ENSP:防火墙IPSEC XXX

已于 2022-11-24 18:01:01 修改
阅读量1.9k 收藏 35
点赞数 4
分类专栏: 防火墙 VPN 文章标签: 网络
于 2022-11-19 12:39:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45921302/article/details/127933456
版权

 指采用IPSEC协议来实现远程接入的一种XXX技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务,

配置采用IKE协商方式建立IPSec隧道的基本步骤如下:

(1)配置接口的IP地址和到对端的静态路由,保证两端路由可达。

(2)配置ACL,以定义需要IPSec保护的数据流。

(3)配置IPSec安全提议,定义IPSec的保护方法。

(4)配置IKE对等体,确定对等体间IKE协商时的参数。

(5)配置安全策略,并引用ACL、 IPSec安全提议和IKE对等体,确定对每种数据流采取的保护方法。

(6)在接口上应用安全策略组,使接口具有IPSec的保护功能。

e9cc0c5169624bf49a28e655d4340f8e.png

 要求:PC1和PC2通过IPSCE XXX加密通道实现通信

AR1

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable 
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 100.1.1.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]
[Huawei-GigabitEthernet0/0/1]ip address 200.1.1.2 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]

PC1

5fb78cd21a35485caf8a5c9d7fc635f7.png

 PC2

e7e7369ac4ad4fff825337b55eb096b0.png

 FW1

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.	
[USG6000V1]undo info-center enable   #清除广告
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]undo shutdown  #打开接口
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.254 24  #配IP地址
Info: Interface GigabitEthernet1/0/0 is not shutdown.	
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 100.1.1.254 24	
[USG6000V1-GigabitEthernet1/0/1]undo shutdown 	
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/1]q	
[USG6000V1]firewall zone trust 	#设置安全区域
[USG6000V1-zone-trust]add interface g1/0/0  #把接口添加到接口
[USG6000V1-zone-trust]q	
[USG6000V1]firewall zone untrust 	
[USG6000V1-zone-untrust]add interface g1/0/1
[USG6000V1-zone-untrust]q
[USG6000V1]

[USG6000V1]ip route-static 0.0.0.0 0 100.1.1.2   #配置缺省路由
[USG6000V1]se	
[USG6000V1]security-policy  #配置安全策略
[USG6000V1-policy-security]rule name trust_untrust  #信任区到非信任区
[USG6000V1-policy-security-rule-trust_untrust]source-zone trust 
[USG6000V1-policy-security-rule-trust_untrust]source-address 192.168.1.0 24	 
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untrust]action permit 
[USG6000V1-policy-security-rule-trust_untrust]q	
[USG6000V1-policy-security]rule name untrust_trust  #非信任区到信任区
[USG6000V1-policy-security-rule-untrust_trust]source-zone untrust 
[USG6000V1-policy-security-rule-untrust_trust]source-address 172.16.1.0 24
[USG6000V1-policy-security-rule-untrust_trust]destination-zone trust 
[USG6000V1-policy-security-rule-untrust_trust]action permit 
[USG6000V1-policy-security-rule-untrust_trust]q	

[USG6000V1-policy-security]rule name local_untrust   #本地到非信任区	
[USG6000V1-policy-security-rule-local_untrust]source-zone local 
[USG6000V1-policy-security-rule-local_untrust]destination-zone untrust 
[USG6000V1-policy-security-rule-local_untrust]destination-address 200.1.1.254 32	
[USG6000V1-policy-security-rule-local_untrust]source-address 100.1.1.254 32
[USG6000V1-policy-security-rule-local_untrust]action permit 
[USG6000V1-policy-security-rule-local_untrust]q	

[USG6000V1-policy-security]rule name untrust_local  #非信任区到本地	
[USG6000V1-policy-security-rule-untrust_local]source-zone untrust 
[USG6000V1-policy-security-rule-untrust_local]source-address 200.1.1.254 32
[USG6000V1-policy-security-rule-untrust_local]destination-zone local 
[USG6000V1-policy-security-rule-untrust_local]destination-address 100.1.1.254 32
[USG6000V1-policy-security-rule-untrust_local]action permit 

