防火墙下使用IPSec实现不同地域内网互通并且内网可访问公网

最新推荐文章于 2022-08-11 16:16:42 发布
最新推荐文章于 2022-08-11 16:16:42 发布
阅读量4.2k 收藏 20
点赞数 1
分类专栏: 华为数通网络 文章标签: 网络 网关 安全 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyuzhou_132/article/details/115433591
版权

防火墙下使用IPSec实现不同地域内网互通并且内网可访问公网

目录

实验环境

在这里插入图片描述

实验目的

公司分部实现对总部内网的安全访问,并且实现访问外网

具体步骤

实现对总部内网的安全访问

1.规划网络、配置IP、配置路由

PC1

IP:192.168.1.1 掩码:24 网关:192.168.1.254

PC2

IP:172.16.1.1 掩码:24 网关:172.16.1.254

PC3

IP:200.1.3.1 掩码:24 网关:200.1.3.254

R1

<Huawei>sy
[Huawei]sy R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.1.1.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 200.1.2.2 24
[R1-GigabitEthernet0/0/1]q
[R1]ospf
[R1-ospf-1]ar 0    //area 0
[R1-ospf-1-area-0.0.0.0]network 200.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 200.1.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]q
[R1-ospf-1]q

[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 200.1.3.254 24
[R1-GigabitEthernet0/0/2]os e a 0    //ospf enable area 0

FW1

#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.1.1 255.255.255.0
#
ospf 1 router-id 200.1.1.1
 area 0.0.0.0
  network 200.1.1.0 0.0.0.255

FW2

#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.2.1 255.255.255.0
#
ospf 1
 area 0.0.0.0
  network 200.1.2.0 0.0.0.255

2.配置IPSec

FW1

//接口添加安全域
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
//配置IPSec策略
#
acl number 3000
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
#
ipsec proposal 1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
ike peer FW2
 pre-shared-key %^%#o|g(H(&6sJSbW[W=9HwA<8#=7(M{X1~iyxNCte5*%^%#    //密码为huawei
 ike-proposal 1
 remote-address 200.1.2.1
#
ipsec policy runtime 10 isakmp
 security acl 3000
 ike-peer FW2
 proposal 1
//配置静态路由
#
ip route-static 172.16.1.0 255.255.255.0 200.1.1.2
//接口加入策略
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.1.1 255.255.255.0
 ipsec policy runtime

FW2

//接口添加安全域
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
//配置IPSec策略
#
acl number 3000
 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
ipsec proposal 1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
ike peer FW1
 pre-shared-key %^%#-]>1EWJpd<GGqcMxAA+3dUwx@L"hi4*WB-N[,yXL%^%#    //密码为huawei
 ike-proposal 1
 remote-address 200.1.1.1
#
ipsec policy runtime 10 isakmp
 security acl 3000
 ike-peer FW1
 proposal 1
//配置静态路由
#
ip route-static 192.168.1.0 255.255.255.0 200.1.2.2
//接口加入策略
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.2.1 255.255.255.0
 ipsec policy runtime

3.配置安全策略

FW1

//定义服务
#
ip service-set isakmp type object 16
 service 0 protocol udp source-port 500
//配置安全策略
# 
security-policy
 rule name t_u
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 172.16.1.0 mask 255.255.255.0
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 172.16.1.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name u_l
  source-zone untrust
  destination-zone local
  source-address 200.1.2.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  service esp
  action permit
 rule name isakmp
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 200.1.1.1 mask 255.255.255.255
  source-address 200.1.2.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  destination-address 200.1.2.1 mask 255.255.255.255
  service isakmp
  action permit

FW2

//定义服务
#
ip service-set isakmp type object 16
 service 0 protocol udp source-port 500
//配置安全策略
#
security-policy
 rule name t_u
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 172.16.1.0 mask 255.255.255.0
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 172.16.1.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  service icmp
  action permit
 rule name u_l
  source-zone untrust
  destination-zone local
  source-address 200.1.1.1 mask 255.255.255.255
  destination-address 200.1.2.1 mask 255.255.255.255
  service esp
  action permit
 rule name isakmp
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 200.1.1.1 mask 255.255.255.255
  source-address 200.1.2.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  destination-address 200.1.2.1 mask 255.255.255.255
  service isakmp
  action permit
在上步结果上实现访问外网

1.配置NAT策略

FW1

//创建地址池
#
nat address-group 1 0
 mode pat
 section 0 200.1.1.10 200.1.1.10
//创建NAT策略
#
nat-policy
 rule name no_nat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 172.16.1.0 mask 255.255.255.0
  action no-nat
 rule name nat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group 1
//建立默认路由
#
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

2.配置NAT的安全策略

FW1

//配置NAT的安全策略
#
security-policy
 rule name nat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit

测试和结果分析

公司分部实现对总部内网的安全访问,并且实现访问外网

  • 内网间的安全访问

    内网主机1 ping 内网主机2
    在这里插入图片描述

    对应线路抓包
    在这里插入图片描述

    通过以上结果可以得知,内网的安全访问成功实现。

  • 内网实现访问外网

    主机1ping 主机2(私网)、主机1ping 主机3(公网)
    在这里插入图片描述
    通过以上结果可知,在内网主机互通的基础上实现了内网主机对公网的访问,实验要求的目的实现成功。

