在ensp上配置IPSec VPN传输不同流量

已于 2023-09-10 10:47:08 修改
阅读量1.3k 收藏 19
点赞数 2
文章标签: 网络 智能路由器 网络协议
于 2023-09-10 10:40:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55683012/article/details/132783882
版权

拓扑图如下:

其中有Internet、AR1、AR2三台路由器,Internet路由器为公网路由器;AR1路由器连接PC端PC1与客户端Client http与Client ftp,AR2路由器连接PC端PC2与服务器Server dns、Server http和Server ftp。

IPSec VPN通道建立在AR1路由器的GE0/0/1接口与AR2路由器的GE0/0/1接口上。

配置过程如下:

先是AR1,创建好AR1连接的PC1、Client http与Client ftp并设置好各自的ip地址等信息后,进行AR1的配置:

sys
sysname AR1 //路由器命名AR1
int g0/0/0
ip add 192.168.10.254 24 //配置端口地址
quit
int g0/0/1
ip add 100.1.1.1 30
quit

vlan 11 //创建vlan
quit
vlan 12
quit

int e0/0/0
port link-type access
port default vlan 11
quit
int e0/0/1
port link-type access
port default vlan 12
quit

int vlan 11
ip add 192.168.11.254 24 //配置vlan地址
quit
int vlan 12
ip add 192.168.12.254 24
quit

ip route-static 200.1.1.0 30 100.1.1.2 //设置静态路由
ip route-static 192.168.20.0 24 200.1.1.0
ip route-static 192.168.21.0 24 200.1.1.0
ip route-static 192.168.22.0 24 200.1.1.0
ip route-static 192.168.23.0 24 200.1.1.0

在AR2连接PC2、Server dns与Server http、Server ftp后,先创建好ftp与http需要的文件夹,配置文件根目录,并配置好dns的主机域名、地址等相关信息以及三个服务器的ip地址等信息,先进入AR2进行ftp相关配置:

FTP配置:(AR2)
ftp 192.168.21.1
配置用户名为:xxx   密码为:12345

sys
sysname AR2
ftp server enable //启用ftp

aaa
local-user ftp password cipher 12345
local-user ftp ftp-directory flash:
local-user ftp service-type ftp
local-user ftp privilege level 15

quit

后续为与AR1一样的步骤:

int g0/0/0
ip add 192.168.20.254 24
quit
int g0/0/1
ip add 200.1.1.1 30
quit

vlan 21
quit
vlan 22
quit
vlan 23
quit

int e0/0/0
port link-type access
port default vlan 21
quit
int e0/0/1
port link-type access
port default vlan 22
quit
int e0/0/2
port link-type access
port default vlan 23
quit

int vlan 21
ip add 192.168.21.254 24
quit
int vlan 22
ip add 192.168.22.254 24
quit
int vlan 23
ip add 192.168.23.254 24
quit

ip route-static 100.1.1.0 30 200.1.1.2
ip route-static 192.168.10.0 24 100.1.1.0
ip route-static 192.168.11.0 24 100.1.1.0
ip route-static 192.168.12.0 24 100.1.1.0

配置Internet路由器,同样是设置端口地址与配置静态路由:

sys
sysname Internet
int g0/0/0
ip add 100.1.1.2 30
quit

int g0/0/1
ip add 200.1.1.2 30
quit

ip route-static 192.168.10.0 24 100.1.1.1
ip route-static 192.168.11.0 24 100.1.1.1
ip route-static 192.168.12.0 24 100.1.1.1
ip route-static 192.168.20.0 24 200.1.1.1
ip route-static 192.168.21.0 24 200.1.1.1
ip route-static 192.168.22.0 24 200.1.1.1
ip route-static 192.168.23.0 24 200.1.1.1

完成以上后试着运行一次是否有报错或没有配通,配通后再进行下面的VPN配置,此时在端口上抓包均为原始的流量类别

进行IPSec配置:

先是AR1:

acl 3000  //创建acl
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 11 permit ip source 192.168.11.0 0.0.0.255 destination 192.168.21.0 0.0.0.255
rule 12 permit ip source 192.168.12.0 0.0.0.255 destination 192.168.22.0 0.0.0.255
rule 13 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.23.0 0.0.0.255 //允许访问网段

ipsec proposal gd //设置ipsec安全协议为gd
encapsulation-mode tunnel //报文封装形式采用隧道模式
transform esp //传输协议为esp
esp encryption-algorithm des //加密算法为des
esp authentication-algorithm md5 //认证算法为md5

ipsec policy gdut 10 manual //设置名为gdut的IPSec策略,序号为10,手动方式
security acl 3000 //匹配acl
proposal gd  //使用安全协议gd
tunnel local 100.1.1.1 //设置本地隧道端口
tunnel remote 200.1.1.1 //设置对端隧道端口
sa spi inbound esp 54321 //设置sa入方向的密钥为54321
sa string-key inbound esp cipher kiki //入方向为加密的密钥kiki
sa spi outbound esp 12345 //设置sa入方向的密钥为12345
sa string-key outbound esp cipher kiki //出方向为加密的密钥kiki

int g0/0/1
ipsec policy gdut  //在端口上启用IPSec

acl 3001
rule 20 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 21 deny ip source 192.168.11.0 0.0.0.255 destination 192.168.21.0 0.0.0.255
rule 22 deny ip source 192.168.12.0 0.0.0.255 destination 192.168.22.0 0.0.0.255
rule 23 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.23.0 0.0.0.255
rule 25 permit ip
quit
int g0/0/1
nat outbound 3001

