h3c防火墙和路由器ipsec为皮嗯

已于 2023-04-28 16:29:34 修改
阅读量380 收藏 2
点赞数
分类专栏: 网络工程 文章标签: vim linux centos
于 2022-03-07 17:24:24 首次发布
项目工程师余工
本文链接:https://blog.csdn.net/ydaxia110/article/details/123334895
版权

在这里插入图片描述

isp路由器配置:

dis current-configuration

version 7.1.075, Alpha 7571

sysname H3C

dhcp enable
dhcp server forbidden-ip 119.0.112.2

system-working-mode standard
xbar load-single
password-recovery enable
lpu-type f-series

vlan 1

dhcp server ip-pool changsha
gateway-list 119.0.112.2
network 119.0.112.0 mask 255.255.255.0
dns-list 202.202.202.202
expired day 1 hour 1 minute 10

interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 222.86.86.2 255.255.255.0

interface GigabitEthernet0/1
port link-mode route
combo enable copper
ip address 119.0.112.2 255.255.255.0
dhcp server apply ip-pool changsha

interface GigabitEthernet0/2
port link-mode route
combo enable copper
ip address 111.122.43.2 255.255.255.0

return

长沙分部出口路由配置:

dis current-configuration

version 7.1.075, Alpha 7571

sysname H3C

vlan 1

interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address dhcp-alloc
ipsec apply policy firewall

interface GigabitEthernet0/1
port link-mode route
combo enable copper
ip address 172.16.4.1 255.255.255.0

ip route-static 0.0.0.0 0 GigabitEthernet0/0 119.0.112.2

acl advanced 3001
description to_firewall_vpn
rule 0 permit ip source 172.16.4.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 10 permit icmp source 172.16.4.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

ipsec transform-set changsha_set
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1

ipsec policy firewall 10 isakmp
transform-set changsha_set
security acl 3001
remote-address 222.86.86.1
ike-profile changsha

ike identity fqdn changsha

ike profile changsha
keychain changsha_key
exchange-mode aggressive
local-identity fqdn changsha
match remote identity address 222.86.86.1 255.255.255.255
proposal 1

ike proposal 1
encryption-algorithm 3des-cbc
dh group2

ike keychain changsha_key
pre-shared-key address 222.86.86.1 255.255.255.255 key cipher 123

return

防火墙配置:

dis current-configuration

version 7.1.064, Alpha 7164

sysname firewall

irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
irf member 1 priority 1

xbar load-single
password-recovery enable
lpu-type f-series

vlan 1

interface NULL0

interface GigabitEthernet1/0/0
port link-mode route
combo enable copper
ip address 222.86.86.1 255.255.255.0
ipsec apply policy firewall_policy

interface GigabitEthernet1/0/1
port link-mode route
combo enable copper
ip address 192.168.0.1 255.255.255.0

interface GigabitEthernet1/0/2
port link-mode route
combo enable copper

interface GigabitEthernet1/0/3
port link-mode route
combo enable copper
ip address 192.168.100.100 255.255.255.0

object-policy ip manage
rule 0 pass

security-zone name Local

security-zone name Trust
import interface GigabitEthernet1/0/1
import interface GigabitEthernet1/0/3

security-zone name DMZ

security-zone name Untrust
import interface GigabitEthernet1/0/0

security-zone name Management

zone-pair security source Any destination Any
packet-filter 3000

zone-pair security source Any destination Local
packet-filter 3000

zone-pair security source Local destination Any
packet-filter 3000

zone-pair security source Trust destination Local
object-policy apply ip manage

line aux 0
user-role network-admin

line con 0
authentication-mode scheme
user-role network-admin

line vty 0 4
authentication-mode scheme
user-role network-admin

line vty 5 63
user-role network-operator

ip route-static 0.0.0.0 0 222.86.86.2
ip route-static 192.168.20.0 24 192.168.0.2

acl advanced 3000
rule 0 permit ip
rule 10 permit icmp

acl advanced 3002
description lan_to_changsha
rule 0 permit ip source 192.168.20.0 0.0.0.255 destination 172.16.4.0 0.0.0.255
rule 10 permit icmp source 192.168.20.0 0.0.0.255 destination 172.16.4.0 0.0.0.255

domain system

aaa session-limit ftp 16
aaa session-limit telnet 16
aaa session-limit ssh 16
domain default enable system

local-user admin class manage
password hash admin
service-type telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator

ipsec transform-set changsha_set
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1

ipsec policy-template changsha_tmp 10
transform-set changsha_set
security acl 3002
local-address 222.86.86.1
ike-profile changsha

ipsec policy firewall_policy 20 isakmp template changsha_tmp

ike identity address 222.86.86.1

ike profile changsha
keychain changsha_key
exchange-mode aggressive
local-identity address 222.86.86.1
match remote identity fqdn changsha
proposal 1

ike proposal 1
encryption-algorithm 3des-cbc
dh group2

ike keychain changsha_key
pre-shared-key hostname changsha key cipher 123

ip http enable
ip https enable

return

总部核 心交换机配置:

