ENSP和windows实现VPN技术

已于 2024-04-10 12:19:17 修改
阅读量1.4k 收藏 16
点赞数 16
分类专栏: 网络安全 文章标签: windows 华为
于 2024-04-09 11:01:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuge_long/article/details/137543271
版权

VPN

一.概述

  • 概述

  • 网络分类

    • 公网

      • 公用网络

      • 专用网络

        • 一种:直接在两端拉网线,国防光缆,实现起来难度大

        • 二种:向运营商申请专线,费用高

    • 私网

  • 背景

    • 例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。

  • 应用场景

    • 远程访问

      • 酒店,出差外地访问公司的内网服务器,外网访问内网

      • 点对点

        • 蜗牛成都公司与蜗牛武汉公司数据进行共享

  • VPN分类

    • VPN可以按照工作层次进行划分:

      (1)应用层:SSL VPN

      (2)网络层:IPSEC VPN 、GRE VPN

      (3)数据链路层:L2TP VPN、PPTP VPN

    • 远程访问

      • SSL VPN、L2TP VPN

    • 点对点

      • MPLS VPN、IPSEC VPN

二.WINDOWS搭建VPN

image-20240408142714010

环境准备

文件共享服务器:win10  192.168.100.100/24 gw:192.168.100.254       VMNET1网卡
vpn:win server      192.168.100.254/24  22.33.44.55/8
客户机:物理机         22.33.44.66/8


文件共享服务器:
1.创建zhangsan用户(等下用来访问文件共享服务器)
2.共享文件夹,授权张三权限
3.测试物理机运行窗口输入\\192.168.46.128
4.测试完成后改成192.168.100.100/24 gw:192.168.100.254

win server:
1.需要添加一块网络适配器网卡,一张作为内网使用,一张作为外网使用
2.ethernet0设置IP为192.168.100.254/24                         VMNET1网卡
3.ethernet1设置IP为22.33.44.55/8                              VMNET2网卡
4.安装vpn服务,具体步骤如下图所示

物理机:
1.需要修改vmnat2的网卡IP为22.33.44.66/8


win server上创建lisi用户(用来vpn拨号进去)

image-20240408143930464

image-20240408143940929

image-20240408143951093

image-20240408144012778

image-20240408144024164

image-20240408144034153

image-20240408144106256

image-20240408144120789

image-20240408144133951

image-20240408144143898

image-20240408144436259

image-20240408144459367

image-20240408144529516

image-20240408144606682

image-20240408144623881

下一步后可能会提示找不到22块网卡,需要关闭重新进入VPN设置向导

image-20240408144824563

image-20240408144941804

image-20240408145116988

image-20240408145131198

image-20240408145143504

image-20240408145158175

image-20240408145211545

物理机访问vpn(访问前记得在win server上创建lisi用户)

image-20240408145743984

image-20240408145849681

image-20240408145947173

image-20240408150027939

物理机运行窗口输入\\192.168.100.100访问内网的文件共享服务器

三.USG6000V实现SSL VPN

v-gateway 名称 int g外部接口编号 port 自定义端口 private 域名

v-gateway SSLVPN int g1/0/0 port 5443 private www.woniu.com

模拟酒店主机需要使用虚拟机里的win10的老式IE浏览器访问

image-20240408164335234

image-20240408162511472

image-20240408162549920

image-20240408162739544

image-20240408162938420

客户端来访问VPN服务器

image-20240408163438156

image-20240408163836972

image-20240408163854783

image-20240408164443996

image-20240408164418446

三.IPSec VPN概述

  • 用IPSec协议来实现远程接入的一种VPN技术,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
  • IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
  • IPSec是基于网络层实现,对上层数据进行安全保护
  • IPsec提高的安全服务
    • 控制流量
    • 不可否认性
    • 机密性
    • 完整性
    • 重传攻击保护
    • 数据源鉴别

image-20240115142017818

  • IPsec协议架构

    • 两种协议

      • ESP协议

        • 提供加密算法

        • 提供摘要算法

      • AH协议

        • 提供摘要算法

    • 两种工作模式

      • 传输模式
      • 隧道模式

四.路由器实现IPSec VPN

image-20240409103035684

命令配置

IP配置,VLAN配置,三层交换配置,OSPF配置,路由配置略

AR1配置
1.定义需要保护的数据流(识别哪些流量进行加密走IPsec隧道)
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule permit tcp source 192.168.10.0 0.0.0.255 destination 1
92.168.30.0 0.0.0.255                 # AR1设置的是回包走的IPsec隧道流量,所以源是10.1目的是30.1

