华三ipsec 配置分析、举例

已于 2024-01-29 14:06:07 修改
阅读量1.1k 收藏 21
点赞数 19
文章标签: 网络 运维 智能路由器
于 2024-01-29 14:01:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/undoshutdown/article/details/135910324
版权

注意!internet 靠routerA,IP为2.2.2.2,靠routerB,IP为2.2.3.2。

如图,Router A和 Router B模拟的是两个内部网络的出口设备,本案例为路由器。

Router A和 Router B建立ipsec隧道,使得internet中的设备不需要做任何的配置更改,即可完成由一个局域网到另一个局域网的通信,在大量场景中实际运用。

router A:

int g0/2                                                 //进入wan口
ip add 2.2.2.1 24                              //配置地址
quit

int g0/1 

ip add 10.1.1.1.1 24

quit

ip route-static 0.0.0.0 0 2.2.2.2           //根据需求配置默认路由,需要走ips隧道的下一跳地址

router B:

int g0/2                                                 //进入wan口
ip add 2.2.3.1 24                              //配置地址
quit

int g0/1 

ip add 10.1.2.1.1 24

quit

ip route-static 0.0.0.0 0 2.2.3.2            //根据需求配置默认路由,需要走ips隧道的下一跳地址

routerA:

acl num 3001                                            //创建acl
rule 5 per ip sou 10.1.1.0 0.0.0.255 des 10.1.2.0 0.0.0.255  
quit                                                            //设置感兴趣的数据流,本地内地址到对端内地址

ipsec trans tran1                                      //开启ips,新建规则tran1
encapsulation-mode tunnel                      //转发模式设置为隧道转发
protocol esp                                              //协议类型默认esp
esp encry aes-cbc-128                              //加密类型 128比特
esp auth sha1                                           //密钥类型sha1
quit

routerB:

acl num 3001                                            //创建acl
rule 5 per ip sou 10.1.2.0 0.0.0.255 des 10.1.1.0 0.0.0.255  
quit                                                            //设置感兴趣的数据流,本地内地址到对端内地址.

ipsec trans tran1                                      //开启ips,新建规则tran1
encapsulation-mode tunnel                      //转发模式设置为隧道转发
protocol esp                                              //协议类型默认esp
esp encry aes-cbc-128                              //加密类型 128比特
esp auth sha1                                           //密钥类型sha1
quit

routerA:

ike key C1                                         //创建ike 钥匙 C1
pre-shared-key address   2.2.3.1 255.255.255.255 key simple 123456
quit      //邻居地址为对端出口设备地址,掩码网上找的资料都是255.255.255.0,配置上去隧道可以建立但无法转发,随即修改为3个255,可以转发,此处大家可以按照现实选择配置。
                                                        //配置明文密码123456

ike profile C1                         //创建ike 简介C1
keychain C1                            //引用之前配置的钥匙
match remote identity address 2.2.3.1 255.255.255.0 //配置对端出口设备ip
local-identity address 2.2.2.1                                   //本地设备IP。此处有的案例省略此条命令
quit

ipsec policy policy1 1 isakmp                          //新建ipsec 策略 policy1 序号1 
des C1                                                      //描述
transform-set tran1                                         //引用之前建立的IPSec加密规则
sec acl 3001                                                    //引用acl匹配感兴趣的数据
local-address  2.2.2.1                               //本地设备ip
remote-address 2.2.3.1                      //对端设备IP
ike-profile C1                                          //引用ike规则
quit

routerA:

ike key C1                                         //创建ike 钥匙 C1
pre-shared-key address   2.2.2.1 255.255.255.255 key simple 123456
quit      //邻居地址为对端出口设备地址,掩码网上找的资料都是255.255.255.0,配置上去隧道可以建立但无法转发,随即修改为3个255,可以转发,此处大家可以按照现实选择配置。
                                                        //配置明文密码123456

ike profile C1                         //创建ike 简介C1
keychain C1                            //引用之前配置的钥匙
match remote identity address 2.2.2.1 255.255.255.0      //配置对端出口设备ip
local-identity address 2.2.3.1                                   //本地设备IP。此处有的案例省略此条命令
quit

ipsec policy policy1 1 isakmp                          //新建ipsec 策略 policy1 序号1 
des C1                                                      //描述
transform-set tran1                                         //引用之前建立的IPSec加密规则
sec acl 3001                                                    //引用acl匹配感兴趣的数据
local-address  2.2.3.1                               //本地设备ip
remote-address 2.2.2.1                      //对端设备IP
ike-profile C1                                          //引用ike规则
quit

router A:

int g0/2
ipsec apply policy policy1                             //在设备wan口引用ipsec 策略 policy1
quit


routerB:

int g0/2
ipsec apply policy policy1                             //在设备wan口引用ipsec 策略 policy1
quit

