企业网络安全架构设计之IPSec VPN应用配置举例

已于 2023-06-16 15:53:08 修改
阅读量4.8k 收藏 66
点赞数 13
文章标签: web安全 网络 安全
于 2023-06-16 15:46:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/while_if/article/details/131247873
版权

文章目录

1. 需求分析

组网拓扑:

在这里插入图片描述

组网需求:

  1. 分支机构内部业务Vlan为vlan 10与vlan 20,通过FW1的DHCP服务获取相关网络配置信息。分支机构中Vlan 30为外网Vlan,PC5只可以访问公网,无法通过IPSec访问总部内网资源。

  2. 分支机构Client1与PC2需要访问总部内部的FTP服务器,为保证数据访问的安全性,采用IPSec VPN的方式通过公网进行资源访问。

  3. 为保证分支机构访问总部数据的可靠性,总部出口处采用双击热备的方式进行组网。

2. 地址规划

终端设备地址规划:

名称所属VlanIP地址/掩码
Client11010.1.1.2/24【不支持DHCP,采用手工静态配置】
PC220DHCP获取【网段10.1.1.0/24】
PC530DHCP获取【网段192.168.30.0/24】
公网DNS/8.8.8.8
Web100172.18.17.10/24
FTP200192.168.2.2/24
PC4300192.168.3.2/24

网络设备地址规划:

名称接口IP地址/掩码备注
FW1GE1/0/1.1010.1.1.1/24Vlan10网关地址
GE1/0/1.2010.1.2.1/24Vlan20网关地址
GE1/0/1.30192.168.30.1/24Vlan30网关地址
GE1/0/0111.160.10.2/30外网出口地址
R1GE0/0/0111.160.10.1/30分支机构互联网网关地址
GE0/0/28.8.8.1/24公网DNS网关地址
GE0/0/1111.160.20.1/30总部互联网网关地址
FW2GE1/0/0172.16.1.1/27互联网侧实地址,虚地址为111.160.20.2/30
GE1/0/21.1.1.1/24心跳地址
GE1/0/1192.168.100.3/27内网侧实地址,虚地址为192.168.100.1/27
FW3GE1/0/0172.16.1.2/27互联网侧实地址,虚地址为111.160.20.2/30
GE1/0/21.1.1.2/24心跳地址
GE1/0/1192.168.100.4/27内网侧实地址,虚地址为192.168.100.1/27
LSW3Vlanif100172.18.17.1/24Vlan100网关地址
Vlanif200192.168.2.1/24Vlan200网关地址
Vlanif300192.168.3.1/24Vlan300网关地址
Vlanif1000192.168.100.2/27上联防火墙地址

3. 防火墙接口区域规划

名称接口所属区域
FW1GE1/0/1Trust
GE1/0/1.10Trust
GE1/0/1.20Trust
GE1/0/1.30Trust
GE1/0/0Untrust
FW2GE1/0/0Untrust
GE1/0/2DMZ
GE1/0/1Trust
FW3GE1/0/0Untrust
GE1/0/2DMZ
GE1/0/1Trust

4. 分支机构内网配置

LSW4交换机配置

  • 创建Vlan
vlan batch 10 20 30
  • 配置接口模式,连接终端的接口开启边缘端口加快转发
interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

 stp edged-port enable

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 20

 stp edged-port enable

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 30

 stp edged-port enable

#

interface GigabitEthernet0/0/4

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 10 20 30

 stp edged-port enable

FW1防火墙配置

防火墙初始用户名与密码:admin/Admin@123【初次登陆需要修改密码,修改后的密码为huawei@123】

  • 开启DHCP服务
dhcp enable
  • 创建业务Vlan
vlan batch 10 20 30
  • 创建内网三层子接口,设置封装类型与关联的Vlan id;配置IP地址,并开启DHCP服务,DNS配置公网DNS 8.8.8.8
interface GigabitEthernet1/0/1.10

