防火墙上配置IPsec vpn (超详细附带思路看完就会)

最新推荐文章于 2025-04-02 13:54:19 发布
最新推荐文章于 2025-04-02 13:54:19 发布
阅读量1.3w 收藏 120
点赞数 34
分类专栏: 数通实验汇总 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52557120/article/details/131274416
版权

目录

实验配置

拓扑图

思路:

基础配置部分

ipsec vpn部分

防火墙部分

开始配置

ipsec vpn部分

ipsec安全提案,指定封装模式,使用数据加密协议,协议的认证算法和加密算法

 Ike提案,Ike自动协商密钥需要配置Ike提案,用户指定密钥的交互认证方式和算法

Ike peer,绑定Ike proposal,指定Ike交互模式和对端用户接收ipsec报文地址,指定共享密钥,设定dpd消息报文 

创建高级ACL抓取ipsec感兴趣的流量,抓取PC1和PC2的流量,即当PC1和PC2访问时触发ACL策略时,则走的ipsec隧道

创建ipsec policy,绑定ipsec Proposal,Ike peer ,高级acl流量,配置本地站点地址 

 接口下使能ipsec policy

防火墙部分

策略配置 //FW1和FW2都需要配置

查看防火墙上的会话表

总结:

实验配置

拓扑图

思路:

基础配置部分

  • 基础的IP地址需要配好(如图)
  • 路由可达,本次拓扑采用的为全局OSPF

ipsec vpn部分

  • ipsec安全提案,指定封装模式,使用数据加密协议,协议的认证算法和加密算法
  • Ike提案,Ike自动协商密钥需要配置Ike提案,用户指定密钥的交互认证方式和算法
  • Ike peer,绑定Ike proposal,指定Ike交互模式和对端用户接收ipsec报文地址,指定共享密钥,设定dpd消息报文
  • 创建高级ACL抓取ipsec感兴趣的流量
  • 创建ipsec policy,绑定ipsec Proposal,Ike peer ,高级acl流量,配置本地站点地址
  • 接口下使能ipsec policy

防火墙部分

  • 将接口纳入响应区域,保证ospf邻居关系建立
  • 配置对应的区域策略,trust和UNtrust的区域互访策略和UNtrust到本地的互访策略

开始配置

ipsec vpn部分

查看提案dis ipsec proposal

 

ipsec安全提案,指定封装模式,使用数据加密协议,协议的认证算法和加密算法

FW1:

ipsec proposal 1

transform esp  //esp协议既支持加密也支持认证

encapsulation-mode tunnel  //指定封装模式为隧道

esp authentication-algorithm sha2-256 //esp的认证算法

esp encryption-algorithm aes-256 //esp的加密算法

FW2:和FW1配置一致

ipsec proposal 1

transform esp  //esp协议既支持加密也支持认证

encapsulation-mode tunnel  //指定封装模式为隧道

esp authentication-algorithm sha2-256 //esp的认证算法

esp encryption-algorithm aes-256 //esp的加密算法

纯享版:

ipsec prosal 1

transform esp

encapsulation-mode tunnel

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

 Ike提案,Ike自动协商密钥需要配置Ike提案,用户指定密钥的交互认证方式和算法

查看ike proposal:dis ike proposal

FW1:

ike proposal 1

encryption-algorithm aes-256 //加密算法

dh group14 //最大支持密钥宽度

authentication-algorithm sha2-256 //认证算法

authentication-method pre-share  //认证方式

integrity-algorithm hmac-sha2-256  //完整性算法

prf hmac-sha2-256   //prf算法

FW2:

