华为ensp防火墙ipsec-vpn点到多点场景(1总-3分)

最新推荐文章于 2024-10-25 23:53:15 发布
最新推荐文章于 2024-10-25 23:53:15 发布
阅读量1.3k 收藏 14
点赞数 13
分类专栏: eNSP基础实验系列 文章标签: 网络 ipsec vpn 华为ensp 企业网络设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650628/article/details/140112805
版权

需求很简单,中间的R代表互联网(公网),企业场景1总部对三分部,用过防火墙进行ipsec vpn点到多点部署。

解题思路,只要是会ipsec vpn的点到点,既可以做出点到多点实验效果。

该场景适用于点到多点的毕设、大作业、课程等场景,该拓扑只不过是把各公司内网简化成一台pc,同学们要有举一反三的能力

不要质疑我答案的正确性,我百分百保证,你照着敲大概率也会做不通,要具有排障能力。

R配置

#
sysname R
#
undo info-center enable
#
interface GigabitEthernet0/0/0
 ip address 100.1.21.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 100.1.22.2 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 100.1.23.2 255.255.255.252 
#
interface GigabitEthernet0/0/3
 ip address 100.1.24.2 255.255.255.252 

FW1配置:
sysname FW1
#
acl number 3000
 rule 1 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 
acl number 3001
 rule 1 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255  
acl number 3002
 rule 1 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 
#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f2
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.22.1 
ike peer f3
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.23.1 
ike peer f4
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.24.1 
#
ipsec policy ips 1 isakmp
 security acl 3000
 ike-peer f2
 proposal tran1
ipsec policy ips 2 isakmp
 security acl 3001
 ike-peer f3
 proposal tran1
ipsec policy ips 3 isakmp
 security acl 3002
 ike-peer f4
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 100.1.21.1 255.255.255.252
 service-manage ping permit
 ipsec policy ips
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 172.16.10.2 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 100.1.21.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f-f4
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.40.0 mask 255.255.255.0
  action permit
 rule name f4-f
  source-zone untrust
  destination-zone dmz
  destination-zone trust
  source-address 192.168.40.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f2
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  action permit
 rule name f2-f
  source-zone untrust
  destination-zone dmz
  destination-zone trust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f3
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.30.0 mask 255.255.255.0
  action permit
 rule name f3-f
  source-zone untrust
  destination-zone dmz
  destination-zone trust
  source-address 192.168.30.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-isp
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name z-f234
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.40.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  destination-address 192.168.30.0 mask 255.255.255.0
  action no-nat
 rule name any-isp
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  action source-nat easy-ip

fw2配置

sysname FW2
#
acl number 3000
 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255  
#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.21.1 
#
ipsec policy map1 1 isakmp
 security acl 3000
 ike-peer f
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.20.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.22.1 255.255.255.252
 service-manage ping permit
 ipsec policy map1
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 100.1.22.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f2-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f2
  source-zone untrust
  destination-zone trust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  action permit
 rule name f2-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name f2-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action no-nat
 rule name f2-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  action source-nat easy-ip

fw3配置

sysname FW3 
#
acl number 3000
 rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 

#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.21.1
#
ipsec policy map1 1 isakmp
 security acl 3000
 ike-peer f
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.30.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.23.1 255.255.255.252
 service-manage ping permit
 ipsec policy map1
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 100.1.23.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f3-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f3
  source-zone untrust
  destination-zone trust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.30.0 mask 255.255.255.0
  action permit
 rule name f3-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name f3-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action no-nat
 rule name f3-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  action source-nat easy-ip


sysname FW4
#
acl number 3000
 rule 5 permit ip source 192.168.40.0 0.0.0.255 destination 172.16.10.0 0.0.0.255  
#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.21.1 
#
ipsec policy map1 1 isakmp
 security acl 3000
 ike-peer f
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.40.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.24.1 255.255.255.252
 service-manage ping permit
 ipsec policy map1
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 100.1.24.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f4-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f4
  source-zone untrust
  destination-zone trust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.40.0 mask 255.255.255.0
  action permit
 rule name f4-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name f4-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action no-nat
 rule name f4-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  action source-nat easy-ip

杜绝拿着配置复制粘贴,不通就来质疑我的答案,真是可笑!!!

测试总部防火墙到三台防火墙的建立ike隧道的接口地址连通性

连通性正常后,ping各个分部的业务,观察ike sa 和ipsec sa

初次完成全补配置后,测试过程中均丢2个包,丢包为arp的过程,真机不会

ike sa 对等体有三对儿

ipsec sa 的摘要信息也是3对儿

ipsec sa 可以看到你出方向的加密流量

细心的同学可以反复查看该命令,你会发现每次ping后,进出加密流量是增长过程

下课!