 vlan-type dot1q 10

 ip address 10.1.1.1 255.255.255.0

 service-manage ping permit

 dhcp select interface

 dhcp server dns-list 8.8.8.8

#

interface GigabitEthernet1/0/1.20

 vlan-type dot1q 20

 ip address 10.1.2.1 255.255.255.0

 service-manage ping permit

 dhcp select interface

 dhcp server dns-list 8.8.8.8

#

interface GigabitEthernet1/0/1.30

 vlan-type dot1q 30

 ip address 192.168.30.1 255.255.255.0

 service-manage ping permit

 dhcp select interface

 dhcp server dns-list 8.8.8.8
  • 接口划分至安全区域
firewall zone trust

 add interface GigabitEthernet1/0/1

 add interface GigabitEthernet1/0/1.10

 add interface GigabitEthernet1/0/1.20

 add interface GigabitEthernet1/0/1.30#

firewall zone untrust

 add interface GigabitEthernet1/0/0
  • 配置DHCP安全策略,使终端可以获取IP地址
security-policy

 rule name DHCP

 source-zone local

 source-zone trust

 destination-zone local

 destination-zone trust

 action permit

检查配置情况

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

5. 分支机构外网配置

防火墙外网地址配置

 interface GigabitEthernet1/0/0

 ip address 111.160.10.2 30

防火墙NAT配置

nat-policy

 rule name to_internet

 source-zone trust

 destination-zone untrust

 action source-nat easy-ip

防火墙安全策略配置

security-policy

 rule name to_internet

 source-zone trust

 destination-zone untrust

 action permit

防火墙路由配置

 ip route-static 0.0.0.0 0 111.160.10.1

6. 互联网路由器配置【R1】

接口IP地址配置

interface GigabitEthernet0/0/0

 ip address 111.160.10.1 255.255.255.252

#

interface GigabitEthernet0/0/1

 ip address 111.160.20.1 255.255.255.252

#

interface GigabitEthernet0/0/2

 ip address 8.8.8.1 255.255.255.0

IP地址配置完成后,分支机构的PC可以ping通DNS服务器地址8.8.8.8

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

7. 总部内外网配置

LSW3交换机配置

  • 创建业务Vlan
vlan batch 100 200 300 1000 //vlan 100 200 300为业务Vlan;Vlan1000为交换机与防火墙互联Vlan
  • 配置接口所属Vlan,配置边缘端口加快转发
interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 1000

 stp edged-port enable

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 1000

 stp edged-port enable

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 100

 stp edged-port enable

#

interface GigabitEthernet0/0/4

 port link-type access

 port default vlan 200

 stp edged-port enable

#

interface GigabitEthernet0/0/5

 port link-type access

 port default vlan 300

 stp edged-port enable

#
  • 配置IP地址
interface Vlanif100

 ip address 172.18.17.1 255.255.255.0

#

interface Vlanif200

 ip address 192.168.2.1 255.255.255.0

#

interface Vlanif300

 ip address 192.168.3.1 255.255.255.0

#

interface Vlanif1000

 ip address 192.168.100.2 255.255.255.224

#
  • 配置默认路由
ip route-static 0.0.0.0 0 192.168.100.1 //下一跳地址为防火墙的虚地址
  • 配置安全防护策略

由于Web服务器提供对外访问,属于DMZ区域,需要在核心交换机上配置策略使其不能访问内网资源。

#

acl number 3000

 rule 5 deny ip source 172.18.17.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

 rule 10 deny ip source 172.18.17.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

 rule 15 permit ip

#

traffic classifier geli operator and

 if-match acl 3000

#

traffic behavior geli

 permit

#

traffic policy geli

 classifier geli behavior geli

#

vlan 100

 traffic-policy geli inbound

FW2防火墙基础配置

防火墙初始用户名与密码:admin/Admin@123【初次登陆需要修改密码,修改后的密码为huawei@123】

  • 接口IP地址配置
interface GigabitEthernet1/0/0

 undo shutdown

 ip address 172.16.1.1 255.255.255.224

 service-manage ping permit  //外网接口一般不允许ping,不建议打开ping功能,此为实验环境仅做测试使用

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 192.168.100.3 255.255.255.224

