USG6000V通过IKE方式协商IPSec(采用预共享秘钥认证)

最新推荐文章于 2024-06-16 21:52:17 发布
最新推荐文章于 2024-06-16 21:52:17 发布
阅读量2.1k 收藏 29
点赞数 3
分类专栏: # 防火墙 文章标签: ipsec
本文为博主原创文章,未经博主允许不得转载。如有疑问,请在该文章中留言联系博主,谢谢!!
本文链接:https://blog.csdn.net/tladagio/article/details/114578598
版权

网络拓扑:

操作步骤

一、配置FW1

1、配置接口IP地址

<USG6000V1>system-view
[USG6000V1]sysname FW1
[FW1]interface  GigabitEthernet  1/0/1
[FW1-GigabitEthernet1/0/1]ip address  1.1.1.1 24
[FW1-GigabitEthernet1/0/1]q

[FW1]interface  GigabitEthernet  1/0/3
[FW1-GigabitEthernet1/0/3]ip address  192.168.1.254 24
[FW1-GigabitEthernet1/0/3]q

2、配置接口加入对于安全区域

[FW1]firewall zone  trust
[FW1-zone-trust]add  interface  GigabitEthernet  1/0/3
[FW1-zone-trust]q

[FW1]firewall zone  untrust
[FW1-zone-untrust]add  interface  GigabitEthernet  1/0/1
[FW1-zone-untrust]q

3、配置域间安全策略(配置Local域和Untrust域的域间安全策略的目的为允许IPSec隧道两端设备通信,使其能够进行隧道协商。)

[FW1]security-policy
[FW1-policy-security]rule name policy1	
[FW1-policy-security-rule-policy1]source-zone  trust
[FW1-policy-security-rule-policy1]destination-zone untrust
[FW1-policy-security-rule-policy1]source-address 192.168.1.0 24
[FW1-policy-security-rule-policy1]destination-address 172.16.1.0 24
[FW1-policy-security-rule-policy1]action permit
[FW1-policy-security-rule-policy1]q

[FW1-policy-security]rule name policy2	
[FW1-policy-security-rule-policy2]source-zone  untrust	
[FW1-policy-security-rule-policy2]destination-zone trust
[FW1-policy-security-rule-policy2]source-address 172.16.1.0 24
[FW1-policy-security-rule-policy2]destination-address 192.168.1.0 24
[FW1-policy-security-rule-policy2]action permit 
[FW1-policy-security-rule-policy2]q

[FW1-policy-security]rule name policy3	
[FW1-policy-security-rule-policy3]source-zone local
[FW1-policy-security-rule-policy3]destination-zone untrust
[FW1-policy-security-rule-policy3]source-address 1.1.1.1 32	
[FW1-policy-security-rule-policy3]destination-address 2.2.2.1 32
[FW1-policy-security-rule-policy3]action permit 
[FW1-policy-security-rule-policy3]q

[FW1-policy-security]rule name policy4
[FW1-policy-security-rule-policy4]source-zone untrust
[FW1-policy-security-rule-policy4]destination-zone local
[FW1-policy-security-rule-policy4]source-address 2.2.2.1 32	
[FW1-policy-security-rule-policy4]destination-address 1.1.1.1 32
[FW1-policy-security-rule-policy4]action permit 
[FW1-policy-security-rule-policy4]q

4、配置静态路由

[FW1]ip route-static 0.0.0.0 0 1.1.1.2

5、定义被保护的数据流

[FW1]acl 3000
[FW1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination  172.16.1.0 0.0.0.255
[FW1-acl-adv-3000]q

6、配置IPSec安全提议

[FW1]ipsec proposal tran1	
[FW1-ipsec-proposal-tran1]esp authentication-algorithm sha2-256	
[FW1-ipsec-proposal-tran1]esp encryption-algorithm aes-256 
[FW1-ipsec-proposal-tran1]q

7、配置Ike安全提议

[FW1]ike proposal 10
[FW1-ike-proposal-10]authentication-method pre-share
[FW1-ike-proposal-10]authentication-algorithm sha2-256
[FW1-ike-proposal-10]prf hmac-sha2-256
[FW1-ike-proposal-10]encryption-algorithm aes-256
[FW1-ike-proposal-10]dh group14
[FW1-ike-proposal-10]integrity-algorithm hmac-sha2-256 
[FW1-ike-proposal-10]q

8、配置Ike peer(采用预共享秘钥)

[FW1]ike peer b
[FW1-ike-peer-b]ike-proposal 10
[FW1-ike-peer-b]remote-address 2.2.2.1
[FW1-ike-peer-b]pre-shared-key admin@123
[FW1-ike-peer-b]q

9、配置IPSec策略

[FW1]ipsec policy map1 10 isakmp
[FW1-ipsec-policy-isakmp-map1-10]security acl 3000	
[FW1-ipsec-policy-isakmp-map1-10]proposal tran1
[FW1-ipsec-policy-isakmp-map1-10]ike-peer b
[FW1-ipsec-policy-isakmp-map1-10]q

