华为ensp企业网ipsec-vpn点到多点部署

已于 2023-09-24 16:58:32 修改
阅读量804 收藏 8
点赞数
文章标签: 华为 网络
于 2023-09-20 22:42:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650628/article/details/133104785
版权

链接:https://pan.baidu.com/s/1ofvfE9por7tbU_zOY0nhxQ 
提取码:6666 

地址表

设备

接口

ip

掩码

AR1

G0/0/0

192.168.1.2

255.255.255.252

S1/0/0

100.1.1.1

255.255.255.252

AR2

G0/0/0

192.168.50.254

255.255.255.0

S1/0/0

100.1.1.6

255.255.255.252

AR3

G0/0/0

192.168.60.254

255.255.255.0

S1/0/0

100.1.1.10

255.255.255.252

ISP

S0/0/0

100.1.1.2

255.255.255.252

S0/0/1

100.1.1.5

255.255.255.252

S0/0/2

100.1.1.9

255.255.255.252

SW1

vlanif10

192.168.10.254

255.255.255.0

vlanif20

192.168.20.254

255.255.255.0

vlanif100

192.168.100.254

255.255.255.0

Vlanif101

192.168.1.1

255.255.255.252

SW2

G0/0/1

trunk

vlan100

G0/0/2

trunk

vlan100

E0/0/1

access

vlan100

E0/0/2

access

vlan100

SW3

G0/0/1

trunk

vlan10

E0/0/2

access

vlan10

E0/0/3

access

vlan10

SW4

G0/0/1

trunk

vlan20

E0/0/2

access

vlan20

E0/0/3

access

vlan20

SW6

G0/0/1

trunk

vlan50

E0/0/2

access

vlan50

E0/0/3

access

vlan50

SW7

G0/0/1

trunk

vlan60

E0/0/2

access

vlan60

E0/0/3

access

vlan60

昆明总部ips配置

[KM-AR2220-AR1]acl number 3000  //配置昆明-沈阳的ips感兴趣流                                                

[KM-AR2220-AR1-acl-adv-3000] rule 5  permit ip source 192.168.10.0 0.0.0.255 des

tination 192.168.50.0 0.0.0.255

[KM-AR2220-AR1-acl-adv-3000] rule 10 permit ip source 192.168.20.0 0.0.0.255 des

tination 192.168.50.0 0.0.0.255

[KM-AR2220-AR1]acl number 3001  //配置昆明-上海的ips感兴趣流

[KM-AR2220-AR1-acl-adv-3001] rule 5 permit ip source 192.16.10.0 0.0.0.255 des

tination 192.168.60.0 0.0.0.255

[KM-AR2220-AR1-acl-adv-3001] rule 10 permit ip source 192.168.20.0 0.0.0.255 des

tination 192.168.60.0 0.0.0.255

[KM-AR2220-AR1]ipsec proposal tran1  //配置IKE安全提议

[KM-AR2220-AR1-ipsec-proposal-tran1] esp authentication-algorithm KMa2-256 //配置认证算法

[KM-AR2220-AR1-ipsec-proposal-tran1] esp encryption-algorithm aes-128  //配置加密算法

[KM-AR2220-AR1-ipsec-proposal-tran1]q

[KM-AR2220-AR1]ike proposal 5  //配置ike安全提议

[KM-AR2220-AR1-ike-proposal-5] encryption-algorithm aes-cbc-128  //配置认证算法

[KM-AR2220-AR1-ike-proposal-5] dh group14  //配置IKE密钥协商时所使用的DH组

[KM-AR2220-AR1-ike-proposal-5]q

[KM-AR2220-AR1]ike peer SY v1  //配置ike邻居

[KM-AR2220-AR1-ike-peer-SY] pre-KMared-key cipher huawei  //配置密码

[KM-AR2220-AR1-ike-peer-SY] ike-proposal 5  //关联ike安全提议

[KM-AR2220-AR1-ike-peer-SY] remote-address 100.1.1.6  //对端隧道建立地址

[KM-AR2220-AR1-ike-peer-SY]q

[KM-AR2220-AR1]ike peer KM v1

[KM-AR2220-AR1-ike-peer-KM] pre-KMared-key cipher huawei

[KM-AR2220-AR1-ike-peer-KM] ike-proposal 5

[KM-AR2220-AR1-ike-peer-KM] remote-address 100.1.1.10

[KM-AR2220-AR1-ike-peer-KM]q

[KM-AR2220-AR1]ipsec policy isp 10 isakmp  //配置ips策略

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] security acl 3000  //绑定兴趣流

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] ike-peer SY  //绑定ike邻居

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] proposal tran1  //绑定安全提议

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10]Q

[KM-AR2220-AR1]ipsec policy isp 11 isakmp

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-11] security acl 3001

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-11] ike-peer KM

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-11] proposal tran1

[KM-AR2220-AR1-ipsec-policy-isakmp-isp-11]Q

[KM-AR2220-AR1]inte s1/0/0

[KM-AR2220-AR1-Serial1/0/0]ipsec po isp  //接口试能ipsec

交流v:Ensp888


 

