IPSEC隧道配置

最新推荐文章于 2024-07-09 16:34:16 发布
最新推荐文章于 2024-07-09 16:34:16 发布
阅读量1.2k 收藏 14
点赞数 1
分类专栏: 华为安全 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48711866/article/details/124660952
版权

拓扑图如下:

建立IPSEC隧道,使江苏访问深圳

配置如下:

Client客户端配置

server服务器

AR1配置

AR1配置

[AR1]interface GigabitEthernet 0/0/0  //进入接口

[AR1-GigabitEthernet0/0/0]ip address 10.10.10.254 24  //配置IP地址

[AR1]interface GigabitEthernet 0/0/1  //进入接口

[AR1-GigabitEthernet0/0/1]ip address 10.10.20.254 24  //配置IP地址

江苏FW配置

江苏FW配置

首先初始化防火墙第一次登陆需要重置密码

默认用户名:admin

默认密码:Admin@123

[USG6000V1]sysname JS FW  //修改名称

[JS FW]interface GigabitEthernet 1/0/0  //进入接口

[JS FW-GigabitEthernet1/0/0]ip address 192.168.80.254 24  //配置IP地址

[JS FW-GigabitEthernet1/0/0]service-manage all permit  //开启服务

[JS FW]interface GigabitEthernet 1/0/1  //进入接口

[JS FW-GigabitEthernet1/0/1]ip address 10.10.10.1 24  //配置IP地址

[JS FW-GigabitEthernet1/0/1]service-manage ping permit  //开启ping服务

[JS FW]firewall zone  trust  //进入安全区域

[JS FW-zone-trust]add  interface  GigabitEthernet  1/0/0 //将接口加入到安全区域

[JS FW]firewall zone  untrust  //进入非安全区域

[JS FW-zone-untrust]add  interface  GigabitEthernet  1/0/1 //将外网接口加入到非安全区域

设置策略

[JS FW]security-policy  //进入安全策略配置

[JS FW-policy-security]default action  permit  //默认全部打开

[JS FW]ip route-static 0.0.0.0 0.0.0.0 10.10.10.254 //配置静态路由

 配置深圳FW

深圳FW配置

首先初始化防火墙第一次登陆需要重置密码

默认用户名:admin

默认密码:Admin@123

[USG6000V1]sysname SZ FW  //修改名称

[SZ FW]interface GigabitEthernet 1/0/0  //进入接口

[SZ FW-GigabitEthernet1/0/0]ip address 10.10.20.1 24  //配置IP地址

[SZ FW-GigabitEthernet1/0/0]service-manage all permit  //开启全部服务

[SZ FW]interface GigabitEthernet 1/0/1  //进入接口

[SZ FW-GigabitEthernet1/0/1]ip address 192.168.70.254 24  //配置IP地址

[SZ FW-GigabitEthernet1/0/1]service-manage ping permit  //开启ping服务

[SZ FW]firewall zone  trust  //进入安全区域

[SZ FW-zone-trust]add  interface  GigabitEthernet  1/0/1 //将接口加入到安全区域

[SZ FW]firewall zone  untrust  //进入非安全区域

[SZ FW-zone-untrust]add  interface  GigabitEthernet  1/0/0 //将外网接口加入到非安全区域

设置策略

[SZ FW]security-policy  //进入安全策略配置

[SZ FW-policy-security]default action  permit  //默认全部打开

[SZ FW]ip route-static 0.0.0.0 0.0.0.0 10.10.20.254 //配置静态路由

配置IPSES

JS FW配置

[JS FW]acl number  3000 //定义访问控制列表

定义策略那些流量走IPSES过

[JS FW-acl-adv-3000]rule permit  ip source 192.168.80.0 0.0.0.255 destination 192.168.70.0 0.0.0.255  //定义源地址192.168.80.0,目标地址192.168.70.0