[USG6000V1]nat-policy  #配置NAT-easy-ip
[USG6000V1-policy-nat]rule name nopat
[USG6000V1-policy-nat-rule-nopat]source-zone trust 
[USG6000V1-policy-nat-rule-nopat]egress-interface g1/0/1
[USG6000V1-policy-nat-rule-nopat]source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-nopat]destination-zone untrust 
[USG6000V1-policy-nat-rule-nopat]destination-address 172.16.1.0 24
[USG6000V1-policy-nat-rule-nopat]action no-nat 
[USG6000V1-policy-nat-rule-nopat]q
[USG6000V1-policy-nat]rule name nat	
[USG6000V1-policy-nat-rule-nat]source-zone trust 
[USG6000V1-policy-nat-rule-nat]source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-nat]destination-zone untrust 
[USG6000V1-policy-nat-rule-nat]egress-interface g1/0/1
[USG6000V1-policy-nat-rule-nat]action source-nat  easy-ip 
[USG6000V1-policy-nat-rule-nat]q

[USG6000V1]ike proposal 10  #创建IKE提议,编号为10

[USG6000V1-ike-proposal-10]authentication-method pre-share  #认证模式为预共享	
[USG6000V1-ike-proposal-10]authentication-algorithm sha2-256  #认证算法为sha2-256
[USG6000V1-ike-proposal-10]encryption-algorithm aes-256 #加密算法为aes-256
[USG6000V1-ike-proposal-10]dh group14  #配置DH算法参数
[USG6000V1-ike-proposal-10]q


[USG6000V1]ike peer huawei #创建IKE对等体	
[USG6000V1-ike-peer-huawei]ike-proposal 10 #引用ike安全提议
[USG6000V1-ike-peer-huawei]pre-shared-key abc-123  #预共享密钥
[USG6000V1-ike-peer-huawei]remote-address 200.1.1.254  #远端地址
[USG6000V1-ike-peer-huawei]q
[USG6000V1]ipsec proposal huawei-set #配置ipsec安全提议名为huawei-set 	
[USG6000V1-ipsec-proposal-huawei-set]encapsulation-mode tunnel  #配置报文的IPSec封装模式为隧道模式	
[USG6000V1-ipsec-proposal-huawei-set]transform esp 	#传输协议设置为esp默认也是esp
[USG6000V1-ipsec-proposal-huawei-set]esp encryption-algorithm aes-256
[USG6000V1-ipsec-proposal-huawei-set]esp authentication-algorithm sha2-256
[USG6000V1-ipsec-proposal-huawei-set]q

[USG6000V1]acl 3000  #配置感兴趣流	
[USG6000V1-acl-adv-3000]rule permit ip source  192.168.1.0 0.0.0.255 destination
 172.16.1.0 0.0.0.255
[USG6000V1-acl-adv-3000]q

[USG6000V1]ipsec policy huawei-map 10 isakmp  #配置IKE动态协商方式安全策略
Info: The ISAKMP policy sequence number should be smaller than the template poli
cy sequence number in the policy group. Otherwise, the ISAKMP policy does not ta
ke effect.
[USG6000V1-ipsec-policy-isakmp-huawei-map-10]ike-peer huawei  #引入ike对等体
[USG6000V1-ipsec-policy-isakmp-huawei-map-10]proposal huawei-set  #引入ipsec安全提议
[USG6000V1-ipsec-policy-isakmp-huawei-map-10]security  acl 3000  #引入感兴趣流
[USG6000V1-ipsec-policy-isakmp-huawei-map-10]q

[USG6000V1]int g1/0/1  #接口上应用安全策略组
[USG6000V1-GigabitEthernet1/0/1]ipsec policy huawei-map
[USG6000V1-GigabitEthernet1/0/1]q
[USG6000V1]

FW2  (与FW1大致相同)