华为eNSP IPsec VPN配置指南
外游者
04-10 8711
虚拟专用网络VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
华为IPSEC部对多点的配置
suweichao的博客
12-30 4805
ipsec部对多点配置命令配置 学了两个月的HCNA,网上搜索仅有一点对一点的ipsec配置,现在自己能做一点对多点了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为ensp企业ipsec-vpn点到多点部署
白话聊网络的博客
09-20 969
KM-AR2220-AR1-ike-proposal-5] encryption-algorithm aes-cbc-128 //配置认证算法。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] proposal tran1 //绑定安全提议。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] ike-peer SY //绑定ike邻居。[KM-AR2220-AR1]ike proposal 5 //配置ike安全提议。
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 4152
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1部对应10个部,那部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那部则需要写10组配置,1-11-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 3013
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙
安全防御--IPsec VPN点到点的实验
xnxqwzy的博客
03-03 1643
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1,防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2,防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
华为ensp基于路由器点到多点ipsec v-p-n加密隧道配置(12场景
最新发布
白话聊网络的博客
10-25 411
根据抓包内容,可见部访问1和2的流量都被加上密,报文为esp。1路由器,ipsec内容与部互为镜像。部2路由器,ipsec内容与部互为镜像。查看ike sa和ipsec sa摘要信息。公网路由器只有ip配置。
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
zz12345600354的博客
05-21 1300
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。[Y/N]: y #同意修改密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。
华为ensp——企业网络的设计与实现【方案测试验证】
weixin_44702237的博客
10-31 9589
基于华为ensp企业网络设计的方案测试验证
IPSEC 建立点到多点SA.doc
05-09
IPSEC 建立点到多点的连接,满足固定ip和非固定ip的应用场合。
网络工程师之华为Ensp配置
九儿九只的博客
05-02 7022
网络工程师 软考 华为 ENSP 路由
基于IPSec的校园网的设计与实现--基于青海民族大学设计
qq_17533907的博客
11-21 1957
IPSec VPN的实施不仅能够为学生和教师们提供安全的内网互相访问,促进教学资源的共享,还能够加强国际间的教育合作,为全球化教育提供技术支持。在当前的教育环境中,随着校园网络的不断扩展和校区的增多,确保校区间通信的安全性变得尤为重要。IPSec VPN作为一种广泛应用的安全协议,可以为校园网络提供高度安全性,IPSec VPN技术可以确保青海民族学院校区与校区之间内网的远程通信,实现数据传输过程中的加密,进而就提高了不同地区子网通信的安全。评估所收集文献的质量和相关性,确保研究的准确性和全面性。
安全HCIP之IPSec点到多点
XiaoHG_CSDN的博客
10-10 1411
IPSec点到多点 优点 方便扩展支,增加支其它机构不需要增加ipsec相关配置; 配置简单,所有支只需要指向部即可; 支机构可以不使用固定公网IP地址; 缺点 所有支互访流量必须绕行部(当然,多数情况下支只需和部通信); 流量必须先由支触发来建立ipsec vpn隧道; 无法启用ospf学习路由; 适用情况 支间互访流量很少,多数流量是支和部互访流量,支持远程出差人员拨号访问,支数量不要过多建议少于15个(感兴趣流量配置较多) ...
华为点到点IPSec 虚拟专用网配置
热门推荐
Tony_long7483的博客
03-25 1万+
配置相关接口IP地址及区域 [FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24 [FW1-GigabitEthernet1/0/0]service-manage ping permit [FW1-GigabitEthernet1/0/6]ip add 20.1.1.1 24 [FW1-GigabitEthernet1/0/6]service-manage ping permit [FW1]firewall zone trust [FW1-zone-trust]add .
ENSP实验:多点双向重发布
qq_28563707的博客
08-09 276
"ENSP"是华为企业网络设备模拟器(Enterprise Network Simulation Platform)的缩写。它是华为公司提供的一款网络仿真软件,旨在帮助网络管理员和工程师在虚拟环境中规划、配置和测试企业网络设备和拓扑。
建立点到多点IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 3112
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
frankluwei的专栏
12-13 7092
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置   USG5500A 与USG5500C、USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT;USG5500A 、USG5500D  undo nat traversal。 ISP配置(用路由器模仿Internet) dis cur # sysname ISP
防火墙技术基础篇:基于eNSP配置GRE VPN
qq_39241682的博客
05-31 3420
GRE VPN是一种基于GRE协议的VPN技术。GRE协议是一种通用的网络封装协议,它允许将一种网络协议的数据包封装到另一种网络协议的数据包中进行传输。通过使用GRE协议,可以实现不同网络协议之间的互通,从而满足企业在不同网络环境下的通信需求。
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B站-白话聊网络

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值