[JS FW]ipsec proposal JS 

[JS FW-ipsec-proposal-JS]encapsulation-mode tunnel //定义隧道模式

[JS FW-ipsec-proposal-JS]transform esp //采用ESP协议

[JS FW-ipsec-proposal-JS]esp authentication-algorithm sha1 //认证方式为SHA1

[JS FW-ipsec-proposal-JS]esp encryption-algorithm aes-128 //加密算法为AES-128

IPSEC安全策略配置

[JS FW]ipsec policy J1 10 manual //设置模式为手动模式

[JS FW-ipsec-policy-manual-J1-10]security acl 3000 //调用访问策略

[JS FW-ipsec-policy-manual-J1-10]proposal JS //调用安全提议

[JS FW-ipsec-policy-manual-J1-10]tunnel local 10.10.10.1 //隧道源地址

[JS FW-ipsec-policy-manual-J1-10]tunnel remote 10.10.20.1 //隧道目的地址

[JS FW-ipsec-policy-manual-J1-10]sa spi inbound  esp 123123 //SPI入方向

[JS FW-ipsec-policy-manual-J1-10]sa string-key inbound esp Start123! //手动设置入方向密钥

[JS FW-ipsec-policy-manual-J1-10]sa spi outbound esp 321321 //SPI出方向

[JS FW-ipsec-policy-manual-J1-10]sa string-key outbound  esp  Start321! //手动设置出方向密钥

接口应用IPSEC策略

[JS FW]interface GigabitEthernet 1/0/1  //进入接口

[JS FW-GigabitEthernet1/0/1]ipsec policy J1 //接口调用

[JS FW]ip route-static 192.168.70.0 24 10.10.10.254 //配置静态路由

 SZ FW配置

SZ FW配置

[SZ FW]acl number  3000 //定义访问控制列表

定义策略那些流量走IPSES过

[SZ FW-acl-adv-3000]rule permit  ip source 192.168.70.0 0.0.0.255 destination 192.168.80.0 0.0.0.255  //定义源地址192.168.80.0,目标地址192.168.70.0


[SZ FW]ipsec proposal SZ 

[SZ FW-ipsec-proposal-SZ]encapsulation-mode tunnel //定义隧道模式

[SZ FW-ipsec-proposal-SZ]transform esp //采用ESP协议

[SZ FW-ipsec-proposal-SZ]esp authentication-algorithm sha1 //认证方式为SHA1

[SZ FW-ipsec-proposal-SZ]esp encryption-algorithm aes-128 //加密算法为AES-128

IPSEC安全策略配置

[SZ FW]ipsec policy J1 10 manual //设置模式为手动模式

[SZ FW-ipsec-policy-manual-J1-10]security acl 3000 //调用访问策略

[SZ FW-ipsec-policy-manual-J1-10]proposal SZ //调用安全提议

[SZ FW-ipsec-policy-manual-J1-10]tunnel local 10.10.20.1 //隧道源地址

[SZ FW-ipsec-policy-manual-J1-10]tunnel remote 10.10.10.1 //隧道目的地址

[SZ FW-ipsec-policy-manual-J1-10]sa spi inbound  esp 321321 //SPI入方向

[SZ FW-ipsec-policy-manual-J1-10]sa string-key inbound esp Start321! //手动设置入方向密钥

[SZ FW-ipsec-policy-manual-J1-10]sa spi outbound esp 123123 //SPI出方向

[SZ FW-ipsec-policy-manual-J1-10]sa string-key outbound  esp  Start123! //手动设置出方向密钥

接口应用IPSEC策略

[SZ FW]interface GigabitEthernet 1/0/0  //进入接口

[SZ FW-GigabitEthernet1/0/0]ipsec policy J1 //接口调用

[SZ FW]ip route-static 192.168.80.0 24 10.10.20.254 //配置静态路由

 测试:客户端去访问服务器可以看到正常

 抓包:

