华为ipsec vpn双链路主备备份配置案例

已于 2023-11-10 14:28:26 修改
阅读量1.2k 收藏
点赞数
分类专栏: 网络工程 文章标签: 华为 网络 服务器
于 2023-11-10 10:36:32 首次发布
项目工程师余工
本文链接:https://blog.csdn.net/ydaxia110/article/details/134327257
版权

在这里插入图片描述

配置就是这配置,已查官方也是这样配置,意外是完成后不通,待以后处理!

FW_A配置:

dhcp enable

ip-link check enable
ip-link name check_b
destination 2.2.2.2 interface GigabitEthernet1/0/0 mode icmp next-hop 202.38.163.2

acl number 3000
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
acl number 3001
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

ipsec proposal pro1
esp authentication-algorithm sha1
esp encryption-algorithm aes-128

ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256

ike peer fenbu
pre-shared-key admin123
ike-proposal 10

ipsec policy-template temp 1
security acl 3000
ike-peer fenbu
proposal pro1

ipsec policy-template temp2 1
security acl 3001
ike-peer fenbu
proposal pro1

ipsec policy policy1 1 isakmp template temp
ipsec policy policy2 1 isakmp template temp2

interface GigabitEthernet1/0/0
undo shutdown
ip address 202.38.163.1 255.255.255.0
service-manage ping permit
ipsec policy policy1

interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.0.1 255.255.255.0
service-manage ping permit
dhcp select interface

interface GigabitEthernet1/0/2
undo shutdown
ip address 202.38.164.1 255.255.255.0
service-manage ping permit
ipsec policy policy2

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1

firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/2

firewall zone dmz
set priority 50

ip route-static 0.0.0.0 0.0.0.0 202.38.163.2 preference 10 track ip-link check_b
ip route-static 0.0.0.0 0.0.0.0 202.38.164.2 preference 20
ip route-static 172.16.0.0 255.255.255.0 202.38.163.2 preference 10 track ip-link check_b
ip route-static 172.16.0.0 255.255.255.0 202.38.164.2 preference 20

security-policy
default action permit

FW_B配置:

firewall dataplane to manageplane application-apperceive default-action drop

dhcp enable

ip-link check enable
ip-link name check_a
destination 202.38.163.1 interface GigabitEthernet1/0/0 mode icmp next-hop 2.2.2.1

acl number 3000
rule 5 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
acl number 3001
rule 5 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256

ike peer a1
pre-shared-key admin123
ike-proposal 10
remote-address 202.38.163.1

ike peer a2
pre-shared-key admin123
ike-proposal 10
remote-address 202.38.164.2

ipsec policy policy1 1 isakmp
security acl 3000
ike-peer a1
proposal pro1

ipsec policy policy2 1 isakmp
security acl 3001
ike-peer a2
proposal pro1

interface GigabitEthernet1/0/0
undo shutdown
ip address 2.2.2.2 255.255.255.0
service-manage ping permit

interface GigabitEthernet1/0/1
undo shutdown
ip address 172.16.0.1 255.255.255.0
service-manage ping permit
dhcp select interface

interface Tunnel1
ip address unnumbered interface GigabitEthernet1/0/0
tunnel-protocol ipsec
ipsec policy policy1

interface Tunnel2
ip address unnumbered interface GigabitEthernet1/0/0
tunnel-protocol ipsec
ipsec policy policy2

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1

firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface Tunnel1
add interface Tunnel2

ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
ip route-static 192.168.0.0 255.255.255.0 Tunnel1 preference 10 track ip-link check_a
ip route-static 192.168.0.0 255.255.255.0 Tunnel2 preference 20

