华为点到点IPSec 虚拟专用网配置

原创 已于 2022-06-10 18:28:01 修改 · 1.2w 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全

于 2021-03-25 13:38:56 首次发布
本文详细介绍了如何在两台防火墙FW1和FW2上配置IP地址、区域、路由及安全策略,包括允许网络间的互访及IKE协商后的报文通过,并通过配置IPSec策略实现数据加密传输。

在这里插入图片描述

配置相关接口IP地址及区域
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
[FW1-GigabitEthernet1/0/6]ip add 20.1.1.1 24
[FW1-GigabitEthernet1/0/6]service-manage ping permit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/6
[FW2-GigabitEthernet1/0/0]ip add 10.1.2.1 24
[FW2-GigabitEthernet1/0/0]service-manage ping permit
[FW2-GigabitEthernet1/0/6]ip add 20.1.1.2 24
[FW2-GigabitEthernet1/0/6]service-manage ping permit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/0
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 1/0/6
在防火墙上配置到对端的路由
[FW1]ip route-static 10.1.2.0 24 20.1.1.2
[FW2]ip route-static 10.1.1.0 24 20.1.1.1
配置安全策略(配置ipsec1和ipsec2,允许网络AB间互访;配置ipsec3和ipsec4,允许IKE协商后的报文及加密后的报文通过)
[FW1]security-policy
[FW1-policy-security]rule name ipsec1
[FW1-policy-security-rule-ipsec1]source-zone trust
[FW1-policy-security-rule-ipsec1]destination-zone untrust
[FW1-policy-security-rule-ipsec1]source-address 10.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-ipsec1]destination-address 10.1.2.0 mask 255.255.255.0
[FW1-policy-security-rule-ipsec1]action permit
[FW1-policy-security]rule name ipsec2
[FW1-policy-security-rule-ipsec2]source-zone untrust
[FW1-policy-security-rule-ipsec2]destination-zone trust
[FW1-policy-security-rule-ipsec2]source-address 10.1.2.0 mask 255.255.255.0
[FW1-policy-security-rule-ipsec2]destination-address 10.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-ipsec2]action permit
[FW1-policy-security]rule name ipsec3
[FW1-policy-security-rule-ipsec3]source-zone local
[FW1-policy-security-rule-ipsec3]destination-zone untrust
[FW1-policy-security-rule-ipsec3]source-address 20.1.1.1 mask 255.255.255.255
[FW1-policy-security-rule-ipsec3]destination-address 20.1.1.2 mask 255.255.255.255
[FW1-policy-security-rule-ipsec3]action permit
[FW1-policy-security]rule name ipsec4
[FW1-policy-security-rule-ipsec4]source-zone untrust
[FW1-policy-security-rule-ipsec4]destination-zone local
[FW1-policy-security-rule-ipsec4]source-address 20.1.1.2 mask 255.255.255.255
[FW1-policy-security-rule-ipsec4]destination-address 20.1.1.1 mask 255.255.255.255
[FW1-policy-security-rule-ipsec4]action permit
在这里插入图片描述

[FW2]security-policy
[FW2-policy-security]rule name ipsec1
[FW2-policy-security-rule-ipsec1]source-zone trust
[FW2-policy-security-rule-ipsec1]destination-zone untrust
[FW2-policy-security-rule-ipsec1]source-address 10.1.2.0 mask 255.255.255.0
[FW2-policy-security-rule-ipsec1]destination-address 10.1.1.0 mask 255.255.255.0
[FW2-policy-security-rule-ipsec1]action permit
[FW2-policy-security]rule name ipsec2
[FW2-policy-security-rule-ipsec2]source-zone untrust
[FW2-policy-security-rule-ipsec2]destination-zone trust
[FW2-policy-security-rule-ipsec2]source-address 10.1.1.0 mask 255.255.255.0
[FW2-policy-security-rule-ipsec2]destination-address 10.1.2.0 mask 255.255.255.0
[FW2-policy-security-rule-ipsec2]action permit
[FW2-policy-security]rule name ipsec3
[FW2-policy-security-rule-ipsec3]source-zone local
[FW2-policy-security-rule-ipsec3]destination-zone untrust
[FW2-policy-security-rule-ipsec3]source-address 20.1.1.2 mask 255.255.255.255
[FW2-policy-security-rule-ipsec3]destination-address 20.1.1.1 mask 255.255.255.255
[FW2-policy-security-rule-ipsec3]action permit
[FW2-policy-security]rule name ipsec4
[FW2-policy-security-rule-ipsec4]source-zone untrust
[FW2-policy-security-rule-ipsec4]destination-zone local
[FW2-policy-security-rule-ipsec4]source-address 20.1.1.1 mask 255.255.255.255
[FW2-policy-security-rule-ipsec4]destination-address 20.1.1.2 mask 255.255.255.255
[FW2-policy-security-rule-ipsec4]action permit
在这里插入图片描述