这里可以看到这里显示的是公网地址,并且协议使ESP

 上面就是IPSEC隧道配置

小肥溜了猪
关注
专栏目录
IPSec隧道配置实验(IKE动态协商方式)
A soul tortured by desire
08-06 4094
实验目的: 采用IKE动态协商方式建立IPSec隧道 组网需求: R1为企业分支出口路由,R2为企业总部出口路由,总部与分支通过公网建立通信。 企业希望对总部子网与分支子网之间相互访问的流量进行安全保护。总部与分支通过公网建立通信,可以在总部出口路由网关与分支出口路由网关之间建立一个IPSec隧道来实现安全保护。 配置操作: *****************R1企业分支******************** <Huawei>sys Enter system view, re
IPSec隧道配置实验(手工方式)
A soul tortured by desire
08-06 2602
实验目的: 采用手工方式建立IPSec隧道 组网需求: R1为企业总部出口路由,R2为企业分支出口路由,总部与分支通过公网建立通信。 企业希望对总部子网与分支子网之间相互访问的流量进行安全保护。总部与分支通过公网建立通信,可以在总部出口路由网关与分支出口路由网关之间建立一个IPSec隧道来实现安全保护。 配置操作: ******************R1企业总部************ <Huawei>sys Enter system view, return user vi
ipsec 为匹N隧道配置
pink___floyd的博客
09-02 495
隧道流量 1.1.1.12.2.2.2,localuntrust,双向流量(注意要放行esp,udp协议)业务流量10.1.1.1192.168.1.1 ,即trustuntrust,双向流量。这里要与fw1 互为镜像。第二阶段快速模式报文3个。第一阶段主模式报文6个。将策略恢复为默认禁止。
IPsec 实操配置(隧道模式)
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
IPSec VPN基本原理、协议、方案
最新发布
Draina的博客
07-09 135
本文全面介绍了IPsecVPN虚拟专用网的基本原理、协议方案
IPsec 隧道配置
weixin_34130389的博客
04-18 1158
实验步骤及要求:1、配置各台路由器的IP 地址,并且使用Ping 命令确认各路由器的直连口的互通。2、在R1 和R3 上配置静态路由。确保Internet 网络骨干可以相互通信。R1(config)#ip route 0.0.0.0 0.0.0.0 202.102.48.66R3(config)#ip route 0.0.0.0 0.0.0.0 211.64.135.333、...
IPsec加密隧道基础配置
Nailaoyyds的博客
08-05 2714
采用如下思路配置采用手工方式建立IPSec隧道配置接口的IP地址和到对端的静态路由,保证两端路由可达。 配置ACL,以定义需要IPSec保护的数据流。 配置IPSec安全提议,定义IPSec的保护方法。 配置安全策略,并引用ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。 在接口上应用安全策略组,使接口具有IPSec的保护功能。 配置IP地址 R1 R2 R3 配置RIP或者静态路由、OSPF R1 R2 R3 配置ACL 配置规则 R1 ...
数通--IPsec VPN隧道搭建配置实验
m0_74313947的博客
01-21 1947
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
配置虚拟隧道接口建立GRE over IPSec隧道示例.zip
03-27
ensp配置虚拟隧道接口建立GRE over IPSec隧道示例
采用缺省的IKE安全提议建立IPSec隧道配置
Qconfig100的博客
08-07 327
RouterA所在地为公司分支机构网关, RouterB为公司总部网关,分公司与总部是通过Internet 建立通信的。分公司子网为10.1.1.0 /24 网段;总部子网为 10.1.2.0/24 网段;现公司希望通过Internet 实现互访,且它们之间通信流量受IPSec安全保护。
配置基于虚拟隧道接口的IPSec隧道实验
以为网工见习者
05-23 1058
本案例说明如何配置IPSec隧道保证用户的业务数据在传输过程中的安全。某公司希望对分支与总部之间相互访问的流量进行安全保护。如图1所示,分公司构建了旁挂二层组网直接转发方式的WLAN网络,Router1为公司分支网关,Router2为公司总部网关,分支与总部通过公网建立通信,在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
配置基于路由的ipsec 隧道
搬砖小胖子
08-06 4068