security-policy
default action permit

项目工程师余工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
玩转华为ENSP模拟器系列 | 两个网关之间配置IPSec VdPdNd主备链路备份
COCO_gsta的博客
10-14 1790
在本例中,FW_A需要与FW_B建立两条隧道,而FW_B只有一个物理接口,所以需要在FW_B上配置两个Tunnel接口,来分别与FW_A的主备接口建立隧道。当FW_A发生主备链路切换时,FW_B也会切换Tunnel接口,方重新进行IPSec隧道协商。配置两条到分支的路由,主路由的优先级为10,绑定IP-Link功能;当FW_A主备切换时,FW_B将切换对等体与FW_A进行协商。配置IP-Link,用于检测FW_A到FW_B的主链路是否正常。配置IP-Link,用于检测FW_B到FW_A的链路是否正常。
IPSec链路和设备备份
weixin_30294295的博客
12-14 425
链路备份IPSec VPN和设备备份IPSec VPN:首先实验的是链路备份IPSec VPN,下面是实验拓扑:IP地址配置:R1(Branch):Branch(config-if)#ip add 12.1.1.1 255.255.255.0Branch(config-if)#no shuBranch(config-if)#int lo0Branch(config-if)#ip add ...
华为ipsec vpn 的介绍配置实例故障案例分析-(值得收藏)
最新发布
满地找牙的博客
07-01 1037
华为IPsec (Internet Protocol Security) VPN是一种基于IP层的安全协议,用于在公共网络(如互联网)上创建安全、加密的通信隧道,确保数据在传输过程中的保密性、完整性、真实性和抗重放能力。IPsec是企业网络中最常用的远程访问和站点间连接的加密技术之一。
华为路由器 IPSec VPN 配置
一直被模仿,从未被超越
05-31 8026
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
华为ipsec vpn配置案例
IT技术
04-02 1440
华为ipsec vpn配置案例
华为IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-08 2979
本篇文章是关于IPsec VPN的 实验配置,场景是在两端的IP地址都是固定的情况下,里面有配置思路和配置代码,还有注释等等
华为IPSec实验.zip
07-19
总部与分支机构之间建立IPSec VPN(总部采用固定IP,分部动态) 配置基于路由的IPSec VPN(采用预共享密钥...VPN高可用性-主备链路冗余 VPN高可用性-设备冗余 IPSec预共享密钥身份验证 Efficient VPN - 使用的路由器
华为数通超完美思维导图36张
09-01
IPSec VPN原理与配置.png IPv6基础介绍0.png IPv6路由基础 1.png IP编址.png NAT网络地址转换.png PPPoE.png RSTP原理与配置.png STP生成树.png Telnet原理与配置.png VLAN原理和配置1.png VLAN间路由....
华为HCIP-RS学习笔记.rar
09-30
目录: 01-企业网络高级解决方案 02-OSPF 03-路由控制 04-路由策略 05-策略路由 06-路由引入 07-BGP 08-组播基础 09-组播地址 ...34-IPSec VPN 35-MAC安全 36-DHCP安全 37-IP安全 38-ARP安全
华为HCIP-RS学习笔记【共38章.rar
09-30
目录:网盘文件永久链接 01-企业网络高级解决方案 02-OSPF 03-路由控制 04-路由策略 05-策略路由 06-路由引入 07-BGP 08-组播基础 ...34-IPSec VPN 35-MAC安全 36-DHCP安全 37-IP安全 38-ARP安全
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
IPSec网关主备机热备实验.docx
01-06
网络攻防原理与技术
三、IPSec VPN原理
u012451051的博客
11-03 1725
由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。定义PSec是一组开放的网络安全协议。
Linux系统的备份方法(运维工程师必备技能)
2301_79009758的博客
03-12 5603
备份资料经由''gzip''压缩),''c''(建立;''/mnt''目录)。显示出已经备份好的档案),''p''(允许保存文件的属性;的硬盘上有三个分区,分别是/dev/hda1,/dev/hda2,/dev/hda3,我们也要建三个分区,''f''(档案)选项後面接的是的要写入的archive档(或装置)到/mnt目录里面,/mnt就变成/,而/mnt/boot就变成/boot了。/dev/hda1是boot分区,它挂载在/boot之下,而/dev/hda2分区是作为虚拟内存空间。
【Windows Server 2019】企业虚拟专用网络 L2TP/IPSec 服务的配置和管理(下)
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
09-21 1392
配置企业虚拟专用网服务 配置客户端拨号连接
IPSec ***_高可用性链路备份
weixin_34401479的博客
05-27 243
IPSec ×××_高可用性链路备份 转载于:https://blog.51cto.com/youlemei/1655499
第22讲 | VPN:朝中有人好做官
qq_37756660的博客
03-20 1357
VPN 前面介绍了数据中心,里面很复杂,但是有的公司有多个数据中心,需要将多个数据中心连接起来,或者需要办公室和数据中心连接起来。这该怎么办呢? 第一种方式是走公网,但是公网太不安全,你的隐私可能会被别人偷窥。 第二种方式是租用专线的方式把它们连起来,这是土豪的做法,需要花很多钱。 第三种方式是用 VPN 来连接,这种方法比较折中,安全又不贵。 VPN,全名 Virtual Private Network,虚拟专用网,就是利用开放的公众网络,建立专用数据传输通道,将远程的分支机构、移动办公人员
IPSec VPN配置实验
m0_66993332的博客
03-07 3284
IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。需要注意的是,尽管IPSec VPN提供了高度的安全性,但它也可能成为黑客攻击的目标。因此,部署IPSec VPN时,还需要考虑到设备的安全管理和持续的监控,以防止潜在的安全威胁。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。3.传输过程中数据的加密方式(des、3des、aes)
GRE over IPSec 主备链路冗余配置
A soul tortured by desire
11-19 2378
实验背景: 企业总部和分支机构之间要可以相互访问内网,现在一般采用在总部和分支的出口设备上建立VPN的方式,这种方式建立的VPN需要在公网上传输总部与分支之间的数据流。 IPSec仅支持单播,如果采用IPSec VPN只能传输单播报文,那么当两地的网络较庞大时,相互的一条一条互指静态路由,是非常麻烦,且容易出错的;若要使用路由,由于路由协议是组播报文,而GRE支持单播、组播、广播,可以完美的解决IPSec不支持组播,从而不能动态的使用动态路由来发现总部与分支之间的内网。 由于GRE隧道不提供安全性..
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值