华三IPSec配置(主模式)

于 2024-09-27 09:59:48 发布
阅读量362 收藏
点赞数 6
分类专栏: 华三交换路由学习 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44519575/article/details/142585988
版权

1.配置防火墙

(1)配置FW1

<H3C>system
[H3C]sysname FW1
[FW1]display interface brief
[FW1]interface gigabitethernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 2.2.2.1 24
[FW1-GigabitEthernet1/0/0]interface gigabitethernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 33.1.1.1 24
[FW1-GigabitEthernet1/0/1]quit
#配置缺省路由指向外网路由器
[FW1]ip route-static 0.0.0.0 0 33.1.1.2

#将接口加入防火墙区域
[FW1]security-zone name trust
[FW1-security-zone-Trust]import interface gigabitethernet 1/0/0
[FW1-security-zone-Trust]security-zone name untrust
[FW1-security-zone-Untrust]import interface gigabitethernet 1/0/1
[FW1-security-zone-Untrust]quit
#本实验主要目的是ipsec,所以此处将全部流量放行。
[FW1]security-policy ip
[FW1-security-policy-ip]rule 5 name test-pass
[FW1-security-policy-ip-5-test-pass]action pass
[FW1-security-policy-ip-5-test-pass]quit
[FW1-security-policy-ip]quit

#配置ike提议
[FW1]ike proposal 1
#配置认证方式为预共享密钥
[FW1-ike-proposal-1]authentication-method pre-share
#配置ike协商时使用的认证算法为SHA
[FW1-ike-proposal-1]authentication-algorithm sha
#配置ike协商时使用的加密算法为3DES
[FW1-ike-proposal-1]encryption-algorithm 3des-cbc
[FW1-ike-proposal-1]quit
#配置ike Keychain,在此处对预共享密钥进行配置,需指定对端地址。
[FW1]ike keychain 1
[FW1-ike-keychain-1]pre-shared-key address 55.1.1.2 key simple a123456789
#配置ike profile
[FW1]ike profile 1
#配置本端身份信息
[FW1-ike-profile-1]local-identity address 33.1.1.1
#配置所匹配的对端身份
[FW1-ike-profile-1]match remote identity address 55.1.1.2
#引用ike Keychain
[FW1-ike-profile-1]keychain 1
#引用porposal
[FW1-ike-profile-1]proposal 1
[FW1-ike-profile-1]quit

#配置ipsec安全提议
[FW1]ipsec transform-set 1
#配置esp使用的认证算法为sha1
[FW1-ipsec-transform-set-1]esp authentication-algorithm sha1
#配置esp使用的加密算法为3des-cbc
[FW1-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc
[FW1-ipsec-transform-set-1]quit

#通过acl,配置感兴趣流,抓取需要通过ipsec传输的数据
[FW1]acl advanced 3001
[FW1-acl-ipv4-adv-3001]rule 5 permit ip source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
[FW1-acl-ipv4-adv-3001]quit



#创建一条iek协商方式的IPsec安全策略,并进入IPsec安全策略视图。
[FW1]ipsec policy 1 1 isakmp
#指定对端地址
[FW1-ipsec-policy-isakmp-1-1]remote 55.1.1.2
#引用感兴趣流
[FW1-ipsec-policy-isakmp-1-1]security acl 3001
#引用ipsec安全提议
[FW1-ipsec-policy-isakmp-1-1]transform-set 1
#引用ike profile
[FW1-ipsec-policy-isakmp-1-1]ike-profile 1
[FW1-ipsec-policy-isakmp-1-1]quit
#在接口视图下应用ipsec策略
[FW1]interface gigabitethernet 1/0/1
[FW1-GigabitEthernet1/0/1]ipsec apply policy 1
[FW1-GigabitEthernet1/0/1]quit
[FW1]save force

(二)配置FW2,。(除了本端和对端地址反过来以外,其它配置均一致)

<H3C>system
[H3C]sysname FW2
[FW2]interface gigabitethernet 1/0/0
[FW2-GigabitEthernet1/0/0]ip address 1.1.1.1 24
[FW2-GigabitEthernet1/0/0]interface gigabitethernet 1/0/1
[FW2-GigabitEthernet1/0/1]ip address 55.1.1.2 24
[FW2-GigabitEthernet1/0/1]quit
[FW2]ip route-static 0.0.0.0 0 55.1.1.1

[FW2]security-zone name trust
[FW2-security-zone-Trust]import interface gigabitethernet 1/0/0
[FW2-security-zone-Trust]security-zone name untrust
[FW2-security-zone-Untrust]import interface gigabitethernet 1/0/1
[FW2-security-zone-Untrust]quit
[FW2]security-policy ip
[FW2-security-policy-ip]rule 0 name pass
[FW2-security-policy-ip-0-pass]action pass
[FW2-security-policy-ip-0-pass]quit
[FW2-security-policy-ip]quit

[FW2]ike proposal 1
[FW2-ike-proposal-1]authentication-method pre-share
[FW2-ike-proposal-1]encryption-algorithm 3des-cbc
[FW2-ike-proposal-1]authentication-algorithm sha
[FW2-ike-proposal-1]quit

[FW2]ike keychain 1
[FW2-ike-keychain-1]pre-shared-key address 33.1.1.1 key simple a123456789
[FW2-ike-keychain-1]quit