设备名称 接口 IP地址 内网地址 备注 BJ_AR2240 Tunnel0/0/1 169.254.2.1/30 192.168.0.0/16 VPN接口 WQ_AR2240 Tunnel0/0/1 169.254.2.2/30 172.20.0.0/16 VPN接口 说明: 与基于模板的ipsec vpn不同的是,基于路由的ipsec vpn没有acl 感兴趣流的限制,...
IPsec VPN配置方式
Mario_Ti的博客
03-09 4897
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
IPSec 隧道技术--基础实验配置
热门推荐
正月十六工作室
04-26 2万+
IPSec VPN基础实验配置 IPSec 简介 (Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。 # IPSec架构 IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IK.
IPSec隧道
Fsy-LLing的博客
08-18 9115
谈到IPSec 隧道还得回顾一下隧道的基础概念(当然我们平时爬出去所用的也是这个)。 隧道全称:专用虚拟网,依靠ISP和NSP在公共基础网络(也就是互联网)上构建的安全通信网络,这条专线是逻辑上的,并不是物理的。 专用:可以根据客户的需求定制符合自身需求的网络 虚拟:用户不需要拥有实际的长途数据线路,直接在公共基础网络的基础上构建的。 那么为什么这么多种类的,比如GRE,L2TP等,要大力推举IPSec呢。比如说Gre的不支持用户的身份认证(第一道门都没有,如果黑客进入,连验证都不需要了),只会对数据进行简
防火墙实现ipsec vpn配置
qq2353177176的博客
11-30 1001
第二阶段,利用第一阶段已通过认证和安全保护的安全通道,建立一对用于数据安全传输的IPSec安全联盟。第一阶段,通信双方协商和建立IKE协议本身使用的安全通道,即建立一个IKE SA;需要PC1与PC2互访,FW1与FW2建立ipsec vpn通道。internet 中的underlay已经是搭建好的,无需我们干预。在建立ipsec vpn之前,我们需要使用ike来协商安全联盟。
防火墙配置IPSec VPN【IPSecVPN概念及详细讲解】
h1008685的博客
04-08 2333
ipsecvpn技术详细讲解,防火墙配置ipsec,NAT连用IPSecVPN问题解决思路
防火墙配置IPsec vpn (超详细附带思路看完就会)
weixin_52557120的博客
06-18 1万+
防火墙配置ipsec vpn ,按照思路去配置一般不会出现差错,防火墙其实就是默认拒绝所有流量的路由器,可以这么理解
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 9564
路由器基础(十二):IPSEC VPN配置
IPSec的IKE生命周期和ESP生命周期是什么
11-16
根据提供的引用内容,可以得知IKE协商生成IPSec SA,而ESP是IPSec中的一种协议,因此可以将问题拆分为两部分回答。 1. IKE生命周期 根据引用,IKE为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。IKE SA(Security Association)是IKE协议中的一个概念,用于建立和维护IKE通道。IKE SA的生命周期包括以下几个阶段: - 建立阶段:IKE SA的建立是通过IKE协商实现的,包括两个阶段,第一阶段主要是协商IKE SA的参数,第二阶段主要是协商IPSec SA的参数。 - 维护阶段:IKE SA的维护主要是通过周期性的IKE协商实现的,以保证IKE SA的可用性和安全性。 - 删除阶段:IKE SA的删除可以是主动删除或被动删除,主动删除是指IKE SA的一方发起删除请求,被动删除是指IKE SA的一方长时间未收到对方的消息而自动删除。 2. ESP生命周期 根据引用,ESP是IPSec中的一种协议,用于提供数据的机密性、完整性和可用性。ESP SA(Security Association)是ESP协议中的一个概念,用于建立和维护ESP通道。ESP SA的生命周期包括以下几个阶段: - 建立阶段:ESP SA的建立是通过IKE协商实现的,包括两个阶段,第一阶段主要是协商IKE SA的参数,第二阶段主要是协商ESP SA的参数。 - 维护阶段:ESP SA的维护主要是通过周期性的IKE协商实现的,以保证ESP SA的可用性和安全性。 - 删除阶段:ESP SA的删除可以是主动删除或被动删除,主动删除是指ESP SA的一方发起删除请求,被动删除是指ESP SA的一方长时间未收到对方的消息而自动删除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小肥溜了猪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值