总结

在配置NAT时会发生NAT配置完成后无法访问内网(不同地域)的问题,出现该问题的原因的是数据包首先进行了NAT地址转换,导致无法匹配IPSec的安全策略,从而导致数据包无法正确转发。

问题的解决是在NAT策略中加入一个不转换的策略(no-nat),使数据可以正常转发。由于配置的先后问题会导致nat策略会先于no-nat策略,这会使得数据包首先匹配nat策略,又由于nat策略也会使访问内网的数据包地址转换,而使得no-nat策略无效,需使用“rule move no_nat before nat”命令将no-nat策略提前于nat策略,从而使流量先匹配no-nat策略后匹配nat策略。

jianyublog
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实现防火墙的各个区域互通
weixin_59181877的博客
03-24 2614
防火墙上面创建vlanif10和vlanif11接口,并配置ip地址,开启ping服务。将交换机的0/0/3接口类型改为access,并允许通过van10。将交换机的0/0/4接口类型改为access,并允许通过van11。在sw1,sw2,r1上面写两天回包路由(用缺省代替)给路由器0/0/0和0/0/1口配置ip地址。让全网可以互通,在防火墙上面写6条策略。在防火墙1/0/3口配置ip地址。在防火墙1/0/0口配置ip地址。将vlan3划入g0/0/1口。将vlan2划入g0/0/2口。
不同网段的局域网怎么互通_地址重合的多个局域网络使用IPSEC点到点组网
weixin_39929259的博客
12-08 7007
背景本文主要探讨多个使用相同网段(或网段地址有交叉)的局域网如何通过ipsec异地组网。如果是在正常情况,AB两个网络希望实现LAN-TO-LAN,一般的做法是借助ipsec建立点到点连接,并建立防火墙允许策略,感兴趣流量网段里的终端即可直接互访。回到今天的目标,由于两边的网段相同(或部分重合),感兴趣流量就无法正常配置,而且也无从区分某个ip地址属于哪一侧。问题的症结在什么地方已经清楚...
华为防火墙 设置当访问指定IP的流量时转发至另一个防火墙出口
一直被模仿,从未被超越
11-12 997
需求:上海与福州通过两边防火墙IPSec已成功建立VPN,实现内网互通 阿里部署了OpenVPN,且开通了上海的白名单,上海可以通过OpenVPN可以连接阿里内网 但是福州没有固定IP,无法开通白名单,怎么办? 可以通过NAT解决,让福州访问阿里的IP时,从上海出,这样福州就可以用OpenVPN了 环境: 阿里外网:61.218.73.79 福州内网:10.3.8.0/24 上海外网:210.13.101.130 内网:10.3.0.0/24 1、上海 创建NAT untrust到u..
Juniper SSG防火墙不同网段相互访问问题
weixin_33991418的博客
08-06 224
问题描述: Juniper SSG系列防火墙在有××× 拨入 或者不同网段直接互访的时候,有时候会出现PING可以到达,但是业务不能访问的问题,例如,WEB,共享文件等。 问题分析: 这些问题往往是因为数据在传输过程中,设备对数据包碎片的识别有问题,一般是因为数据包太大,需要分片,而对端又不支持大的分片,故防火墙而将其拒绝掉,这里的数据包一般是指TCP/IP...
react不同环境不同配置angular_华为防火墙配置基于不同网段的策略路由
weixin_39888807的博客
12-09 153
不同网段用户需要通过不同的路由到达同一目的地址时,可以配置策略路由实现。组网需求如图1所示,在企业内网出口部署一台USG,其中和内部网络相连的接口位于Trust区域,和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段(网段A和网段B)的用户通过不同的路由访问Internet。需求如下:内部A网段从ISP-A线路出去,并且配置ISP-B为备份链路。内部B网段从ISP-B线路出去,并...
跨厂商IPSEC实践配置--总部(华为USG)防火墙和分支机构(思科ASA)防火墙之间点到点IPSEC 连接,两端公网出口IP固定、且出口存在NAT
aassassinator的博客
12-12 3502
一、案例介绍 本例介绍总部和分支机构的出口网关同时为NAT设备时如何建立IPSec隧道 二、组网拓扑 某企业分为总部(A)和分支机构(B)。 如下图所示: (建议将上图画在草稿纸上,标好端口及IP,以便后续配置时候查看) 组网如下: • 总部(A)和分支机构(B)分别通过FW_A和FW_B与Internet相连。 • FW_A和FW_B公网路由可达。 • 总部FW_A和分支机构FW_B为固定公网地......
基于linux的ipsec之路.pptx
03-03
Tunnel 的工作原理是将私有网络包封装在公网可路由的 IP 包中,从而实现数据包的传送。Tunnel 使用的协议有多种,包括 IPIP、GRE、SIT 等。 Linux Tunnel 模式 Linux 提供了多种 Tunnel 模式,包括 IPIP、GRE、SIT...
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。 北京总部部署...
