华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)

已于 2023-12-29 11:04:57 修改
阅读量1.1k 收藏 16
点赞数 11
分类专栏: 防火墙 文章标签: 智能路由器 网络
于 2023-12-28 20:28:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74338624/article/details/135274940
版权

一.拓扑以及介绍

        其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。

二.配置思路

        

三.配置

        华三web界面可以直接创建策略组在里面配置阶段一阶段二,并匹配acl和接口调用。

        (配置前提是在路由协议基础下实现两端可达)

一下操作都在策略(map)里面

按照从上到下的顺序1.匹配对端2.阶段一3.acl4.阶段二并调用

正常来说为1.阶段一2.阶段二3.匹配对端,acl,调用

1.策略初始化并匹配对端

2.阶段一配置

3.acl调用

4.阶段二配置

5.对端也采用同样的配置方法即可

四.华三防火墙NAT穿越的特殊性

1.注意事项

        华三上面当同事存在VPN和NAT的时候,会优先匹配VPN的acl并加以封装,再匹配NAT,所以说正常配置vpn的匹配acl和转公网的acl就行

        原因:我原本ipsec vpn和nat都是高级acl精准匹配了原目地址,能实现pc和对端建立连接以及上网。
                   但我把vpn的acl原目地址改anyany后,不可以上网到isp,但仍可以到对端了(因该是匹配上vpn的acl进行封装了)。可是nat穿越问题优先匹配nat的acl再匹配vpn的acl

2.问题

        r1要实现vpn的同时实现上网

3.解决方法

        (1)vpn上精准匹配

        (2)nat正常配置

        不用考虑过多,正常配置就行,思科是先进行NAT再进行VPN所以说要多考虑一步

五.关于安全策略的配置

        一共分为三种

        一是站点和站点之间来回IKE一二阶段来回协商的IKE报文

        二是pc到pc之间传递的穿越流量

        三是ipsec加密之后站点和站点之间的ipsec-esp或则ipsec-ah报文

六.尾言

本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。

肥灯儿哥哥
关注
  • 11
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
H3C华三 SecPath1800F防火墙NAT Server一对多地址映射的典型配置
07-12
解决需求:对内网服务器提供不同的服务独立做NATServer映射。
H3C-防火墙L2TP VPN的配置方法(华三
m0_68265458的博客
04-10 1099
H3C-防火墙L2TP VPN的配置方法(华三
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 5712
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
实际中可能遇到的NAT问题IPsec
weixin_30265103的博客
12-13 586
一、背景介绍:一般我们在实际网络中不是IPSec VPN的时候,都是边界设备连接Internet,然后两个边界设备通过Internet去实现互通,建立VPN,但是,有的运营商在分配IP地址的时候,给我们使用的地址可能会在运营商的设备上再完成一次NAT,这样将会导致我们的IPSec VPN无法建立,我做了一个测试,简单搭建的拓扑图如下: R1作为一个分支站点的边界路由去,R2和R3是作为运营...
H3C防火墙IPsec综合实验
qq_45049184的博客
03-08 6229
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
华三模拟器(防火墙)实现IPSEC穿越NAT实验
qq_43590351的博客
11-30 9245
华三模拟器(防火墙)实现IPSEC穿越NAT实验 实验拓扑 接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置 FW1 步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段 [FW1] acl advanced 3002 [FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.
安全设备-华为防火墙NAT环境配置IPSec
qq_43381463的博客
11-03 3174
在华为防火墙NAT环境下配置IPSec——NAT穿透
华三模拟器(路由器)实现ipsec穿越NAT实验
qq_43590351的博客
11-29 3780
IPSEC VPN 实验拓扑 接口及路由配置省略,R1和R3配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 接下来主要配置IPSEC VPN,如下配置 R1配置 R1配置 步骤一:在R1上创建感兴趣流,匹配两端私网地址网段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 步骤二:在 R1 上创建IKE提议,配置验证模式为预共
H3C-IPsec VPN分支间通过总部互访
Linux基础知识、计算机网络基础学习分享。
03-12 1013
最近公司准备上个项目,然后使用的是私有云部署模式,我们这边是有总部和分支,总部和分支采用标准IPsec VPN,现在私有云也通过IPsec VPN接入总部相当于一个分支,但是由于我们分支比较多,因此这边各分支访问业务是通过总部进行中转的方式。简单说就是在总部和分部间防火墙公网间建立一个隧道,识别到总部到分部间的流量就走隧道,怎样识别呢?分支通过总部通信的原理就是感兴趣的匹配上,比如在分支到总部的acl中定义到SAP的感兴趣流,然后在SAP到总部的acl添加到事业部的感兴趣流,nat的acl也需要拒绝掉。
H3C路由器防火墙建立IPSEC
Rzcarmen的博客
10-11 1081
需要与路由器一端配置一致。需要与路由器一端配置一致。
H3C华三 SecPath防火墙nat server over pppoe的典型配置组网
07-12
PC通过PPPOE拨号上网,公司内部WEB服务器、邮件服务器和FTP服务器 需要映射到公网。
H3C华三 SecPath防火墙和MA5200G互联时NAT Server的经验案例
07-12
组网说明 SecPath1000F作为出口防火墙,DMZ区的服务器做NATServer;运营商接 入设备为MA5200G,分配了一段公网地址给用户。 故障现象 外网用户PC2不能访问DMZ区的服务器,但是如果PC1连接到SecPath1000F 的外网口,则可以正常访问。
深信服IPSec VPN MIG 4.3用户手册
05-04
深信服IPSec VPN MIG 4.3用户手册
基于华三HCL的web下H3C防火墙NAT代理内网上网情景中配置IPsecVPN站点间互联
最新发布
04-15
适用于H3C防火墙配置学习 在防火墙代理内网上网的情境下,完成与分支总部的IPSE互联 具体配置可见实验内文字说明。 防火墙用户名:admin 密码:TEST@123456 实验拓扑中HOST_1用于直连本地网卡 进行防火墙web配置前...
防火墙IPSec VPNNAT 穿透-单侧 NAT
weixin_44080599的博客
06-02 1673
奇安信防火墙 IPSEC VPN 详解
H3C CLI基础笔记(设备访问——Ipsec NAT穿越
weixin_33979203的博客
01-08 712
引入 ·可以通过Console、AUX、Telnet和SSH多种途径,搭建网络设备配置环境·H3C Comware在上述配置方法中使用的命令行采用了配置权限的分级控制访问网络设备命令行接口的方法·通过Console口本地访问·通过AUX口远程访问(可用电话modem,走PSTN调试)·使用Telnet终端访问·使用SSH终...
华三IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 2092
本篇讲的是新华三IPsec VPN的配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值