2.配置IPsec安全提议(由于认证算法和加密算法有默认值无需设置)
[Huawei]ipsec proposal tiyi

3.配置IKE安全提议(由于ike安全提议里算法也有默认值无需设置)
[Huawei]ike proposal 1

4.配置IKE对等体
[Huawei]ike peer duidengti v1
[Huawei-ike-peer-duidengti]remote-address 23.34.45.57          # 对等体的IP
[Huawei-ike-peer-duidengti]ike-proposal 1
[Huawei-ike-peer-duidengti]pre-shared-key cipher p-0p-0p-0

5.配置IPSec安全策略
[Huawei]ipsec policy celue 1000 isakmp
[Huawei-ipsec-policy-isakmp-celue-1000]security acl 3000
[Huawei-ipsec-policy-isakmp-celue-1000]proposal tiyi 
[Huawei-ipsec-policy-isakmp-celue-1000]ike-peer duidengti

6.接口上应用IPSec安全策略组
[Huawei]int g0/0/0       # 进入外网接口
[Huawei-GigabitEthernet0/0/0]ipsec policy celue   # 应用策略



AR4配置
1.定义需要保护的数据流(识别哪些流量进行加密走IPsec隧道)
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule permit tcp source 192.168.30.0 0.0.0.255 destination 1
92.168.10.0 0.0.0.255                 # AR1设置的是回包走的IPsec隧道流量,所以源是10.1目的是30.1

2.配置IPsec安全提议(由于认证算法和加密算法有默认值无需设置)
[Huawei]ipsec proposal tiyi

3.配置IKE安全提议(由于ike安全提议里算法也有默认值无需设置)
[Huawei]ike proposal 1

4.配置IKE对等体
[Huawei]ike peer duidengti v1
[Huawei-ike-peer-duidengti]remote-address 22.33.44.55          # 对等体的IP
[Huawei-ike-peer-duidengti]ike-proposal 1
[Huawei-ike-peer-duidengti]pre-shared-key cipher p-0p-0p-0

5.配置IPSec安全策略
[Huawei]ipsec policy celue 1000 isakmp
[Huawei-ipsec-policy-isakmp-celue-1000]security acl 3000
[Huawei-ipsec-policy-isakmp-celue-1000]proposal tiyi 
[Huawei-ipsec-policy-isakmp-celue-1000]ike-peer duidengti

6.接口上应用IPSec安全策略组
[Huawei]int g0/0/1       # 进入外网接口
[Huawei-GigabitEthernet0/0/1]ipsec policy celue   # 应用策略