 service-manage ping permit

#

interface GigabitEthernet1/0/2

 undo shutdown

 ip address 1.1.1.1 255.255.255.0

#
  • 安全区域配置
firewall zone trust

 add interface GigabitEthernet1/0/1

#

firewall zone untrust

 add interface GigabitEthernet1/0/0

#

firewall zone dmz

 add interface GigabitEthernet1/0/2

#

FW3防火墙基础配置

防火墙初始用户名与密码:admin/Admin@123【初次登陆需要修改密码,修改后的密码为huawei@123】

  • 接口IP地址配置
interface GigabitEthernet1/0/0

 undo shutdown

 ip address 172.16.1.2 255.255.255.224

 service-manage ping permit

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 192.168.100.4 255.255.255.224

 service-manage ping permit

#

interface GigabitEthernet1/0/2

 undo shutdown

 ip address 1.1.1.2 255.255.255.0

#
  • 安全区域配置
firewall zone trust

 add interface GigabitEthernet1/0/1

#

firewall zone untrust

 add interface GigabitEthernet1/0/0

#

firewall zone dmz

 add interface GigabitEthernet1/0/2

#

防火墙双机热备配置

FW2为双机热备的主防火墙,FW3作为备防火墙,当FW2故障后FW3切换为主防火墙进行数据转发工作

  • FW2的VGMP配置
interface GigabitEthernet1/0/0

 vrrp vrid 1 virtual-ip 111.160.20.2 255.255.255.252 active

 vrrp vrid 1 timer advertise 30

#

interface GigabitEthernet1/0/1

 vrrp vrid 2 virtual-ip 192.168.100.1 active

 vrrp vrid 2 timer advertise 30

#
  • FW3的VGMP配置
interface GigabitEthernet1/0/0

 vrrp vrid 1 virtual-ip 111.160.20.2 255.255.255.252 standby

 vrrp vrid 1 timer advertise 30

#

interface GigabitEthernet1/0/1

 vrrp vrid 2 virtual-ip 192.168.100.1 standby

 vrrp vrid 2 timer advertise 30

#
  • 配置心跳接口,开启双机热备

FW2:

hrp interface GigabitEthernet1/0/2 remote 1.1.1.2

hrp enable

FW3:

hrp interface GigabitEthernet1/0/2 remote 1.1.1.1

hrp enable

检查双机热备配置情况

  • FW2与FW3查看hrp状态、VGMP状态

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

  • 测试虚地址连通性

    在这里插入图片描述

在这里插入图片描述

在FW2主防火墙上配置回程路由

由于静态路由默认不会同步至备墙,需要配置命令用来开启静态路由同步,然后同步配置备份。

FW2:

ip route-static 172.18.17.0 255.255.255.0 192.168.100.2

ip route-static 192.168.2.0 255.255.255.0 192.168.100.2

ip route-static 192.168.3.0 255.255.255.0 192.168.100.2

hrp auto-sync config static-route //开启静态路由配置同步

hrp sync config //退回至用户视图,使用该命令将主墙配置同步至备墙

在这里插入图片描述

  • 在备墙上查看路由表

在这里插入图片描述

在FW2主防火墙上配置安全策略与NAT策略

安全策略与NAT策略配置完成后会直接同步至备墙

在这里插入图片描述

目的:使办公终端可以上网,同时将Web网站映射至公网上,供互联网用户访问该资源。

  • 配置安全策略

【Web服务器与PC终端上网策略】

#

security-policy

 rule name to_internet

 source-zone trust

 destination-zone untrust

 source-address 172.18.17.0 mask 255.255.255.0

 source-address 192.168.3.0 mask 255.255.255.0

 action permit

#

【公网用户访问Web服务器策略】

#

rule name web

 source-zone untrust

 destination-zone trust

 destination-address 172.18.17.10 mask 255.255.255.255

 action permit

#
  • 配置NAT地址池
#

nat address-group addr 1

 mode no-pat global

 route enable

 section 1 111.160.20.2 111.160.20.2

#
  • 配置NAT策略
nat-policy

 rule name to_internet

 source-zone trust

 destination-zone untrust

 source-address 172.18.17.0 mask 255.255.255.0

 source-address 192.168.3.0 mask 255.255.255.0

 action source-nat address-group addr
  • 配置默认路由
ip route-static 0.0.0.0 0 111.160.20.1

