企业网络安全架构设计之IPSec VPN应用配置举例

已于 2023-06-16 15:53:08 修改
阅读量6.2k 收藏 75
点赞数 14
文章标签: web安全 网络 安全
于 2023-06-16 15:46:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/while_if/article/details/131247873
版权

文章目录

1. 需求分析

组网拓扑:

在这里插入图片描述

组网需求:

  1. 分支机构内部业务Vlan为vlan 10与vlan 20,通过FW1的DHCP服务获取相关网络配置信息。分支机构中Vlan 30为外网Vlan,PC5只可以访问公网,无法通过IPSec访问总部内网资源。

  2. 分支机构Client1与PC2需要访问总部内部的FTP服务器,为保证数据访问的安全性,采用IPSec VPN的方式通过公网进行资源访问。

  3. 为保证分支机构访问总部数据的可靠性,总部出口处采用双击热备的方式进行组网。

2. 地址规划

终端设备地址规划:

名称 所属Vlan IP地址/掩码
Client1 10 10.1.1.2/24【不支持DHCP,采用手工静态配置】
PC2 20 DHCP获取【网段10.1.1.0/24】
PC5 30 DHCP获取【网段192.168.30.0/24】
公网DNS / 8.8.8.8
Web 100 172.18.17.10/24
FTP 200 192.168.2.2/24
PC4 300 192.168.3.2/24

网络设备地址规划:

名称 接口 IP地址/掩码 备注
FW1 GE1/0/1.10 10.1.1.1/24 Vlan10网关地址
GE1/0/1.20 10.1.2.1/24 Vlan20网关地址
GE1/0/1.30 192.168.30.1/24 Vlan30网关地址
GE1/0/0 111.160.10.2/30 外网出口地址
R1 GE0/0/0 111.160.10.1/30 分支机构互联网网关地址
GE0/0/2 8.8.8.1/24 公网DNS网关地址
GE0/0/1 111.160.20.1/30 总部互联网网关地址
FW2 GE1/0/0 172.16.1.1/27 互联网侧实地址,虚地址为111.160.20.2/30
GE1/0/2 1.1.1.1/24 心跳地址
GE1/0/1 192.168.100.3/27 内网侧实地址,虚地址为192.168.100.1/27
FW3 GE1/0/0 172.16.1.2/27 互联网侧实地址,虚地址为111.160.20.2/30
GE1/0/2 1.1.1.2/24 心跳地址
GE1/0/1 192.168.100.4/27 内网侧实地址,虚地址为192.168.100.1/27
LSW3 Vlanif100 172.18.17.1/24 Vlan100网关地址
Vlanif200 192.168.2.1/24 Vlan200网关地址
Vlanif300 192.168.3.1/24 Vlan300网关地址
Vlanif1000 192.168.100.2/27 上联防火墙地址

3. 防火墙接口区域规划

名称 接口 所属区域
FW1 GE1/0/1 Trust
GE1/0/1.10 Trust
GE1/0/1.20 Trust
GE1/0/1.30 Trust
GE1/0/0 Untrust
FW2 GE1/0/0 Untrust
GE1/0/2 DMZ
GE1/0/1 Trust
FW3 GE1/0/0 Untrust
GE1/0/2 DMZ
GE1/0/1 Trust

4. 分支机构内网配置

LSW4交换机配置

  • 创建Vlan
vlan batch 10 20 30
  • 配置接口模式,连接终端的接口开启边缘端口加快转发
interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

 stp edged-port enable

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 20

 stp edged-port enable

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 30

 stp edged-port enable

#

interface GigabitEthernet0/0/4

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 10 20 30

 stp edged-port enable

FW1防火墙配置

防火墙初始用户名与密码:admin/Admin@123【初次登陆需要修改密码,修改后的密码为huawei@123】

  • 开启DHCP服务
dhcp enable
  • 创建业务Vlan
vlan batch 10 20 30
  • 创建内网三层子接口,设置封装类型与关联的Vlan id;配置IP地址,并开启DHCP服务,DNS配置公网DNS 8.8.8.8
interface GigabitEthernet1/0/1.10