10、接口应用IPSec策略

[FW1]interface  GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ipsec policy map1 
[FW1-GigabitEthernet1/0/1]q

二、配置FW2

1、配置接口IP地址

<USG6000V1>system-view
[USG6000V1]sysname FW2
[FW2]interface  GigabitEthernet  1/0/3
[FW2-GigabitEthernet1/0/3]ip address  172.16.1.254 24
[FW2-GigabitEthernet1/0/3]q

[FW2]interface  GigabitEthernet  1/0/1
[FW2-GigabitEthernet1/0/1]ip address 2.2.2.1 24
[FW2-GigabitEthernet1/0/1]q

2、配置接口加入对于安全区域

[FW2]firewall zone  trust
[FW2-zone-trust]add  interface  GigabitEthernet  1/0/3
[FW2-zone-trust]q

[FW2]firewall zone  untrust
[FW2-zone-untrust]add  interface  GigabitEthernet  1/0/1
[FW2-zone-untrust]q

3、配置域间安全策略

[FW2]security-policy
[FW2-policy-security]rule name policy1
[FW2-policy-security-rule-policy1]source-zone trust
[FW2-policy-security-rule-policy1]destination-zone untrust
[FW2-policy-security-rule-policy1]source-address 172.16.1.0
[FW2-policy-security-rule-policy1]destination-address 192.168.1.0 24
[FW2-policy-security-rule-policy1]action permit 
[FW2-policy-security-rule-policy1]q

[FW2-policy-security]rule name policy2	
[FW2-policy-security-rule-policy2]source-zone untrust
[FW2-policy-security-rule-policy2]destination-zone trust
[FW2-policy-security-rule-policy2]source-address 192.168.1.0 24
[FW2-policy-security-rule-policy2]destination-zone 172.16.1.0 24
[FW2-policy-security-rule-policy2]action permit 
[FW2-policy-security-rule-policy2]q

[FW2-policy-security]rule name policy3	
[FW2-policy-security-rule-policy3]source-zone local
[FW2-policy-security-rule-policy3]destination-zone untrust
[FW2-policy-security-rule-policy3]source-address 2.2.2.1 32
[FW2-policy-security-rule-policy3]destination-address 1.1.1.1 32
[FW2-policy-security-rule-policy3]action permit 
[FW2-policy-security-rule-policy3]q

[FW2-policy-security]rule name policy4
[FW2-policy-security-rule-policy4]source-zone untrust	
[FW2-policy-security-rule-policy4]destination-zone local
[FW2-policy-security-rule-policy4]source-address 1.1.1.1 32
[FW2-policy-security-rule-policy4]destination-address 2.2.2.1 32
[FW2-policy-security-rule-policy4]action permit 
[FW2-policy-security-rule-policy4]q

4、配置静态路由

[FW2]ip route-static 0.0.0.0 0 2.2.2.2

5、定义被保护的数据流

[FW2]acl 3000
[FW2-acl-adv-3000]rule permit ip source  172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[FW2-acl-adv-3000]q

6、配置IPSec安全提议

[FW2]ipsec proposal tran1
[FW2-ipsec-proposal-tran1]esp authentication-algorithm sha2-256	
[FW2-ipsec-proposal-tran1]esp encryption-algorithm aes-256 
[FW2-ipsec-proposal-tran1]q

7、配置Ike安全提议

[FW2]ike proposal 10
[FW2-ike-proposal-10]authentication-method pre-share	
[FW2-ike-proposal-10]authentication-algorithm sha2-256	
[FW2-ike-proposal-10]prf hmac-sha2-256
[FW2-ike-proposal-10]encryption-algorithm aes-256	
[FW2-ike-proposal-10]dh group14
[FW2-ike-proposal-10]integrity-algorithm hmac-sha2-256 
[FW2-ike-proposal-10]q

8、配置Ike peer(采用预共享秘钥)

[FW2]ike peer a
[FW2-ike-peer-a]ike-proposal 10	
[FW2-ike-peer-a]remote-address 1.1.1.1 
[FW2-ike-peer-a]pre-shared-key admin@123
[FW2-ike-peer-a]q

9、配置IPSec策略

[FW2]ipsec policy map1 10 isakmp
[FW2-ipsec-policy-isakmp-map1-10]security acl 3000	
[FW2-ipsec-policy-isakmp-map1-10]proposal  tran1	
[FW2-ipsec-policy-isakmp-map1-10]ike-peer a
[FW2-ipsec-policy-isakmp-map1-10]q

10、接口应用IPSec策略

[FW2]interface  GigabitEthernet  1/0/1
[FW2-GigabitEthernet1/0/1]ipsec policy map1 
[FW2-GigabitEthernet1/0/1]q

三、配置ISP

1、配置接口IP地址

<Huawei>system-view 
[Huawei]sysname ISP

[ISP]interface  GigabitEthernet 0/0/1
[ISP-GigabitEthernet0/0/1]ip address  2.2.2.2 24
[ISP-GigabitEthernet0/0/1]q