ike proposal 1

encryption-algorithm aes-256 //加密算法

dh group14 //最大支持密钥宽度

authentication-algorithm sha2-256 //认证算法

authentication-method pre-share  //认证方式

integrity-algorithm hmac-sha2-256  //完整性算法

prf hmac-sha2-256   //prf算法

纯享版

ike proposal 1

encryption-algorithm aes-256

dh group14 

authentication-algorithm sha2-256

authentication-method pre-share 

integrity-algorithm hmac-sha2-256 

prf hmac-sha2-256

Ike peer,绑定Ike proposal,指定Ike交互模式和对端用户接收ipsec报文地址,指定共享密钥,设定dpd消息报文 

查看Ike peer:dis ike peer

FW1

Ike peer 1

undo version 2

pre-shared-key mima@123   //预共享秘钥

ike-proposal 1  //绑定IKE提案

dpd type periodic    //dpd消息为周期发送

dpd idle-time 10    //检测包发送时间为10S,缺省为30

 remote-address 2.2.2.2  //对端IPSEC地址

 local-id-type ip  //本地ID类型指为IP

 exchange-mode main   //ike在1阶段交互模式为主模式

FW2

Ike peer 1

undo version 2

pre-shared-key mima@123   //预共享秘钥

ike-proposal 1  //绑定IKE提案

dpd type periodic    //dpd消息为周期发送

dpd idle-time 10    //检测包发送时间为10S,缺省为30

 remote-address 1.1.1.2  //对端IPSEC地址

 local-id-type ip  //本地ID类型指为IP

 exchange-mode main   //ike在1阶段交互模式为主模式

创建高级ACL抓取ipsec感兴趣的流量,抓取PC1和PC2的流量,即当PC1和PC2访问时触发ACL策略时,则走的ipsec隧道

FW1

acl number 3000

rule 1 permit ip source 192.168.1.1 0.0.0.255 destination 192.168.2.1 0.0.0.255

FW2

acl number 3000

rule 1 permit ip source 192.168.2.1 0.0.0.255 destination 192.168.1.1 0.0.0.255

创建ipsec policy,绑定ipsec Proposal,Ike peer ,高级acl流量,配置本地站点地址 

FW1

ipsec policy FW1 1 isakmp

security acl 3000  

ike-peer 1  

proposal 1  

tunnel local   1.1.1.2  //设置隧道本地地址,(华为路由器是在ike-peer 视图下指定)

FW2

ipsec policy FW2 1 isakmp

security acl 3000  

ike-peer 1  

proposal 1 

tunnel local   2.2.2.2 //设置隧道本地地址,(华为路由器是在ike-peer 视图下指定)

纯享版

ipsec policy 1 isakmp

security acl 3000  

ike-peer 1  

proposal 1  

tunnel local

 接口下使能ipsec policy

FW1

interface GigabitEthernet1/0/0

ipsec policy FW1

FW2

interface GigabitEthernet1/0/1

ipsec policy FW2

防火墙部分

策略配置 //FW1和FW2都需要配置

security-policy

rule name local_untrust

source-zone local

destination-zone untrust

action permit

rule name untrust_local

source-zone untrust

destination-zone local

action permit

rule name trust_untrust

source-zone trust

destination-zone untrust

action permit

rule name untrust_trust

source-zone untrust

destination-zone trust

action permit

查看防火墙上的会话表

        dis firewall session table

 

总结:

       在防火墙做ipsec vpn其实和在路由器上配置没有什么不同,毕竟防火墙也是三层设备,只不过底层默认拒绝,我们需要把防火墙当成路由器,因为底层默认拒绝,所以,我们需要放行我们需要的流量,在本次实验中主要是是两种流量,第一个ipsec报文的交互流量和两端互访的流量,在配置中一定要注意,要确定两端是ospf关系是否为full状态,如果没起来,卡在某个状态,请注意检查IP地址是否配置规范,以及防火墙是否正确的划分区域,接口是否划入对应的区域,如果ospf关系卡在exstart状态,那么肯定是你没有将接口划入区域,尝试这样操作,再继续之后的步骤

        在ipsec配置的时候,从实验中其实可以看到,两端的配置几乎是一样的,也就是我们可以复制过去,但是需要注意的是相关的IP地址以及加密算法和认证算法需要一致,不然起不来,建议每做完一步就去查看对应的对话表

