPSEC总部对多点的配置
suweichao的博客
12-30 4675
ipsec总部对多点配置命令配置 学了两个月的HCNA,网上搜索仅有一点对一点的ipsec配置,现在自己能做一点对多点了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
两分公支的IPSec***流量总部测试
weixin_34049032的博客
10-21 301
一.概述: 在论坛上看到一个朋友发帖希望两个分支的IPSEC ***流量经过总部,如是搭建拓扑测试了一下,因为跑两个VM版的ASA8.42机器性能不过,所以用PIX8.0来代替ASA,应该主要配置都跟ASA8.0差不多。二.基本思路:A.两个分支的互访流量利用已有的到总公司的IPSec ***连接B.修改感兴趣,使得分支到分支的流量能走总部再到分支三.测试拓扑:四.基本配置:A.广州总部防火墙FW...
ipsec ikev2 中转
潇峰的博客
08-02 351
changxing站点与chengdu和aliyun分别建立vpn隧道使得vpc 和vpc6通信 changxing站点配置 Router#sh run Building configuration... Current configuration : 2715 bytes ! ! Last configuration change at 14:41:58 EET Mon Aug 2 2021 ! version 15.4 service timestamps debug da..
ssh隧道原理及三种隧道转发模式
qq_38844490的博客
09-09 4589
端口转发是SSH协议的一项功能,它允许您在其中一个主机上指定一个端口,并将该端口上的网络连接转发到另一台主机上的端口,使用SSH连接作为代理。端口转发可以实现功能:1. 本地转发远端。通过跳板机访问远端内网服务器。2. 远端转发本地。内网穿透。3. 动态端口转发
华为防火墙配置IPSEC实现二个站点网络互通 隧道模式 web配置(二)
m0_60444349的博客
08-10 9014
企业IPSEC VPN组网方案目 录近年来,VPN技术以其可以利用公共网络资源,建立安全可靠、经济便捷、调整转输等特点引起了企业的广泛关注,随着信息化建设的深入以及解决企业分支机构与总部的资源共享和访问、端到端的数据转输的安全性等问题,VPN的应用也显示出它的强大优势。在各行业中基于VPN的解决方案已得到了成功应用,且能有效地降低企业组网成本,同时也为XX公司的信息化建设提供了可参加的模板。..............................
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙IPsec总部与分部web配置
liu6512005的博客
06-19 5413
总部IPSEC配置: 1、接口配置 2、ipsec配置 总部与分部的加密方式保持一致 3、安全策略 分支1的IPSEC配置: 1、接口配置 2、安全策略 3、ipsec配置 分支2的IPSEC配置: 1、接口配置 2、安全策略 3、ipsec配置 ...
华为设备IPsec简单配置
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之的通信,通过IPsec VPN可以实现主机和主机之、主机和网关之、网关和网关之建立安全隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
华为路由器实现ipsec
热门推荐
a_helloworlds的博客
01-15 2万+
ipsec,指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中,没有包括基于安全的设计,任何人,只要能够搭入线路...
Gost加密隧道中转方案搭建及原理讲解
qq_32581869的博客
04-11 1万+
GOST加密隧道介绍: GOST是一款用GO语言实现安全隧道软件,gost安全隧道使用的是 Relay+tls 的协议,将流量加密并混淆成普通的上网流量,让流量特征监控失效。Relay协议同时具有代理和转发功能,可同时处理TCP和UDP的数据,并支持用户认证。TLS是一种加密传输协议,用于在两个通信应用程序之提供保密性和数据完整性。 Gost 隧道需要两端,即服务端与客户端才能组成一条加密隧道, 所以需要一台境外服务器做服务端,同时在你的本地也需要一台客户端(可以是矿机本身,也可以是任意一台能运行
华为IPSec解决方案
DREW德鲁
07-30 2506
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。 机密性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送数据。 完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。 防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。 其他安全要求:源认证(确认信息真实的发送者和接收者)、不可否
SSH加密隧道之端口转发
anquanzushiye的博客
01-10 2260
简介SSH会自动加密和解密所有SSH客户端与服务端之网络数据,还能够将其他TCP端口的网络数据通过SSH连接进行转发,并且自动提供了相应的加密及解密服务,这一过程被叫做“SSH隧道”...
网络中的加密传输隧道IPSEC
qq_39396529的博客
11-24 4775
IPSEC VPN 安全:{私密性、完整性、不可否认性(合法性:认证)}(黄金三角) 防重放攻击、防中人攻击 私密性:实现,对称加密算法、非对称加密算法(核心:用非对称加密算法传递对称加密算法的私钥) 对 称:DES 3DES AES,传递K,通过物理传递。 非对称:D iffie-Hellman算法 用来传递公钥 RSA算法 公钥加密私钥解密 1000位以后的质...
华为路由器通过IPsec实现总部和分支私网通信实例
NeverGUM的博客
02-17 2460
用户需求背景 榆林总部和西安分支现申请了两个公网IP,现在需要搭建IPsecPN实现私网互通,即192.168.1.0 访问192.168.2.0;(CSDN原因,关键字不能打全) 总部和分支192.168.1.0-192.168.2.0需要访问公网,用于测试12.12.12.12; 网络拓补图 配置思路 在总部和分支分别配置IP地址,打通内网,并设置去公网的默认路由; 内网用户上网需求实现,使用NAT转换; 两端分别创建IPsec,调用,最后实现访问分支; 实验...
标准机柜整体参数
qq_47529104的博客
11-16 1万+
1U=44.5mm 标准机柜是指内部安装尺寸为482mm的机柜(注意这里指的是内部安装尺寸)。而一般机柜的外部尺寸是600mm或者800mm,服务器的机柜一般是600mm,因为布线可能不是很多,但是对于网络机柜,因为它可能要负责一个地区的网络组网,所以就需要大量的线缆连接到这些网络设备上,于是需要800mm宽的机柜,在机柜的两侧可以用来整理线缆。比如我们可以将配线架正面延申出来的线缆放在配线架上,然后再从配线上连接至网络设备上。 然后就是机柜的深度,一般也是选择600mm或者800mm,考虑成本可以选
IPsec的NAT穿越详解
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
华为防火墙链路检测工具(IP-LINK,BFD)
qq_47529104的博客
03-21 1万+
IP-LINK 三个检测周期15s后未收到响应报文则认为故障 收到三次响应后才认为故障消除 ip-link xxx //创建ip-linkdestination 1.1.1.1 interface xxx mode xx next-hop 2.2.2.2ip-link check enable //开启ip-link检查 tx-interval xx //设置发送隔 times xx //设置超时次数 display ip-link//显示iplink IP-link作为一个链路测试工具,...
华为:ppp链路协商抓包分析(详细)
qq_47529104的博客
08-08 8732
首先简单说一下ppp配置的流程。 1、在服务端将链路的封装类型设置为ppp,在服务端创建用来验证的本地用户。(还有一些是用别的服务器存用户数据)。 2、在服务端上设置验证协议,比如pap或者chap 3、在客户端上同样将链路的封装类型配置为ppp。然后将向服务端提供用户信息,验证成功即可 简单来说就是上面的步骤 首先我们使用抓包软件先来看以下LCP,是如何建立链路的连接的。 华为的路由器在串线上默认使用的就是PPP协议,所以我们先看一下两台路由器使用串线连接之后,线路上的数据包。 当你连接
华为VRRP与BFD联动配置实现快速切换详解
"华为配置VRRP与BFD联动实现快速切换" VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是网络中常用的一种设备冗余备份技术,用于确保网络服务的高可用性。在VRRP中,多台路由器共享一个虚拟...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值