HRP_M<FW2>hrp sync config //同步配置
  • 配置Web服务器对外映射
nat server protocol tcp global 111.160.20.2 www inside 172.18.17.10 www

8. 测试总部相关配置情况

使用Client1访问总部Web服务器

在这里插入图片描述

PC4访问公网DNS服务器

在这里插入图片描述

9. IPSec VPN配置

分部配置

  • 配置IKE提议
ike proposal 1

 encryption-algorithm aes-256

 dh group14

 authentication-algorithm sha2-256

 authentication-method pre-share

 integrity-algorithm hmac-sha2-256

 prf hmac-sha2-256

#
  • 配置IKE对等体
ike peer zongbu

 pre-shared-key huawei@123

 ike-proposal 1

 remote-address 111.160.120.2
  • 配置感兴趣流
acl number 3001

 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

 rule 10 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

 rule 15 permit ip source 10.1.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

 rule 20 permit ip source 10.1.2.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
  • 配置IPSec提议
ipsec proposal 1

 transform ah-esp

 ah authentication-algorithm sha2-256

 esp authentication-algorithm sha2-256

 esp encryption-algorithm aes-256
  • 配置IPSec策略
ipsec policy to-zongbu 1 isakmp

 security acl 3001

 ike-peer zongbu

 proposal 1
  • 应用至接口
interface GigabitEthernet1/0/0

 ipsec policy to-zongbu
  • 配置NAT策略,针对感兴趣流不做NAT转换,将该策略放置NAT策略最前端
nat-policy

 rule name ipsec-data

 source-zone trust

 destination-zone untrust

 source-address 10.1.1.0 mask 255.255.255.0

 source-address 10.1.2.0 mask 255.255.255.0

 destination-address 192.168.2.0 mask 255.255.255.0

 destination-address 192.168.3.0 mask 255.255.255.0

 action no-nat

 quit

 rule move ipsec-data up
  • 配置安全策略用于IPSec连接建立

【通常情况放通ESP服务与UDP 500端口即可,实验环境服务全部放通】

security-policy

rule name ipsec-connect1

 source-zone local

 destination-zone untrust

 source-address 111.160.10.2 mask 255.255.255.255

 destination-address 111.160.20.2 mask 255.255.255.255

 action permit

 rule name ipsec-connect2

 source-zone untrust

 destination-zone local

 source-address 111.160.20.2 mask 255.255.255.255

 destination-address 111.160.10.2 mask 255.255.255.255

 action permit
  • 配置安全策略用于分部与总部之前内网流量互访
security-policy

 rule name ipsec-data-out

 source-zone trust

 destination-zone untrust

 source-address 10.1.1.0 mask 255.255.255.0

 source-address 10.1.2.0 mask 255.255.255.0

 destination-address 192.168.2.0 mask 255.255.255.0

 destination-address 192.168.3.0 mask 255.255.255.0

 action permit

 rule name ipsec-data-in

 source-zone untrust

 destination-zone trust

 source-address 192.168.2.0 mask 255.255.255.0

 source-address 192.168.3.0 mask 255.255.255.0

 destination-address 10.1.1.0 mask 255.255.255.0

 destination-address 10.1.2.0 mask 255.255.255.0

 action permit

总部配置

  • 配置IKE提议
ike proposal 1

 encryption-algorithm aes-256

 dh group14

 authentication-algorithm sha2-256

 authentication-method pre-share

 integrity-algorithm hmac-sha2-256

 prf hmac-sha2-256
  • 配置IKE对等体
ike peer fenbu

 pre-shared-key huawei@123

 ike-proposal 1

 remote-address 111.160.10.2
  • 配置感兴趣流
acl number 3001

 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

 rule 15 permit ip source 192.168.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 rule 20 permit ip source 192.168.3.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
  • 配置IPSec提议
ipsec proposal 1