IPSec VPN的原理与配置
2301_78256093的博客
06-14 1万+
配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
10张图片教会你配置ipsec vpn
m0_57121953的博客
12-11 131
跨地区联网办公最经济实惠的方式,莫过于ipsec vpn,笔者此前也不止一次地写过ipsec vpn配置方法,但是总有网友说太复杂了,今天我非要给各位看官来个简单版的教程,只用10张图片,就能展示华为防火墙配通外网,并且配通总部与分支机构的ipsec vpn。总部与分支机构的网关设备相同,都是华为防火墙,型号为USG6330,缺点是安全授权都过期了,有待续费;密码忘记了,原配置也没有了,所以启动...
【华为】IPSec (动态)的原理与配置
2403_83112422的博客
03-05 1420
实现PC1与PC2在公网传输时加密通信(IPSec VPN),并且实现PC1访问R5的loopback8端口(NAT)
IPsec VPN配置方式
Mario_Ti的博客
03-09 7178
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
华为防火墙 USG6300E IPSecVP* Web配置方法
一直被模仿,从未被超越
10-14 7418
接口如下图, wan口,lan口 1、添加安全策略 2、添加 NAT策略 3、添加静态路由 4、添加IPSec 5、查看监控成功
路由器基础(十二):IPSEC VPN配置
热门推荐
limengshi138392的博客
11-04 1万+
路由器基础(十二):IPSEC VPN配置
华为防火墙配置ipsec vpn
Richardlygo的博客
08-27 1649
为了实现总部与分部之间的内网通讯,在防火墙上架设ipsec vpn,实现内网之间的加密通讯。 防火墙配置默认路由总部-FW分部-FW配置接口IP以及安全域分部-FW总部-FW在分部和总部的防护墙上添加地址条目总部-FW分部-FW添加安全策略,放行指定IP总部-FW分部-FWweb配置dhcp服务时需在接口上启用dhcp,否则无法创建dhcp服务ZB-FW需要注意,如果未配置策略则会出现路由不通总部-FW在总部-FW上配置本段接口、地址、对端地址、本端ID、预共享密钥总部-FW配置加密数据流,添加总部私网
防火墙配置IPSec VPNIPSecVPN概念及详细讲解】
h1008685的博客
04-08 4513
ipsecvpn技术详细讲解,防火墙配置ipsec,NAT连用IPSecVPN问题解决思路
防火墙Ipsec vpn配置
zljszn的博客
10-19 1万+
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec配置(FW2也一样)
华为防火墙配置 SSL VPN
走马
06-09 7538
哈喽,我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。本次实验只需要用到两个软件,分别是ENSP和VMware,本次实验中的所有文件都可以在文章的末尾获取。话不多说,教程开始。百度百科解释:虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。相信朋友们在工作或者学习中会碰到这样一个场景。
防火墙实现ipsec vpn配置
qq2353177176的博客
11-30 1426
第二阶段,利用第一阶段已通过认证和安全保护的安全通道,建立一对用于数据安全传输的IPSec安全联盟。第一阶段,通信双方协商和建立IKE协议本身使用的安全通道,即建立一个IKE SA;需要PC1与PC2互访,FW1与FW2建立ipsec vpn通道。internet 中的underlay已经是搭建好的,无需我们干预。在建立ipsec vpn之前,我们需要使用ike来协商安全联盟。
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
H3C与VPN高级应用(二)ASA防火墙上实现IPSec VPN的原理与配置指南
洛秋的博客
07-21 902
IPSec(Internet Protocol Security)是一套用于在IP网络上进行安全通信的协议集,通过对数据包进行加密和认证,提供端到端的安全保障。IPSec主要包括两个阶段:ISAKMP/IKE阶段1和ISAKMP/IKE阶段2。ISAKMP/IKE阶段1:在此阶段,双方建立安全通道,协商加密算法和密钥交换方法。ISAKMP/IKE阶段2:在此阶段,双方使用阶段1生成的安全通道,协商IPSec SA(安全关联),用于保护实际数据传输。
CISCO ASA防火墙VPN基础内容、 IPSec VPN
最新发布
m0_57385165的博客
04-02 790
一组基于网络层的应用密码学的安全通信协议族,是一个开放的协议族,也考虑长远性要求(支持IPv4,IPv6)保护的是网络层及上层流量,主要保护TCP、UDP、ICMP等的隧道的IP数据包可以提供的安全服务机密性完整性数据源鉴别不可否认访问控制重放攻击保护。
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4591
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
IKE与IPSec详解
悦分享
08-11 5067
定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。...
华为防火墙(IPSec)命令行配置案例
仓鼠OO的博客
12-06 2149
华为防火墙(IPSec)命令行配置案例
防火墙之搭建VPN
l15565的博客
08-21 1279
2.进入防火墙,并配置接口 配置记得勾选ping或者其他,方便测试。1.配置基础配置,端口,防火墙配置。3.任何网段访问防火墙
IPSEC VPN配置
m0_71264131的博客
04-14 2300
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略、IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
华为防火墙检测ipsec的命令
03-27
华为防火墙检测ipsec的命令包括: 1. display ike sa:显示IKE会话信息。 2. display ipsec sa:显示IPSec安全联盟信息。 3. display ipsec statistics:显示IPSec统计信息。 4. display ike statistics:显示IKE统计信息。 5. display ike peer:显示IKE对端信息。 6. display ipsec policy:显示IPSec策略信息。 7. display ike proposal:显示IKE提议信息。 8. display ike version:显示IKE版本信息。 9. display ike debugging:启用IKE调试信息。 10. display ipsec debugging:启用IPSec调试信息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值