可以结合视频配置
视频地址:https://www.bilibili.com/video/BV1wm421E7DW/

五.USG6000V防火墙实现IPSec VPN

image-20240409141224726

USG6000V的IP配置及路由配置略

FW1配置

image-20240409141213513

image-20240409141431002

image-20240409141449948

image-20240409141556145

image-20240409141615075

image-20240409141626711

image-20240409141639318

image-20240409145204598

FW2配置

IPSec配置如上图所示,具体略

注意额外需要加一个防火墙到客户端的策略,如下图所示

image-20240409145236855

蜗牛学苑_武汉
关注
专栏目录
windows搭建vp*服务
a1119619789的博客
03-12 1812
适用于参加网络系统管理的学生进行学习与参考
华为ensp——企业网络的设计与实现【方案测试验证】
weixin_44702237的博客
10-31 8954
基于华为ensp的企业网络设计的方案测试验证
Windows VPN/NAT搭建
m0_69844818的博客
12-03 585
NAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址。内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是与 ISP 相连的路由器接口的地址,这会是个公有地址。进行 NAT 转换时,内部本地地址将会转换为内部全局地址,外部全局地址会成为目的地址。
华为防火墙 SSL VPN配置实验
最新发布
哦 卷!
09-05 1837
SSL VPN 可以实现员工到公司内部,由员工电脑进行 VPN 连接。一般由员工 Web 登录虚拟机网关手动连接,或由 SecoClient 客户端自动连接。IPSEC VPN可以实现不同局域网之间通过Internet进行VPN连接,一般由网关设备进行VPN连接。在界面配置会显示“服务器忙,请稍后重试”。
Windows Server 各版本搭建远程访问 / VPN 服务器实现 VPN 连接(03~19)
Flag少侠的博客
03-16 8419
开机后点击添加或删除角色点击下一步勾选自定义,点击下一步点击 远程访问/VPN 服务器,点击下一步点击下一步点击下一步勾选自定义,点击下一步选择配置类型,点击下一步点击完成点击是点击完成点击左下角开始➡管理工具➡路由和远程访问,右键本地服务器选择属性点击 IP,勾选静态地址池,点击添加输入 IP 网段,点击确定最后点击确定点击左下角开始➡管理工具➡计算机管理,展开列表点击用户,选择你想登录的用户后右键属性点击拨入,点击允许访问,点击确定。
Windows 10 vpn连接与Windows 2003 搭建vpn
-tacoooooo的博客
07-25 3275
在我们使用VP N时,我们会有很多时候需要进行测试,有时候因为版本不同导致有许多小细节需要修改,在网上的博文或者资料比较零散,本篇文章将其进行整理。本文主要用于测试与调试使用,没其他特殊用途,后续还会更新Windows XP的连接。
Windows Server 2019 单网卡 PPTP+端口映射 VPN搭建
weixin_42366182的博客
06-30 1673
路由器上仍旧是IKE(udp500),IKE NAT(udp4500),L2TP(udp1701)和PPTP(tcp1723)四项,没啥变化;
保姆级的实现:搭建vpn服务器
2401_83050569的博客
06-05 5040
点击左下角:开始-控制面板-双击网络连接IP地址是windows Server 2003的IP地址用户名就是你在windows Server 2003里面创建用户还有那个密码。出现这个截图表示你已经成功的了。
交换机的接口类型和Ensp中线缆类型
ChaseAug的博客
11-14 1万+
一·数据类型 1.RJ-45接口 RJ-45插头俗称“水晶头”,用于数据电缆的端接,实现设备、配线架模块间的连接和变更。对RJ-45水晶头要求具有良好的导通性能;接点三叉簧片镀金厚度为50μm,满足超五类传输标准,符合T568A和T568B线序;具有防止松动、插拔、自锁等功能。 区别于RJ11:在家用的ADSL Modem(调制解调器)上还会有RJ11接口略小,主要用来连接电话线使用。 调制解调器上的RJ-45接口和RJ11接口 2.SC光纤接口 它与RJ-45接口外观相似,主要用于局..
思科华为网络工程师-华为ENSP模拟器的实用技巧和操作指南
# 1. 华为ENSP模拟器简介 ...ENSP模拟器可以模拟复杂的网络拓扑结构,用户可以在其中进行网络配置、故障诊断等操作,实现类似于实际网络环境下的功能测试。通过ENSP模拟器,用户可以更加方便快捷地学习网
计算机网络原理实践报告--跨国公司,通过运营商网络如何实现总部公司与各分公司之间的网络互通