 transform ah-esp

 ah authentication-algorithm sha2-256

 esp authentication-algorithm sha2-256

 esp encryption-algorithm aes-256
  • 配置IPSec策略
ipsec policy to-fenbu 1 isakmp

 security acl 3001

 ike-peer fenbu

 proposal 1
  • 应用至接口
interface GigabitEthernet1/0/0

 ipsec policy to-fenbu
  • 配置NAT策略,针对感兴趣流不做NAT转换,将该策略放置NAT策略最前端
nat-policy

 rule name ipsec-data

 source-zone trust

 destination-zone untrust

 source-address 192.168.2.0 mask 255.255.255.0

 source-address 192.168.3.0 mask 255.255.255.0

 destination-address 10.1.1.0 mask 255.255.255.0

 destination-address 10.1.2.0 mask 255.255.255.0

 action no-nat

 quit

 rule move ipsec-data up
  • 配置安全策略用于IPSec连接建立

【通常情况放通ESP服务与UDP 500端口即可,实验环境服务全部放通】

security-policy

 rule name ipsec-connect1

 source-zone local

 destination-zone untrust

 source-address 111.160.20.2 mask 255.255.255.255

 destination-address 111.160.10.2 mask 255.255.255.255

 action permit

 rule name ipsec-connect2

 source-zone untrust

 destination-zone local

 source-address 111.160.10.2 mask 255.255.255.255

 destination-address 111.160.20.2 mask 255.255.255.255

 action permit
  • 配置安全策略用于分部与总部之前内网流量互访
security-policy

 rule name ipsec-data-in

 source-zone untrust

 destination-zone trust

 source-address 10.1.1.0 mask 255.255.255.0

 source-address 10.1.2.0 mask 255.255.255.0

 destination-address 192.168.2.0 mask 255.255.255.0

 destination-address 192.168.3.0 mask 255.255.255.0

 action permit

 rule name ipsec-data-out

 source-zone trust

 destination-zone untrust

 source-address 192.168.2.0 mask 255.255.255.0

 source-address 192.168.3.0 mask 255.255.255.0

 destination-address 10.1.1.0 mask 255.255.255.0

 destination-address 10.1.2.0 mask 255.255.255.0

 action permit

10. 测试分部访问总部内网资源情况

分部访问总部FTP资源

分部Clinet1终端可以访问总部FTP服务器资源,可正常下载。

在这里插入图片描述

分部访问总部PC4

分部Client1终端访问总部PC4正常

在这里插入图片描述

11. 公网DNS域名配置

配置DNS域名映射,分部外网主机可以通过域名访问总部Web服务器

在这里插入图片描述
在这里插入图片描述

Dark Apostle
关注
  • 13
    点赞
  • 66
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
企业网络安全架构设计IPSec应用配置举例
06-19
背景: 现网中总部机构与分支机构都接入进了互联网中,但是分支机构与总部之间需要进行数据资源互访,但是数据访问通过公网进行得不到安全性保障;申请专线进行专网搭建耗费人力物力与财力。 技术设计: 为了更好地解决该场景下的用户痛点,采用安全IPSec技术,可以在现有情况下构建虚拟专用网络用来实现安全的数据资源互访且不增加成本。 同时为更好的保证总部的接入的可靠性,出口采用双防火墙以双机热备形式部署在互联网出口处,更好的保证分支机构与总部之间的数据访问可靠性。 扩展: 本次资源实验中只有一个分支,现网场景中具有多个分支,总部配置量较大,可以使用user table 表来简化配置
IPsec vpn ha 配置和截图
最新发布
07-02
IPsec vpn ha 配置和截图
IPsec 实操配置(隧道模式)
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
IPSec VPN 原理与配置
m0_73258133的博客
04-20 2044