AR2是一样的方式:

acl 3000
rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 11 permit ip source 192.168.21.0 0.0.0.255 destination 192.168.11.0 0.0.0.255
rule 12 permit ip source 192.168.22.0 0.0.0.255 destination 192.168.12.0 0.0.0.255
rule 13 permit ip source 192.168.23.0 0.0.0.255 destination 192.168.10.0 0.0.0.255


ipsec proposal ho
encapsulation-mode tunnel
transform esp
esp encryption-algorithm des
esp authentication-algorithm md5

ipsec policy home 10 manual
security acl 3000
proposal ho
tunnel local 200.1.1.1
tunnel remote 100.1.1.1
sa spi inbound esp 12345
sa string-key inbound esp cipher kiki
sa spi outbound esp 54321
sa string-key outbound esp cipher kiki

int g0/0/1
ipsec policy home

acl 3001
rule 20 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 21 deny ip source 192.168.21.0 0.0.0.255 destination 192.168.11.0 0.0.0.255
rule 22 deny ip source 192.168.22.0 0.0.0.255 destination 192.168.12.0 0.0.0.255
rule 23 deny ip source 192.168.23.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 25 permit ip
quit
int g0/0/1
nat outbound 3001

要注意,一端路由器的入/出方向密钥要与另一端路由器的出/入方向密钥要一致。

在AR1的GE0/0/1接口上进行抓包,以ftp为例,在未进行加密时,抓包结果如下,数据包中有多种协议的流量数据

加密后,抓包结果如下,当流量加密后,数据包的源IP、目的IP、协议均发生改变,IP地址变为IPSec VPN隧道两端的地址,协议变为IPSec的ESP协议:

注意,若进行IPSec VPN配置后,经过试验后已经配通,但是抓包后发现流量并没有经过IPSec加密,表明仍没有配置成功,需要找出是否有错漏的地方。

若只进行IPSec vpn配置,无需传输多种流量,如下图,则无需配置vlan

配置过程如下:

AR1:

sys
sysname AR1
int g0/0/0
ip add 192.168.10.254 24
quit
int g0/0/1
ip add 100.1.1.1 30
quit

ip route-static 0.0.0.0 0.0.0.0 100.1.1.2

AR2:

sys
sysname AR2
int g0/0/0
ip add 192.168.20.254 24
quit
int g0/0/1
ip add 200.1.1.1 30
quit

ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

Internet

sys
sysname Internet
int g0/0/0
ip add 100.1.1.2 30
quit

int g0/0/1
ip add 200.1.1.2 30
quit

ip route-static 192.168.10.0 24 100.1.1.1
ip route-static 192.168.20.0 24 200.1.1.1

IPSec配置:

AR1:
acl 3000
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

ipsec proposal gd
encapsulation-mode tunnel
transform esp
esp encryption-algorithm des
esp authentication-algorithm md5

ipsec policy gdut 10 manual
security acl 3000
proposal gd
tunnel local 100.1.1.1
tunnel remote 200.1.1.1
sa spi inbound esp 54321
sa string-key inbound esp cipher kiki
sa spi outbound esp 12345
sa string-key outbound esp cipher kiki

int g0/0/1
ipsec policy gdut

acl 3001
rule 20 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 25 permit ip
quit
int g0/0/1
nat outbound 3001

AR2:
acl 3000
rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

ipsec proposal ho
encapsulation-mode tunnel
transform esp
esp encryption-algorithm des
esp authentication-algorithm md5

ipsec policy home 10 manual
security acl 3000
proposal ho
tunnel local 200.1.1.1
tunnel remote 100.1.1.1
sa spi inbound esp 12345
sa string-key inbound esp cipher kiki
sa spi outbound esp 54321
sa string-key outbound esp cipher kiki

int g0/0/1
ipsec policy home

acl 3001
rule 20 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 25 permit ip
quit
int g0/0/1
nat outbound 3001