[ISP]interface  GigabitEthernet 0/0/0
[ISP-GigabitEthernet0/0/0]ip address 1.1.1.2 24
[ISP-GigabitEthernet0/0/0]q

四、验证

1、ping测试

2、查看结果

友人a笔记
关注
  • 3
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HUAWEI USG6000V, USG9000V V500R005C10 产品文档
04-21
HUAWEI USG6000V, USG9000V V500R005C10 产品文档i
HUAWEI USG6000 V100R001 全图化Web典型配置案例(V2.0).pdf
10-13
HUAWEI USG6000 V100R001 全图化Web典型配置案例(V2.0).pdf
配置使用IPSec VPN(两个站点之间)
最新发布
m0_75102488的博客
06-16 929
华为eNSP防火墙配置
ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道(web网页版)
weixin_43996007的博客
01-26 8137
ensp模拟器使用USG6000V防火墙模拟搭建点到点的IPSec 隧道 IPSec介绍 IPSec的英文是Internet Protocol Security,是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。 IPsec主要由以下协议组成: 一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。 二、封装安全...
(1.1.1)防火墙6000V安全策略介绍与配置
KSS_L的博客
06-30 958
统一网络管理”面向企业一体化融合运维管理解决方案,实现交换机,路由器,视频监控,服务器,PON设备及服务操作系统虚拟资源的统一管理。“安全实践管理中心”归档——全面的安全业务分析Log Center是安全实践管理中心是一套功能领先的面向行业用户的统一安全管理平台。功能:攻击事件类型排行,邮件过滤—(Anti—SPAM)、攻击事件趋势、入侵防御事件(IPS)是一台服务器做网络态势感知管理分析网络的一些趋势,是否受到攻击的大数据平台;
IPsec VPN 的基本配置
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
05-15 3099
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。R1 模拟公网部分。网络地址规划如下:A公司内网为 192.168.10.0/24B公司内网为 192.168.20.0/24A公司运营商公网网段 10.8.6.0/30B公司运营商公网网段 10.8.6.4/30。
USG6000V-enspv1.3 +virtualBox + USG6000V设备包
01-23
USG6000V-enspv1.3 +virtualBox + USG6000V设备包,华为USG6000V,基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,可以导入到ensp中
华为USG6000V镜像包.rar
12-02
华为ensp防火墙USG6000V镜像包
适用于eNSP 1.3.00 可加载的USG6000V防火墙设备包
03-30
适用于eNSP 1.3.00【V100R003C00】可加载的USG6000V防火墙设备包,导入后直接开机使用,亲测可用
USG6000v设备包和NE5000E设备包
04-17
该资源为eNSP的USG6000v防火墙设备包以及NE5000E设备包,下载导入即可使用,防火墙默认账号密码为:user:admin password:Admin@123
L2TP_OVER_IPSEC功能
08-18
H3C L2TP_OVER_IPSEC功能
防火墙配置IPSec VPN【IPSecVPN概念及详细讲解】
h1008685的博客
04-08 1917
ipsecvpn技术详细讲解,防火墙配置ipsec,NAT连用IPSecVPN问题解决思路
安全设备-华为防火墙NAT环境配置IPSec
qq_43381463的博客
11-03 3362
在华为防火墙NAT环境下配置IPSec——NAT穿透
004-华为eNSP实验-防火墙 USG6000V
热门推荐
m0_37736190的博客
11-27 1万+
本章知识点 导入USG6000V防火墙设备 1、导入防火墙USG6000V设备 新建一个USG6000V 导入一个设备包(从 陈海峰 分享拿 https://forum.huawei.com/enterprise/zh/thread-584872.html#pid3269990) 2、启动USG6000V 一直###
在eNSP模拟器上使用USG 6000v配置虚拟专用网络
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
05-30 3216
Hub-Spoke组网的专用网络搭建
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2101
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
IPsec共享密钥验证方式下的隧道协商详解
qq_47529104的博客
12-15 5121
看本篇文章需要懂得对称,非对称加密,相关基础安全知识 IPsec大概简述 IPsec是一个协议簇,它是通过多个协议的 互相组合最后达成一个安全的通信。当IPsec的连接建立之后,会在数据包中的层次之间添加用于安全相关的包头。 这些后添加的包头的内容并不复杂,复杂的内容在于双方该如何使用相同的加密算法,在定义了加密算法之后,双方又该使用什么样的签名算法去保证数据没有被人改动过,除此之外我们又该如何保证对端就是我们通信的人。除此之外在IPsec中,我们使用的加密算法是对称加密,虽然非对称加密看起来比较的不
华为USG6000v防火墙详尽配置教程与故障排除
华为防火墙USG6000v配置详细教程 本资源是一份针对华为ensp模拟软件环境下的USG6000v防火墙配置指南,由经验丰富的肖哥整理。这份文档主要目的是为了帮助学习者通过模拟实验深入理解防火墙的配置过程和技术要点。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

友人a笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值