基于外网构建安全可靠的内网 (2005年)
04-27
通过对IPSec安全协议的分析,研究了基于IPSec虚拟专用网络VPN的安全性及如何利用公网构建安全可靠的内网,使校园网利用不可靠的公用互联网作为网络传输媒介,实现了专用网络安全性,提高了网络安全等级,具有一定的...
美国VNN网络互通解决方案
03-03
这意味着即使传统如Web服务器和FTP服务器也能在内网直接架设并被互联网用户访问,无需程序改动。 5. **安全性**:BizVNN重视安全,采用类似IPSec的加密和校验技术,如3DES加密和SHA1校验。用户认证基于挑战响应机制...
关于规范网络使用行为-保障网络安全的通知.docx
最新发布
06-07
停止公司的ERP系统公网映射,驻外机构通过ipsec VPN访问,出差人员通过ssl VPN访问(具体方法另文通知)。 为了防止泄密、方便沟通,公司内部文件沟通一律使用OA系统或公司邮箱,个人免费邮箱不作工作用途,请注意...
H3C各型号路由器L2TP配置汇总.rar
10-21
14 L2TP 拨号成功后,如何实现同时能够访问总部内网数据和Internet 15 L2TP 多域情况下,PC如何通过windows自带客户端获取其他域地址 18 L2TP OVER IPsec VPN 拨号Windows7失败的问题 19 L2TP 统计结合radius...
SANGFOR_SSL_v6.8_2015年度渠道高级认证培训01_多线路部署和配置.ppt
09-20
1. **特点**:在单臂模式中,SSL设备只占用一个公网IP,通过端口映射实现多线路服务。适用于空间有限或已有的网络结构较为复杂的情况。 2. **配置步骤**: - **LAN口配置**:分配可上网的IP,填写正确网关和DNS。 ...
电大计算机网络形考作业三.pdf
10-09
10. **NAT优缺点**:NAT的优点是节省IP资源和提供一定程度的网络安全,但缺点是可能增加外部访问内网的复杂性。 11. **IPV6报文头**:IPV6报文头由8个必要字段组成,包括版本、流量类型、流标记、净荷长度、下一...
华为2400系列路由器安装调试手册
01-06
3. NAT转换:为内网用户提供公网访问能力,配置NAT转换规则。 四、安全配置 1. 访问控制列表(ACL):通过定义规则,限制特定IP、端口的访问权限。 2. 防火墙策略:启用内置防火墙,阻止非法或恶意流量。 3. 用户...
libreswan + h3c建立ipsec 实现两idc内网网段互通
weixin_43423965的博客
03-25 7754
上节中,我们介绍了使用两台libreswan实现两idc内网互通,今天我们看下如何使用libreswan和网络防火墙实现两idc互通网络设备我们使用的是H3C的 F1000-AK125 防火墙
linux下搭建L2TP+IPSec服务端,组建异地虚拟局域网
08-11 8842
虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。其实VPN技术主要是为了解决异地办公的问题。打个比方,你在家里,需要访问到公司网络里的某台机器,获取资料。传统的方法是在各级路由做地址映射,将需要访问的机器一层一层映射到公网中,然后通过公网访问。这样配置起来不仅麻烦,而且内部的机器暴露在了公网上,安全性也得不到保障。另外
内网服务器防火墙作用,防火墙内网用户通过公网域名访问内部服务器典型配置案例集...
weixin_35879493的博客
07-29 1688
1)防火墙开启ALG DNS功能。核心交换机配置:核心交换机上配置PC和服务器的网关,缺省路由指向防火墙,具体配置略。防火墙配置:1、在接口G0/0、G0/1、G0/2上配置相应的地址,正确配置路由和域间策略,具体配置略。2、通过PBR将PC访问公网的流量重定向至运营商A,PC访问服务器的流量不做重定向。#[F1000-E-SI]acl number 3010[F1000-E-SI-acl-adv...
构建AWS Site-to-Site IPsec实现内网互联
xuxingzhuang的博客
03-28 4492
通过与AWS搭建Site-to-Site IPsec实现内网互联
华为4个防火墙配置IPSEC实现4个站点间网络互通 隧道模式 web配置
06-03
华为防火墙可以通过配置IPSec VPN实现多个站点之间的网络互通。以下是配置IPSec VPN的步骤: 1. 创建IPSec策略。 在防火墙上创建IPSec策略,包括加密算法、认证算法、DH组和预共享密钥等。 2. 创建IKE策略。 在防火墙上创建IKE策略,包括加密算法、认证算法、DH组和预共享密钥等。 3. 配置VPN隧道。 在防火墙上创建VPN隧道,包括本地网段和远程网段。 4. 配置安全策略。 在防火墙上创建安全策略,指定源地址、目的地址和VPN隧道,以允许相互通信。 5. 配置NAT。 如果需要对内网进行NAT,则需要在防火墙上配置NAT策略。 对于华为防火墙的配置,可以通过Web界面进行配置。具体步骤可以参考华为防火墙的相关文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值