XTX253
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
【校园网设计】基于ensp的跨地区的校园网组网方案
05-24
vlan划分 为总校区行政楼划分vlan10 网段为192.168.10.0/24,宿舍楼划分vlan 20,网段为192.168.20.0/24 ,教学楼为vlan30,网段192.168.30.0/24 实验楼 vlan40 ,网段192.168.40.0/24,分校区的教学楼vlan 100 ,网段是192.168.100.0/24 合理利用trunk和acces技术,明白打tag和去tag的原理 svi口 三层交换机配置svi口,作为pc的网关,并设置vlanif800上连公司出口路由器 dhcp自动分配ip 汇聚交换机开启dhcp功能,建立地址池,全局配置dhcp功能 nat nat使用napt技术,将内网地址转换为外网地址+端口的方式,并将内网的web服务器映射出去,可供外网访问校园web服务器 ospf 内网使用ospf协议完成互通,运营商使用ospf模拟互通 bgp 总校区和运营商,运营商和分校区之间建立bgo邻居,两校区之间的流量通过bgp进行传输 acl访问控制列表 只允许行政楼才能访问财政服务器
华为 eNsp ipSec vpn实验配置(1)
热门推荐
爱意随风起,人生不可弃。
04-11 2万+
实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-static 12.0.0.0 255.255.255.0 11.0.0.2 ip route-static 192.168.2.0 255.255.255.0 12.0.0.2 [Huawei]ac...
华为eNSP IPsec VPN配置指南
最新发布
外游者
04-10 4075
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP配置IPsec VPN的步骤,并解析每一条关键命令的含义。
华为HCIA进阶笔记:IPsec VPN原理与配置
君逍遥o
06-20 4339
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。lPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。
华为ensp防火墙ipsec
西北纵队
11-22 1万+
菊厂防火墙ipsecvpn 1)调试设备IP地址,防火墙有些策略限制会导致即使配置了正确的路由,也不能使得公网通,这就需要我们进行调试设备;一个是关于接口的ping服务是否打开,二是关于安全策略是否允许区域间流量流动; 拓扑图的IP地址配置在图上已经标好,按照图示配置即可 地址配好,将会出现一个问题,防火墙的编号最小的接口将不会存在直连路由,哪怕你提前配置了一条往公网的静态默认路由,都不会显示在转发录音表中,这是因为防火墙默认有一个vpn模型在他的g0/0/0接口上,把他undo即可 [FW2-Gigab
IPSec VPN原理与配置
qq_61946091的博客
06-15 1万+
IPSec
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
华为eNSP配置环境所需文件.RAR
10-18
华为eNSP配置环境所需文件。 eNSP-V100R003C00 SPC100(1.3.00.100) VirtualBox-5.2.44 WinPcap-4.1.3 Wireshark-3.6.8 (搭配之前发布的WIN11eNSP安装教程所用,其他Windows版本可参考部分。)
eNSP实验配置.zip
04-26
eNSP实验配置,包含端到端的基础网络、AR路由器的基本配置和交换机的MAC地址学习三个小实验,fireshark抓包文件也保存在里面了;另外还有一个简单的静态路由配置实验,作为拓展实验。 PS:里面已保存有配置了,如果...
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
eNspVlan配置
08-28
二层交换机1-2口划分到VLAN 100;11-12口属于VLAN200。 PC1、PC2分别属于VLAN 100;PC3、PC4属于VLAN200。 VLAN 100 的网络地址为 100.100.... VLAN 200 的网络地址为 200....配置后实现PC1、PC2、PC3、PC4之间能够互通。
eNSP—防火墙+IPSec 站点到站点的虚拟专用网络
m0_46237205的博客
04-10 3840
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 3540
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
eNSP—虚拟专用网的IPSec配置
m0_46237205的博客
10-27 5400
实验拓扑图如下: 实验目的:把两个私网打通,PC1可以ping通PC2。 1、PC的配置: PC1 PC2 2、R1基本信息配置: < Huawei >sys [Huawei]undo info-center enable [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.10.254 24 [Huawei-GigabitEthernet0/0/0]undo shut [Huawei-GigabitEthernet
玩转华为ENSP模拟器系列 | IPSec网关负载分担双机热备,上下行连接路由器
COCO_gsta的博客
10-18 1890
FW_B发给总部的流量沿FW_BRouter1FW_DRouter2路径传递,则需要在FW_C和FW_D上配置路由策略,从而控制Router1和Router2的路由信息。状态时,FW_C将对外发布的直连路由和静态路由统一减10,FW_D将对外发布的直连路由和静态路由统一加10,这样FW_A和FW_B将全部发送至FW_C处理。状态时,FW_C将对外发布的直连路由和静态路由统一加10,FW_D将对外发布的直连路由和静态路由统一减10,这样FW_A和FW_B将全部发送至FW_D处理。
华为eNSP配置专题-IPSec配置
日拱一卒的博客
10-26 1493
华为eNSP配置专题-IPSec配置
基于EnspIPsec 实验
WANGMH13的博客
08-02 3382
基于EnspIPsec 实验
ensp配置ipsec+vpn
09-28
ENSP为例,配置***略,包括本地和远程地址。例如,使用命令"[fenzhi-ipsec-policy-manual-huawei-10]tunnel local 192.168.23.3"和"[fenzhi-ipsec-policy-manual-huawei-10]tunnel remote 192.168.12.1"来配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值