不写其他路由的情况下,hostA到 hostB之前可以ping通就表示ipsec隧道建立成功了。

在internet上抓的包源地址为routerA 目的地地址为routerB。

其他验证方法网上找找这里就不多赘述。如果配置有遗漏或其他问题欢迎评论区留言

undoshutdown
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
华三交换机配置vrrp_实验演示
07-07
华三交换机配置vrrp_实验演示
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 5321
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
H3C IPsec VPN 野蛮模式配置
最新发布
bfq05234214的博客
03-10 1019
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
H3C路由器与防火墙建立IPSEC
Rzcarmen的博客
10-11 1009
需要与路由器一端配置一致。需要与路由器一端配置一致。
H3C防火墙公网固定地址到华为云搭建IPSEC-SITEtoSITE配置案例
aalmost的博客
08-30 1240
配置需求及实现的效果 总部和分部各有一台防火墙部署在互联网出口,因业务需要两端内网需要通过VPN相互访问。IP地址及接口规划如下表所示: 组网图 H3C防火墙IPSEC VPN策略配置 #在“网络”>“VPN”>“策略”中点击新建。 #在“基本配置”中“接口”选择接入外网的1/0/3接口,“优先级”设置为1(优先级代表了策略匹配顺序,当存在多条VPN隧道时需要对各VPN隧道优先级进行设置),“认证方式”选择域共享密钥,建立VPN两端隧道的域共享密钥必须一致。对端ID设置对IP地址即分公司公
华三交换机配置手册
12-10
01 华三交换机配置手册
华三IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 1808
本篇讲的是新华三IPsec VPN的配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 6026
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
H3C IPSec配置手记
cthomson的博客
09-23 3650
以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。
H3C_IPSec(主模式)及NAT转换综合配置案例
zsisle的博客
10-26 1418
本案例将以IPSec的主模式来演示出口路由如何配置IPSec来达到内网互通以及NAT转换来访问外网。
华三防火墙配置IPSec隧道
a2317077531的博客
06-30 8993
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168.11.1 255.255.25
华三配置绑定命令.txt
03-05
ip和Mac地址的绑定命令
华三交换机通用配置命令详解
10-20
华三交换机开局常用配置命令,适合小白初学者学习,配置通用直接可以拷贝使用。
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
华三DHCP配置实验报告
12-27
华三DHCP配置实验报告,含网络拓扑图,详细的实验过程截图,实验结果以及实验分析总结。
华三DHCP及DHCP 中继实验配置
07-07
华三DHCP及DHCP 中继实验配置
基于HCL模拟器华三设备IPsec vpn的配置实验
WANGMH13的博客
08-01 5117
基于HCL模拟器华三设备IPsec vpn的配置实验
华三路由器ER3260 ipsec配置
ye_hua的博客
08-11 1517
路由器ipsec vpn 配置笔记
企业网络安全架构设计之IPSec VPN应用配置举例
while_if的博客
06-16 4310
现网场景中分支机构需要访问总部内网资源进行办公与协作,如果将内网资源映射至公网上存在安全风险,增加网络受威胁面。 为解决如上场景问题,需要在公网采用VPN技术,构建隧道对数据进行加密从而保证数据访问的安全性。 本文章主要侧重于架构设计与实现,具体技术原理可参考理论部分。
华三 IPSec 主模式配置
08-16
华三 IPSec 主模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数。使用命令[R1ipsec policy r3 1 isakmp来创建策略,其中包括配置安全 ACL、IKE 配置文件、变换集和远程地址。 3. 最后,在 AR3 上同样进行 IPSec 隧道的配置。进行 ping 测试,然后查看 IKE SA 和 IPSec SA 是否建立成功。 请注意,上述只是华三 IPSec 主模式配置的简要步骤,具体的命令和配置参数可能会根据实际情况有所不同。在实际操作中,请参考相关设备的官方文档或咨询华三技术支持以获取更详细的配置步骤和指导。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [基于HCL模拟器华三设备IPsec vpn的配置实验](https://blog.csdn.net/WANGMH13/article/details/126103774)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [H3C配置IPSec(与华为的ipsec对比说明)主模式](https://blog.csdn.net/weixin_45123715/article/details/121203082)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

undoshutdown

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值