dis current-configuration

version 7.1.075, Alpha 7571

sysname sw

vlan 1

vlan 20

interface Vlan-interface1
ip address 192.168.0.2 255.255.255.0

interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0

ip route-static 0.0.0.0 0 192.168.0.1

return

所有完成后用命令防火墙和路由器上查看:
dis ike sa

ping通后用命令查看:
dis ipsec sa brief

项目工程师余工
关注
专栏目录
H3C SecPath 防火墙 采用AH-ESP认证算法做IPSEC的典型配置
net527的专栏
10-19 982
一、组网需求:验证SecPath防火墙 采用AH-ESP认证 算法做IPSEC VPN。二、组网图        SecPath1000F:Version 3.40, R1606。三、配置 信息1、SecPath1000F_1的主要配置#                                                                                 sysname BeiJing                                      
h3c 虚拟服务器 下一跳,H3C MSR路由器IPsec配置指导说明
weixin_29084231的博客
08-11 1714
1.7 IPsec典型配置举例1.7.1 采用手工方式建立保护IPv4报文的IPsec隧道1. 组网需求在 Router A和 Router B之间建立一条 IPsec隧道,对 Host A所在的子网(10.1.1.0/24)与 Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下: 1-25• 封装形式为隧道模式。• 安全协议采用 ESP协议。• 加密...
IPSec VPN 基本配置实验(H3C
kerio123的博客
04-15 3046
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
网络工程师必备H3C网络高级命令
最新发布
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
09-01 1258
网络工程师必备H3C网络高级命令
H3C防火墙IPsec综合实验
qq_45049184的博客
03-08 7661
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
华三防火墙-IPsec VPN配置
qq_53146347的博客
04-20 1444
公司需要搭建VPN让子公司连接内网服务器直接获取内网数据,使用IPsec VPN进行对接,预共享密钥:123456。
H3C路由器防火墙建立IPSEC
Rzcarmen的博客
10-11 1486
需要与路由器一端配置一致。需要与路由器一端配置一致。
H3C与VPN高级应用(二)ASA防火墙上实现IPSec VPN的原理与配置指南
洛秋的博客
07-21 718
IPSec(Internet Protocol Security)是一套用于在IP网络上进行安全通信的协议集,通过对数据包进行加密和认证,提供端到端的安全保障。IPSec主要包括两个阶段:ISAKMP/IKE阶段1和ISAKMP/IKE阶段2。ISAKMP/IKE阶段1:在此阶段,双方建立安全通道,协商加密算法和密钥交换方法。ISAKMP/IKE阶段2:在此阶段,双方使用阶段1生成的安全通道,协商IPSec SA(安全关联),用于保护实际数据传输。
H3C-V7-ipsec配置.docx
08-31
H3C IPsec 配置指导V7版本,适用H3C网关路由器(MSR、SR系列V7版本)、下一代防火墙设备
H3C Cisco IPSec 对接
weixin_43981915的博客
10-10 816
H3C Cisco IPSec 对接 华3配置 <RouterA> system-view [RouterA] acl advanced 3101 [RouterA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [RouterA-acl-ipv4-a...
H3C 集团型企业网设计案例(VRRP+MSTP+堆叠+链路聚合)by肖哥
04-10
H3C 集团型企业网设计案例(VRRP+MSTP+堆叠+链路聚合)by肖哥
华三防火墙配置IPSec隧道
a2317077531的博客
06-30 9550
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ipip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IPip address 192.168.11.1 255.255.25
华三防火墙ipsec vpn配置命令
耕耘
08-06 816
华三防火墙ipsec vpn配置命令
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1844
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
H3C配置telnet
weixin_54000288的博客
02-12 3050
telnet配置:[H3C]telnet server enable //启动telnet服务 [H3C]line vty 0 4 //进入vty通道 [H3C-line-vty0-4]set authentication password simple 123456 //设置vty登录的密码 [H3C-line-vty0-4]dis th //查看当前端口配置信息 # line aux 0 user-role network-operator # line con 0 ...
OSPF配置(不同区域OSPF配置如何做,看这里)
m0_51186260的博客
05-22 1703
1.拓扑图: 2.图中实现pc4和pc5进行通信,而且L1和L3处于不同的OSPF区域如何配置呢? 配置如下: [r1]dis cu version 7.1.075, Alpha 7571 sysname r1 ospf 1 area 0.0.0.0 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 system-working-mode standard xbar load-single password-recovery en
第12章 命令行操作基础2-(H3CNE)
weixin_44908768的博客
03-29 3108
(4)错误提示信 用户键入的命令如果通过语法检查则正确执行,否则向用户报告错误信息。常见错误提示信息如下表: (5)命令行历史记录功能 命令行接口将用户最近使用过的历史命令自动保存在历史命令缓冲区中,用户可以通过display history-command 显示这些命令,也可以随时查看或调用保存的历史命令,并编辑或执行。缺省情况下,每个用户的历史命令缓冲区的容量都是10,即命令行接口为每个用户保存10条历史命令,可以在用户线视图下通过history-command max-size si
vty 虚拟终端连接 line vty 0 4 和line vty 5 15 区别
whatday的专栏
02-18 8073
在思科交换机Catalyst 2950上show run下发现有两个line vty line vty 0 4 和line vty 5 15 分别有相应密码 。。 请问这两个有什么区别? VTY是Cisco的设备管理的一种方式 VTY(virtual type terminal) 虚拟终端连接 VTY线路启用后,并不能直接使用,必须对其进行下面简单的配置才允许用户进行登录。 1、配...
line vty 0 4 什么意思
点滴记录 不断进步
04-13 3608
转自于 http://hi.baidu.com/rxlly/blog/item/9072bc397ae18bde7c1e71f6.html line vty 0 4是不是指启用5个telnet会话的意思? 那line vty 0 0是不是只启用一个telnet会话的意思? 我在640-802教材上看到 line vty 0 1180,突然这么大,我有点想不通 line conso...
h3c防火墙路由器
09-28
h3c防火墙路由器是网络设备中常见的两种类型。防火墙主要用于保护内部网络免受潜在的网络攻击和威胁,它通过监控网络流量并根据预先定义的安全策略来控制和过滤数据包。而路由器则用于在不同的网络之间进行数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值