PC1和PC2已经连通
在这里插入图片描述

FW1和FW2已经连通
在这里插入图片描述

配置IPSec策略
[FW1]acl 3000
[FW1-acl-adv-3000]rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 //抓取流量
[FW1]ipsec proposal propAB //配置防火墙ipsec安全提议
[FW1-ipsec-proposal-propAB]encapsulation-mode auto //使用自动模式
[FW1]ike proposal 1 //配置IKE安全提议
[FW1-ike-proposal-1]integrity-algorithm aes-xcbc-96 //ike安全提议类型为aes
[FW1]ike peer ikeAB //配置IKE对等体
[FW1-ike-peer-ikeAB]exchange-mode auto //ike对等体信息交换模式为自动模式
[FW1-ike-peer-ikeAB]pre-shared-key ABCabc@123
[FW1-ike-peer-ikeAB]ike-proposal 1
[FW1-ike-peer-ikeAB]remote-id-type ip
[FW1-ike-peer-ikeAB]remote-id 20.1.1.2
[FW1-ike-peer-ikeAB]local-id 20.1.1.1
[FW1-ike-peer-ikeAB]remote-address 20.1.1.2 //ike对端IP地址
[FW1]ipsec policy ipsecAB 1 isakmp //配置防火墙ipsec安全策略
[FW1-ipsec-policy-isakmp-ipsecAB-1]security acl 3000
[FW1-ipsec-policy-isakmp-ipsecAB-1]ike-peer ikeAB
[FW1-ipsec-policy-isakmp-ipsecAB-1]proposal propAB
[FW1-ipsec-policy-isakmp-ipsecAB-1]tunnel local applied-interface
[FW2]acl 3000
[FW2-acl-adv-3000]rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[FW2]ipsec proposal propBA
[FW2-ipsec-proposal-propBA]encapsulation-mode auto
[FW2]ike proposal 1
[FW2-ike-proposal-1]integrity-algorithm aes-xcbc-96
[FW2]ike peer ikeBA
[FW2-ike-peer-ikeBA]exchange-mode auto
[FW2-ike-peer-ikeBA]pre-shared-key ABCabc@123
[FW2-ike-peer-ikeBA]ike-proposal 1
[FW2-ike-peer-ikeBA]remote-id-type ip
[FW2-ike-peer-ikeBA]remote-id 20.1.1.1
[FW2-ike-peer-ikeBA]local-id 20.1.1.2
[FW2-ike-peer-ikeBA]remote-address 20.1.1.1
[FW2]ipsec policy ipsecBA 1 isakmp
[FW2-ipsec-policy-isakmp-ipsecBA-1]security acl 3000
[FW2-ipsec-policy-isakmp-ipsecBA-1]ike-peer ikeBA
[FW2-ipsec-policy-isakmp-ipsecBA-1]proposal propBA
[FW2-ipsec-policy-isakmp-ipsecBA-1]tunnel local applied-interface
应用IPSec策略
[FW1-GigabitEthernet1/0/6]ipsec policy ipsecAB
[FW2-GigabitEthernet1/0/6]ipsec policy ipsecBA
验证
在这里插入图片描述