华为IPSEC总部对多点的配置
suweichao的博客
12-30 4682
ipsec总部对多点配置命令配置 学了两个月的HCNA,上搜索仅有一点对一点的ipsec配置,现在自己能做一点对多点了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 3192
ENSP配置IPSEC实验
防火墙配置IPSec VPNIPSecVPN概念及详细讲解】
h1008685的博客
04-08 3084
ipsecvpn技术详细讲解,防火墙配置ipsec,NAT连用IPSecVPN问题解决思路
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 3748
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
华为ensp防火墙ipsec-vpn点到多点场景(1总-3分)
最新发布
白话聊网络的博客
07-02 669
该场景适用于点到多点的毕设、大作业、课程等场景,该拓扑只不过是把各公司内简化成一台pc,同学们要有举一反三的能力。需求很简单,中间的R代表互联(公),企业场景1总部对三分部,用过防火墙进行ipsec vpn点到多点部署。不要质疑我答案的正确性,我百分百保证,你照着敲大概率也会做不通,要具有排障能力。连通性正常后,ping各个分部的业务,观察ike sa 和ipsec sa。初次完成全补配置后,测试过程中均丢2个包,丢包为arp的过程,真机不会。杜绝拿着配置复制粘贴,不通就来质疑我的答案,真是可笑!
安全HCIP之IPSec点到多点
XiaoHG_CSDN的博客
10-10 1365
IPSec点到多点 优点 方便扩展分支,增加分支其它机构不需要增加ipsec相关配置; 配置简单,所有分支只需要指向总部即可; 分支机构可以不使用固定公IP地址; 缺点 所有分支互访流量必须绕行总部(当然,多数情况下分支只需和总部通信); 流量必须先由分支触发来建立ipsec vpn隧道; 无法启用ospf学习路由; 适用情况 分支间互访流量很少,多数流量是分支和总部互访流量,支持远程出差人员拨号访问,分支数量不要过多建议少于15个(感兴趣流量配置较多) ...
华为eNSP IPsec VPN配置指南
外游者
04-10 7807
虚拟专用网络VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
华为ensp——企业网络的设计与实现【方案测试验证】
weixin_44702237的博客
10-31 9118
基于华为ensp企业网络设计的方案测试验证
建立点到多点IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 2485
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公地址。
点对多点 IPsec+GRE 配置
weixin_34375054的博客
12-20 704
点对多点 IPsec+GRE 配置 试验拓扑: 基本配置: Hub Router hostname Hub ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 //0.0.0...
防火墙ipsec vpn点对多点
weixin_44732231的博客
05-31 977
华为防火墙部署ipsec vpn 点对多点华为路由器部署isis
华为点到IPSec 虚拟专用配置
热门推荐
Tony_long7483的博客
03-25 1万+
配置相关接口IP地址及区域 [FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24 [FW1-GigabitEthernet1/0/0]service-manage ping permit [FW1-GigabitEthernet1/0/6]ip add 20.1.1.1 24 [FW1-GigabitEthernet1/0/6]service-manage ping permit [FW1]firewall zone trust [FW1-zone-trust]add .
ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 1978
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙】
华为 AR路由器点到多点ipsec 打通 后某分点不能访问主段的服务器 ,求解答!!!
qq_25979659的博客
08-21 879
华为 AR路由器点到多点ipsec 打通 后某分点不能访问主段的服务器 问题:分点2的段ping不通主网络的0.150服务器;而分点1的段ping可以通主网络的0.150服务器 区别:现在2.0和1.0的区别就是 2.0是直接跑公地址过去的 ;1.0是跑私地址;二分地的路由器配置都是一样的. 有兄弟遇到这样类似的情况?求解答!!!求解答!!!求解答!!! 是不是服务器的问题, 但如果是的话 ,那1.0段的应该也不能访问服务器0.150才对啊 网络拓扑图如下: 具体描述 2
华为ENSP模拟IPSEC连接
WXDCSDN的博客
06-14 417
华为ENSP模拟IPSEC连接
锐捷动态IPSEC---点对多
qq_50966485的博客
02-04 2254
网络系统管理
华为eNSP IPsec VPN配置
tbhhjsnd的博客
06-17 2247
现在可以看到PC1和PC 2是可以互相通信的, 通过按照上述步骤在eNSP中配置站点到站点的IPsec VPN,我们建立了安全的通信。安全关联(Security Association,SA): 定义了通信双方之间的安全参数,如密钥、加密算法、认证算法等。[VR1] interface gigabitethernet 0/0/0 // 进入GigabitEthernet0/0/1接口配置模式。站点到站点(Site-to-Site): 用于连接不同地理位置的网络,如分公司和总部之间的连接。
华为eNSP配置专题-IPSec的配置
日拱一卒的博客
10-26 2554
华为eNSP配置专题-IPSec的配置
ensp ipsec功能实验
05-14
Ensp华为公司提供的一款网络仿真软件,支持IPSec VPN功能的模拟。下面是一个简单的Ensp IPSec VPN实验步骤: 1. 创建拓扑:在Ensp中创建两个路由器,分别为R1和R2,然后将两个路由器连接起来。 2. 配置IP地址:对于R1和R2,分别配置它们的接口IP地址,使它们能够互相通信。 3. 配置ISAKMP协议:在R1和R2上分别配置ISAKMP协议,用于建立安全通信的SA(Security Association)。 4. 配置IPSec协议:在R1和R2上分别配置IPSec协议,用于实现数据加密和认证。 5. 配置ACL:在R1和R2上分别配置ACL,以控制流量的流向和访问。 6. 测试VPN连接:在R1和R2之间发送测试数据包,以验证VPN连接是否正常工作。 以上是一个简单的Ensp IPSec VPN实验步骤,你可以根据实际需要进行调整和扩展。Ensp提供了丰富的网络仿真功能,可以满足不同场景下的网络测试需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值