[FW2]ike profile 1
[FW2-ike-profile-1]local-identity address 55.1.1.2
[FW2-ike-profile-1]match remote identity address 33.1.1.1
[FW2-ike-profile-1]proposal 1
[FW2-ike-profile-1]keychain 1
[FW2-ike-profile-1]quit

[FW2]ipsec transform-set 1
[FW2-ipsec-transform-set-1]esp authentication-algorithm sha1
[FW2-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc
[FW2-ipsec-transform-set-1]quit
[FW2]acl advanced 3001
[FW2-acl-ipv4-adv-3001]rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
[FW2-acl-ipv4-adv-3001]quit

[FW2]ipsec policy 1 1 isakmp
[FW2-ipsec-policy-isakmp-1-1]remote 33.1.1.1
[FW2-ipsec-policy-isakmp-1-1]security acl 3001
[FW2-ipsec-policy-isakmp-1-1]transform-set 1
[FW2-ipsec-policy-isakmp-1-1]ike-profile 1
[FW2-ipsec-policy-isakmp-1-1]quit
[FW2]interface gigabitethernet 1/0/1
[FW2-GigabitEthernet1/0/1]ipsec apply policy 1
[FW2-GigabitEthernet1/0/1]quit
[FW2]save force

2.配置路由器R1

<H3C>system
[H3C]sysname R1
[R1]interface gigabitethernet 0/0
[R1-GigabitEthernet0/0]ip address 33.1.1.2 24
[R1-GigabitEthernet0/0]interface gigabitethernet 0/1
[R1-GigabitEthernet0/1]ip address 55.1.1.1 24
[R1-GigabitEthernet0/1]quit
[R1]save force

3.为PC分配IP(具体过程略,不过记得配网关地址)

4.测试

(1)PC间可以互通,首个数据包会创建隧道。

(2)查看ike sa和ipsec sa

(3)产看路由器R1路由表,两个内网通过ipsec vpn交互数据,R1内无内网路由表项。

纠结的学渣
关注
专栏目录
H3C防火墙配置基本上网步骤
weixin_33919950的博客
08-01 9081
H3C防火墙接入互联网方式:第一种是固定IP地址上网,第二种是拨号上网配置 =============固定ip===================== 1、配置防火墙包过滤模式 <h3c>sys进入系统视图 [h3c]firewall packet-filter enable [h3c]firewall packet-filter default...
华三防火墙配置IPSec隧道
a2317077531的博客
06-30 9572
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168.11.1 255.255.25
华三防火墙固定IP互联网配置内网上网
Overmaster博客
07-27 2554
quitquit。
华三防火墙ipsec vpn配置命令
耕耘
08-06 890
华三防火墙ipsec vpn配置命令
H3C-两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(华三-主模式
m0_68265458的博客
04-11 2212
H3C-两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(华三-主模式
华三防火墙-IPsec VPN配置
qq_53146347的博客
04-20 1532
公司需要搭建VPN让子公司连接内网服务器直接获取内网数据,使用IPsec VPN进行对接,预共享密钥:123456。
华三IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 3091
本篇讲的是新华三IPsec VPN的配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
华三ipsec 配置分析、举例
undoshutdown的博客
01-29 1959
ipsec apply policy policy1 //在设备wan口引用ipsec 策略 policy1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。
H3C IPSec配置手记
cthomson的博客
09-23 3912
以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。
华三 IPSec 主模式配置
08-16
华三 IPSec 主模式配置的步骤如下: 1. 首先,在 R1 的公网接口上下发 IPsec 策略。使用命令[R1-GigabitEthernet0/0ipsec apply policy r3来下发策略。 2. 然后,在 R1 上创建 IPsec 策略,调用之前配置的相关参数...
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
华三IPsce配置实验分享
最新发布
08-28
IPSec配置实验是一次深入学习和实践IPSec VPN技术的机会。‌该实验主要围绕IPSec配置与应用展开,‌具体内容包括:‌ ‌配置IPsec+预共享密钥的IKE主模式和野蛮模式‌:‌这是实验的核心任务,‌涉及IPSec VPN的...
H3C_IPSec主模式)及NAT转换综合配置案例
zsisle的博客
10-26 1647
本案例将以IPSec主模式来演示出口路由如何配置IPSec来达到内网互通以及NAT转换来访问外网。
【HUAWEI&H3C】对比华为和华三IPSec配置
u012468770的博客
12-31 5138
有关IPSec VPN的原理,这里就不展开了,我们直接上图上配置 一、固定IP,主模式VPN配置 华为: # ike proposal 1 encryption-algorithm aes-cbc-128 authentication-algorithm aes-xcbc-mac-96 # ike peer 1 v2 pre-shared-key cipher 12345@huaw...
华三IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-09 2691
本篇文章是关于新华三IPsec VPN的实验配置,里面的场景是一段的IP地址是动态接入的情况下,里面的配置和两端地址固定的配置有一些些不同,然后解释的也很详细,易懂
H3C配置IPSEC ×××
weixin_34080903的博客
09-23 248
H3C配置IPSEC ×××思路跟思科差不多,无非就是命令不一样的,下面就演示一下拓扑:RT1背后有个1.1.1.1网段,RT3背后有个3.3.3.3网段,ISP没有这两条路由RT2:<RT2>system-view System View: return to User View with Ctrl+Z.[RT2]int g0/0/0[RT2-GigabitEt...
IPSec VPN 基本配置实验(H3C
kerio123的博客
04-15 3132
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值