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.	
[USG6000V1]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]undo shutdown 
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[USG6000V1-GigabitEthernet1/0/0]ip address 172.16.1.254 24
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]undo shutdown 
Info: Interface GigabitEthernet1/0/1 is not shutdown.
[USG6000V1-GigabitEthernet1/0/1]ip address 200.1.1.254 24
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/1]q
[USG6000V1]firewall zone trust 	
[USG6000V1-zone-trust]add interface g1/0/0
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface g1/0/1
[USG6000V1-zone-untrust]q
[USG6000V1]IP route-static 0.0.0.0 0 200.1.1.2
[USG6000V1]security-policy 	
[USG6000V1-policy-security]rule name trust_untrust
[USG6000V1-policy-security-rule-trust_untrust]source-zone trust 
[USG6000V1-policy-security-rule-trust_untrust]source-address 172.16.1.0 24	
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untrust]access-authentication	
[USG6000V1-policy-security-rule-trust_untrust]action permit 
[USG6000V1-policy-security-rule-trust_untrust]q	
[USG6000V1-policy-security]rule name untrust_trust
[USG6000V1-policy-security-rule-untrust_trust]source-zone untrust 	
[USG6000V1-policy-security-rule-untrust_trust]destination-zone trust 
[USG6000V1-policy-security-rule-untrust_trust]destination-address 172.16.1.0 24
[USG6000V1-policy-security-rule-untrust_trust]source-address 192.168.1.0 24
[USG6000V1-policy-security-rule-untrust_trust]action permit 
[USG6000V1-policy-security-rule-untrust_trust]q
[USG6000V1-policy-security]rule name local_untrust
[USG6000V1-policy-security-rule-local_untrust]source-zone local 
[USG6000V1-policy-security-rule-local_untrust]source-address 200.1.1.254 32	
[USG6000V1-policy-security-rule-local_untrust]destination-zone untrust 
[USG6000V1-policy-security-rule-local_untrust]destination-address 100.1.1.254 32
[USG6000V1-policy-security-rule-local_untrust]action permit 
[USG6000V1-policy-security-rule-local_untrust]q	
[USG6000V1-policy-security]rule name untrust_local
[USG6000V1-policy-security-rule-untrust_local]source-zone untrust 	
[USG6000V1-policy-security-rule-untrust_local]source-address 100.1.1.254 32
[USG6000V1-policy-security-rule-untrust_local]destination-zone local 
[USG6000V1-policy-security-rule-untrust_local]destination-address 200.1.1.254 32
[USG6000V1-policy-security-rule-untrust_local]action permit 
[USG6000V1-policy-security-rule-untrust_local]q
[USG6000V1-policy-security]q
[USG6000V1]nat-policy 
[USG6000V1-policy-nat]rule name nopat
[USG6000V1-policy-nat-rule-nopat]source-zone trust 
[USG6000V1-policy-nat-rule-nopat]source-address 172.16.1.0 24
[USG6000V1-policy-nat-rule-nopat]destination-zone untrust 
[USG6000V1-policy-nat-rule-nopat]destination-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-nopat]egress-interface g1/0/1
[USG6000V1-policy-nat-rule-nopat]action no-nat 
[USG6000V1-policy-nat-rule-nopat]q
[USG6000V1-policy-nat]rule name nat	
[USG6000V1-policy-nat-rule-nat]source-zone trust 
[USG6000V1-policy-nat-rule-nat]source-address 172.16.1.0 24	
[USG6000V1-policy-nat-rule-nat]destination-zone untrust 
[USG6000V1-policy-nat-rule-nat]egress-interface  g1/0/1
[USG6000V1-policy-nat-rule-nat]action source-nat easy-ip 
[USG6000V1-policy-nat-rule-nat]q
[USG6000V1-policy-nat]q	

[USG6000V1]ike proposal 10
[USG6000V1-ike-proposal-10]authentication-method pre-share 
[USG6000V1-ike-proposal-10]authentication-algorithm sha2-256
[USG6000V1-ike-proposal-10]encryption-algorithm aes-256
[USG6000V1-ike-proposal-10]dh group14
[USG6000V1-ike-proposal-10]q
[USG6000V1-ike-peer-huawei]ike-proposal 10	
[USG6000V1-ike-peer-huawei]pre-shared-key abc-123	
[USG6000V1-ike-peer-huawei]remote-address 100.1.1.254 
[USG6000V1-ike-peer-huawei]q	
[USG6000V1]ipsec proposal huawei-set
[USG6000V1-ipsec-proposal-huawei-set]transform esp 
[USG6000V1-ipsec-proposal-huawei-set]encapsulation-mode tunnel
[USG6000V1-ipsec-proposal-huawei-set]esp authentication-algorithm sha2-256
[USG6000V1-ipsec-proposal-huawei-set]esp encryption-algorithm aes-256
[USG6000V1-ipsec-proposal-huawei-set]q
[USG6000V1]acl 3000
[USG6000V1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 1
92.168.1.0 0.0.0.255
[USG6000V1-acl-adv-3000]q
[USG6000V1]ipsec policy huawei-map 10 isakmp 
Info: The ISAKMP policy sequence number should be smaller than the template poli
cy sequence number in the policy group. Otherwise, the ISAKMP policy does not ta
ke effect.[USG6000V1-ipsec-policy-isakmp-huawei-map-10]ike-peer huawei	
[USG6000V1-ipsec-policy-isakmp-huawei-map-10]proposal huawei-set
[USG6000V1-ipsec-policy-isakmp-huawei-map-10]security acl 3000
[USG6000V1-ipsec-policy-isakmp-huawei-map-10]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ipsec policy huawei-map
[USG6000V1-GigabitEthernet1/0/1]q