 vlan-type dot1q 10

 ip address 10.1.1.1 255.255.255.0

 service-manage ping permit

 dhcp select interface

 dhcp server dns-list 8.8.8.8

#

interface GigabitEthernet1/0/1.20

 vlan-type dot1q 20

 ip address 10.1.2.1 255.255.25
最低0.47元/天 解锁文章
Dark Apostle
关注
VPN部署场景——点到点VPN—与其他设备互联实例
君逍遥o
09-21 1988
通过在NGFW与H3C路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
MPLS VPN的基本概念与配置(HCIP完整版)
weixin_72194028的博客
01-12 7848
MPLS VPN的基本概念与配置(HCIP完整版)
网络安全IPSEC路由基本配置(非常详细)
分享Python知识
12-12 1164
网络安全IPSEC路由基本配置(非常详细)
Cisco路由器之IPSec 虚拟专用网(包括相关知识点以及配置实例
cheng198956的专栏
08-15 1346
博文大纲: 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用...
一文读懂VPN实例(VRF)核心技术,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-11 1553
话说江湖上,门派林立,各路人马都想划地为王。在网络安全这片数字江湖里,多租户环境、企业分支机构,哪个不是兵家必争之地?想要在同一台服务器上,把不同“帮派”的数据流量隔离开,避免互相串门,VPN 实例(VRF)这玩意儿,就成了关键的“楚河汉界”。THINKMO01别跟我扯那些官方定义,什么“虚拟路由转发”,听着就头大。你就把它想象成,在一台物理路由器上,用魔法变出了好几个独立的“小路由器”。每个“小路由器”都有自己的地盘(路由表),互不干涉。打个比方,就像你在一栋大楼里,隔出了好几间独立的公寓。每间公寓都有自
IPSec安全策略及实现
11-08 2588
陈   坚    王   闽(福州大学数学与计算机学院 福建 350002)(福建省科技信息研究所 福州 350003)  摘 要 介绍了IPSec的相关协议和原理,阐明了安全策略系统的体系结构以及安全策略和安全联盟的定义和表示方法。最后,介绍了IPSec数据流的处理流程。关键词 IPSec 安全策略 安全联盟1 IPSec协议简介  针对Internet的
VPN技术配置实例(gns3模拟环境)
szw737389785的博客
03-05 2399
VPN技术配置实例(gns3模拟环境)
IPSEC VXN配置实例
永远是少年
07-05 4226
今天给大家介绍一下IPSEC VXN的配置实例,适合对IPSEC理论有一定了解,但是对IPSEC配置还不清楚的同学,本文介绍的是最简单的IPSEC配置实例。如果想要了解IPSEC基础知识或者想要了解IPSEC更深层次知识的同学,可以关注我的博客,我的博客会不断更新计算机网络相关技术文章。 一、实验拓扑及要求 实验拓扑图如下所示: 要求:配置IPSEC VPN,实现两个私网网址之间互通,同时要求两个私网网址使用费NAT访问公网。 二、配置讲解说明 IPSEG的配置可以分为以下几个小部分: 1、IPSEG p
网络安全(黑客)自学
Dasdwer的博客
08-08 2161
什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备黑客(网络安全)职业指南黑客(网络安全)学习导航。
商业虚拟专用网络技术一
weixin_42227328的博客
03-09 7898
虚拟专用网络,是指依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。 功能:在公用网络上建立专用网络,进行加密通讯。 虚拟专用网络VPN利用Internet公网资源作为企业专网的延续,使用一个私有通道在公众网络上建立一条端到端的链路,比原来的专用网络成本低,并安全稳定的连接
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-24 1265
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
IPsec配置实例
weixin_43955429的博客
08-28 5961
实验环境: eNSP设备配置 实验拓扑: 实验需求: 企业的某些私有数据在公网传输时要确保完整性和机密性。作为企业网络管理员,您需要在企业总部的边缘路由器(R1)和分支机构路由器(R3)之间部署IPSecVPN解决方案,建立IPSec隧道,用于安全传输来自指定部门的数据流。 实验步骤:1. 如拓扑图所示,配置基础环境。在R1、R2和R3上配置单区域OSPF1,通告直连网...
IPSec案例部署
2301_76769137的博客
11-13 1448
步骤二:按照规划划分vlan并开启vlanif接口,配置链路类型实现vlan之间的互通。步骤2 :配置OSPF实现公司内部通信,配置静态路由实现AR1和AR3路由可达。3. 配置IPSec安全联盟(协商业务数据加密时使用的参数)下发缺省路由,使网关设备有去往对端的路由‘配置对等体IP地址,即分公司的出口IP。步骤1:设备重命名以及IP地址的配置。步骤4:配置NAT,实现内网访问外网。步骤3:配置IPSec VPN。5.调用IPSec安全策略。发了5个包 加密5个包。
IPSEC VPN配置
m0_71264131的博客
04-14 2339
只有在RD状态才表明IKE SA建立成功,其他任何状态都是没有建立成功的。可以看到使用的IPSEC安全策略、IPSEC工作模式、隧道本地和对端IP。3.配置IPSEC VPN实现两端私网互通。Protocol是IPSEC使用的安全协议。2.配置静态路由以保证两端互通。1.正确配置各个IP地址。
IPsec VPN配置方式
Mario_Ti的博客
03-09 7363
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
ipsec原理及案例配置
weixin_33841722的博客
08-09 344
1.ipsec技术 IPSec并不是一个单一的协议或算法,它是一系列加密实现中使用的加密标准定义的集合。IPSec实现在I P层的安全,因而它与任何上层应用或传输层的协议无关。上层不需要知道在IP层实现的安全,所以在IP层不需要做任何修改。 IPSec在IP报文中使用一个新的IPSec的报头来封装信息,这一过程十分类似于用一个正常的I P报文头封装上...
网工IPsec配置实例笔记
fq_fly的博客
10-16 834
#配置各路由器的接口IP,分别在总部路由器R1和分支机构路由器R2配置接口地址和静态路由 [R1]ip route-static 167.1.1.0.255.255.255.0 168.1.1.2 [R1]ip route-static 172.22.1.0 255.255.255.0 168.1.1.2 [R2]ip route-static 168.1.1.0 255.255.255.0 1...
ENSP版IPSEC VPN企业网仿真项目
weixin_53354912的博客
07-16 2204
企业网仿真项目,利用了Ipsce_vpn和ospf和防火墙技术。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值