leizhenbing的博客
03-30 5994
一、实践的实验内容 本次实践的内容为:模拟跨国公司,通过运营商网络如何实现总部公司与各分公司之间的网络互通。 实验目标: 1、运营商网络可以全网互通,并且发生故障点后,可以自动切换路由路径。 2、公司内部网络实现、接入层、汇聚层、核心层三层架构。 3、公司内部网络实现双路负载均衡。 二、实践的实验环境 1、硬件环境 本次实验采用的硬件为:lenovo ThinkPad L460 笔记本,笔记本基本...
【网络与系统安全实验】欺骗攻击及防御技术
热门推荐
Goallegoal的博客
05-15 1万+
【网络与系统安全实验】欺骗攻击及防御技术 概述 在Internet上,计算机之间相互进行的交流建立在两个前提之下: 1、认证(Authentication) 认证是网络上的计算机用于相互间进行识别的过程,经过认证的过程,获准相互交流的计算机之间就会建立起相互信任的关系。 2、信任(Trust) 信任和认证具有逆反关系,即如果计算机之间存在高度的信任关系,则交流时就不会要求严格的认证。而反之,如果计算机之间没有很好的信任关系,则会进行严格的认证。 欺骗,实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者
eNSP——vpn技术-gre与mgre
m0_63884865的博客
01-25 2200
本次实验要求直接的关联性并不大,每一个点都是可以单独进行学习的,放在一起考察配置,可以发现某一块问题还是很清晰的。本次的重要是GRE环境与MGER环境 的工作原理,数据包的封装,和配置思路,最终实现全网可达。没什么问题了叭。。。这次没有可指正的错误,欢迎提问拜拜~~~~
[笔记]Windows使用OpenVpn构建虚拟局域网
二次元怪兽的博客
05-04 1万+
vpn全名 虚拟专用网络 使用这种技术可以使不同的地址的主机处于一个虚拟局域网络,常见的案例就是公司vpn就是让职工能在外网访问到公司的服务器。而openvpn就是开源的实现
eNSP中的VPN配置
2301_79605318的博客
09-26 3569
1、在路由器之间配置静态或者动态路由以及缺省路由使公网之间能够互相通信,但私网不能与公网通信,以此来模拟现实中的情况。目的:使不同私网之间PC1与PC2能够互相通信,PC3不能够与PC2通信但能够访问公网。以上图所示网络拓扑为例,蓝色区域代表私网,红色区域代表公网。以上图所示网络拓扑为例,蓝色区域代表私网,红色区域代表公网。目的:使PC1与PC2之间通过VPN能够相互通信。2、配置nat使私网与公网能够互通。4、创建安全提议,此处使用的是AH。1、对设备进行基础的网络配置。3、进行VPN相关设置。
ENSP实验四:搭建VPN(GRE,配置安全策略)
Carohuan的博客
07-19 3657
将流量送至FW1后,根据外层头二次查表,送至下一个路由AR1【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】收到AR2传来的流量【202.1.1.1->202.1.3.1|GRE|192.168.1.1->192.168.2.1 icmp】ping流量【192.168.1.1->192.168.2.1 icmp】从PC1流至FW1。**将Tunnel1逻辑接口配到dmz区域中。配置好后可实现PC1与PC2之间的ping。
Windows Server 配置(七)VPN服务器的安装
2301_76571514的博客
07-07 7652
VPN服务器是双网卡或多网卡的配置,一块网卡连接内网,另一块连接外网,同时外网或远程的客户端可以通过建立VPN连接访问到内网资源。两块网卡分别设置好地址,外网网卡的地址是否能做的,或者是在路由器上做NAT需要进一步了解。VPN的配置VPN的配置创建用户以上操作完成后在VPN服务器上就创建了可以远程连接的用户。
ENSP实验三:搭建VPN(GRE,未配置安全策略)
Carohuan的博客
07-19 2504
Tunnel down的时候,是因为“出口路由需配置默认上网路由”***所有接口都必须规划到区域中***安全策略放行所有(一般不这样操作)
华为eNSP IPsec VPN配置指南
外游者
04-10 6840
虚拟专用网络(VPN技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
使用ensp实现ssl vpn实验配置
05-23
1. 首先,在ENSP中创建一个网络拓扑,包括需要使用的设备,例如AC(Access Controller)、VPN Gateway和客户端PC。 2. 配置AC和VPN Gateway设备的基本信息,包括IP地址、子网掩码、管理VLAN等。 3. 配置VPN ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值