验证

d94c553762df4a608e4c5c5aa2406b10.png

 FW2的G1/0/1处转包

eb743b9de10e4d6b9511dfd24954c68a.png

 c7a7109d3492447ea597c8f4db0caca1.png

 FW2

Cheng兮
关注
  • 4
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
华为ENSP模拟器USG6000防火墙
08-28
解压后获得vfw_usg.vdi文件,直接导入ensp模拟器即可,新建USG6000V防火墙时会弹出导入界面
ensp登陆防火墙.doc
10-28
ensp中,防火墙6000默认是登录不上的,需要添加设备包,本文档提供了华为ensp防火墙的俩种登录方式,登录配置即可
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
华为eNSP IPsec VPN配置指南
最新发布
外游者
04-10 3409
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
华为ensp虚拟防火墙vfw_usg.rar软件包
03-28
ENSP里面有一个华为的虚拟防火墙,找了好几天 终于获取到了这个vfw_usg.rar虚拟防火墙软件包。目前华为官网已经无法下载了,此处提供给大家。
华为模拟器eNSP 防火墙 USG6000V10
08-18
USG6000系列防火墙的固件, 解压文件,在模拟器上启动USG6000时会提示加载固件,选择解压后的vdi文件,导入后再次点击启动。 注意:命令窗口#号增加属于正常现象,起码跑三四行#号后正常启动。 帐号:admin 密码:Admin@123 首次登陆需要更改密码
华为防火墙IPSEC简单搭建
baidu_41701694的博客
09-05 3483
消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP。
华为eNSP配置专题-IPSec的配置
日拱一卒的博客
10-26 1315
华为eNSP配置专题-IPSec的配置
[eNSP]建立IPSec隧道
ZXW_NUDT的博客
03-31 2624
1、配置静态路由 [AR 1]ip route-static 200.2.2.0 24 200.1.1.2 [AR 1]ip route-static 192.168.2.0 24 200.2.2.1 [AR 3]ip route-static 200.1.1.0 24 200.2.2.2 [AR 3]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-static 192.168.1.0 24 200.1.1.1 [AR 2]ip route-.
ENSP配置IPSEC 实验
WANGMH13的博客
08-01 2872
ENSP配置IPSEC实验
eNSP防火墙+IPSec 站点到站点的虚拟专用网络
m0_46237205的博客
04-10 3655
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
ensp模拟器USG6000V防火墙导入包
11-07
解压后会获得vfw_usg.vdi文件,建议放到Oracle VM VirtualBox文件夹同级目录下,然后新建USG6000V防火墙时会弹出导入界面,然后选择vfw_usg.vdi文件直接导入ensp模拟器即可正常使用。 后续不会操作可以私信联系我,...
eNSP:路由基础.rar
04-17
eNSP:路由基础对应的实验文档
ensp防火墙USG6000v
02-04
eNSP里面的防火墙USG6000v可用版本,解决eNSP防火墙USG6000v为beta版的问题 适合刚入手学习eNSP及其防火墙配置的实验 亲测可配置云、nat、IP v6过渡技术、VRRP、隧道等技术
华为ensp防火墙镜像包
03-11
华为ensp防火墙镜像包
ENSP1.3 USG6000防火墙设备包(百度网盘)
12-18
ENSP 1.3 USG6000防火墙设备包,注意开启service-manage enable,网云中不要绑定公网网卡,文件大小784MB
IPsec VPN配置方式
Mario_Ti的博客
03-09 1987
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
CIsco路由器实现IPSec 虚拟专用网原理及配置详解
小健健的博客
11-02 5004
博文大纲: 一、虚拟专用网概述; 1.虚拟专用网的定义; 2.虚拟专用网的模型与类型; (1)虚拟专用网的连接模式; (2)虚拟专用网的类型; 二、虚拟专用网技术; 1.加密技术; (1)对称加密算法; (2)非对称加密算法; (3)密钥交换; 2.数据报文验证; (1)HMAC功能实现验证功能; (2)MD5和SHA; 三、IPSec 虚拟专用网; 1.IPsec连接; 2.ISAKMP/IK...
ISAKMP报文解密
mengshi12的专栏
08-26 4525
使用wireshark抓包
enspnat防火墙综合实验
05-20
Enspnat防火墙是一种网络安全设备,用于保护企业网络不受来自网络外部的攻击。综合实验可以帮助您深入了解Enspnat防火墙的配置和管理。 以下是Enspnat防火墙综合实验的步骤: 1. 确定实验目标:在实验前,您需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值