VPN就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直 接相连,但通常情况下它们会相隔较远的距离。对于定义的“受保护”一词,可以从以下几个方面理解。实际工作环境中的VPN解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式 决定。而且很多企业可能采用不止一种的VPN解决方案。
IPsec VPN 的基本配置
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
05-15 3070
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。R1 模拟公网部分。网络地址规划如下:A公司内网为 192.168.10.0/24B公司内网为 192.168.20.0/24A公司运营商公网网段 10.8.6.0/30B公司运营商公网网段 10.8.6.4/30。
网络安全IPSEC路由基本配置
qq_57289939的博客
05-06 3413
R1]display ipsec proposal --- 查询配置IPSEC
IPSec配置
weixin_74777052的博客
06-02 1155
IPSec配置教程
商业虚拟专用网络技术六IPSec配置
weixin_42227328的博客
03-29 6321
IPSec VPN配置需要以下几个步骤: (1)、配置ACL访问控制列表。 (2)、配置安全提议。 (3)、配置安全策略 (4)、在接口组上应用安全策略组
网络安全架构设计网络安全设备的部署.pptx
08-03
内网安全架构的设计与安全产品的部署 安全扫描技术 防火墙技术 入侵检测技术 IPSec VPN和SSL VPN技术
IPSec协议在网络安全中的应用.pdf
09-20
IPSec协议在网络安全中的应用 IPSec协议是基于IP协议的安全标准,为数据包在公共网络上传输提供保密性、无连接完整性、数据源身份认证。本文首先介绍了IPSec安全服务的基础,然后讨论IPSec安全协议数据库,最终讨论...
通信与网络中的基于IPSec的嵌入式网络安全应用研究
11-08
1 引言 ...可以这样说,嵌入式Internet的安全问题直接关系到嵌入式Internet的发展及其应用前景;因此,在开发和使用嵌入式Internet系统的同时,必须把嵌入式Internet通信的安全问题放到重要的地位考虑
IPSec VPN的原理与配置
2301_78256093的博客
06-14 8854
配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
IPSec VPN原理与配置
qq_61946091的博客
06-15 1万+
IPSec
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8395
路由器基础(十二):IPSEC VPN配置
华为IPSec VPN配置
热门推荐
caolongbin的博客
09-08 2万+
基于华为ENSP的简单IPSecVPN实验
IPsec VPN 原理与配置
qq_45953122的博客
08-27 1547
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。
防火墙Ipsec vpn配置
zljszn的博客
10-19 1万+
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec配置(FW2也一样)
VPN部署场景——点到点VPN—与其他设备互联实例
君逍遥o
09-21 1489
通过在NGFW与H3C路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
IPsec VPN配置方式
Mario_Ti的博客
03-09 3995
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
ensp配置ipsec+vpn
09-28
以ENSP为例,配置***略,包括本地和远程地址。例如,使用命令"[fenzhi-ipsec-policy-manual-huawei-10]tunnel local 192.168.23.3"和"[fenzhi-ipsec-policy-manual-huawei-10]tunnel remote 192.168.12.1"来配置本地和远程地址。 2. 配置IPsec隧道,包括隧道本地地址和隧道远程地址。例如,使用命令"[fenzhi-ipsec-policy-manual-huawei-10]tunnel-interface ip address 192.168.23.3 255.255.255.0"和"[fenzhi-ipsec-policy-manual-huawei-10]tunnel-interface remote ip address 192.168.12.1"来配置隧道本地地址和隧道远程地址。 3. 配置IPsec加密算法和认证算法。例如,使用命令"[fenzhi-ipsec-policy-manual-huawei-10]set security-proposal esp-auth-algorithm md5"和"[fenzhi-ipsec-policy-manual-huawei-10]set security-proposal esp-enc-algorithm 3des"来配置IPsec加密算法和认证算法。 4. 配置IPsec策略模板。例如,使用命令"[fenzhi-ipsec-policy-manual-huawei-10]set ike proposal ike-proposal1 encryption-algorithm 3des"和"[fenzhi-ipsec-policy-manual-huawei-10]set ike proposal ike-proposal1 authentication******

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值