PC1 ping PC2时在FW1的G1/0/6口抓包
在这里插入图片描述

HUAWEI(25)——MPLS虚拟专用网
abraham的博客
04-16 7184
实验拓扑: 实验说明: 1.实现公司A-北京和公司A-上海的通信。 2.PE与CE之间运行的IDP为OSPF,PE1和PE2运行的EGP为BGP。 实验步骤: 1.配置接口地址: 1)AR1----AR2,AR1的地址为12.1.1.1/24,AR2的地址为12.1.1.2/24,其余路由器同理。 2)AR1的环回口:1.1.1.1/32,其余路由器同理。 例: 2.IS...
centos7网络配置(TUI界面配置、nmcli命令配置、修改文件配置
热门推荐
qq_40301628的博客
10-31 1万+
nmtui
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为IPSEC总部对多点的配置
suweichao的博客
12-30 5000
ipsec总部对多点配置命令配置 学了两个月的HCNA,网上搜索仅有一点对一点的ipsec配置,现在自己能做一点对多点了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
防火墙ipsec vpn点对多点
weixin_44732231的博客
05-31 1292
华为防火墙部署ipsec vpn 点对多点,华为路由器部署isis
华为ensp企业网ipsec-vpn点到多点部署
白话聊网络的博客
09-20 1197
KM-AR2220-AR1-ike-proposal-5] encryption-algorithm aes-cbc-128 //配置认证算法。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] proposal tran1 //绑定安全提议。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] ike-peer SY //绑定ike邻居。[KM-AR2220-AR1]ike proposal 5 //配置ike安全提议。
华为ensp防火墙ipsec-vpn点到多点场景(1总-3分)
白话聊网络的博客
07-02 2125
该场景适用于点到多点的毕设、大作业、课程等场景,该拓扑只不过是把各公司内网简化成一台pc,同学们要有举一反三的能力。需求很简单,中间的R代表互联网(公网),企业场景1总部对三分部,用过防火墙进行ipsec vpn点到多点部署。不要质疑我答案的正确性,我百分百保证,你照着敲大概率也会做不通,要具有排障能力。连通性正常后,ping各个分部的业务,观察ike sa 和ipsec sa。初次完成全补配置后,测试过程中均丢2个包,丢包为arp的过程,真机不会。杜绝拿着配置复制粘贴,不通就来质疑我的答案,真是可笑!
华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 CLI配置 (三)
m0_60444349的博客
08-11 4493
出口配置双线路,并配置负载均衡方式。通过配置IPSEC VPN服务,在各个分支与总部之间建立点到点安全隧道连接,实现访问总部的网络资源和业务系统。IPSEC VPN的组网方式较为灵活,可采用点对多点或点对点方式实现总部与各分支连接,总部VPN网关负责响应各分支VPN网关的请求,需要配置固定IP地址,各个分支机构部署VPN网关,可采用静态IP或动态IP方式,与总部建立VPN隧道。2.5 NAT策略。.........
eNSP—防火墙+IPSec 站点到站点的虚拟专用网
m0_46237205的博客
04-10 6174
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9896
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
商业虚拟专用网络技术一
weixin_42227328的博客
03-09 8066
虚拟专用网络,是指依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。 功能:在公用网络上建立专用网络,进行加密通讯。 虚拟专用网络VPN利用Internet公网资源作为企业专网的延续,使用一个私有通道在公众网络上建立一条端到端的链路,比原来的专用网络成本低,并安全稳定的连接
商业虚拟专用网络技术七IPSec应用场景
weixin_42227328的博客
03-31 3344
PSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族,是一个开放的协议族。IPSec主要是解决数据传输过程中的机密性、完整性、真实性、抗重播这些问题,利用IPSec安全机制在局域网安全互联、与移动用户远程安全接入、与多分支机构的远程安全接入通过隧道嵌套技术,实现安全传输。
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 4539
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
全网最细华为路由器mpls 虚拟专用网络intranet 组网配置
2301_76769137的博客
03-18 2345
全网最细华为MPLS VPN组网配置
安全HCIPIPSec点到多点
XiaoHG_优快云的博客
10-10 1475
IPSec点到多点 优点 方便扩展分支,增加分支其它机构不需要增加ipsec相关配置配置简单,所有分支只需要指向总部即可; 分支机构可以不使用固定公网IP地址; 缺点 所有分支互访流量必须绕行总部(当然,多数情况下分支只需和总部通信); 流量必须先由分支触发来建立ipsec vpn隧道; 无法启用ospf学习路由; 适用情况 分支间互访流量很少,多数流量是分支和总部互访流量,支持远程出差人员拨号访问,分支数量不要过多建议少于15个(感兴趣流量配置较多) ...
华为设备--×××虚拟专用网配置
weixin_33777877的博客
12-12 311
×××虚拟专用网配置 ×××简介: 虚拟专用网络(Virtual Private Network ,简称×××)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异...
华为设备配置虚拟专用网FRR
Tony_long7483的博客
06-12 1058
华为设备配置虚拟专用网 FRR
[eNSP]华为防火墙基础——Local、DMZ、Trust、Untrust互联
m0_64218141的博客
03-07 6000
理解并学会配置防火墙的local、trust、untrust、dmz四种区域的连通。
【无标题】华为防火墙实现远程管理的方式及配置详解
m0_70622178的博客
05-09 3359
华为防火墙实现远程管理的方式及配置详解 关于网络设备或是服务器,管理人员几乎很少会守着设备进行维护及管理,最普遍、应用最广泛的就是——远程管理。下面简单介绍一下华为防火墙管理的几种方式。 博文大纲:一、华为防火墙常见的管理方式;二、各种管理方式配置详解;1.通过Console线进行管理;2.通过Telnet方式管理;3.通过Web方式登录设备;4.配置SSH方式登录设备; 一、华为防火墙常见的管理方式 提到管理,必然会涉及到AAA的概念,我们首先来了解一下——AAA。 AAA概述 AAA是验证、
华为防火墙点到点IPSec隧道
最新发布
06-12
### 华为防火墙配置点到点IPSec隧道操作指南 配置华为防火墙的点到点IPSec隧道涉及多个步骤,包括定义安全策略、设置IKE协议参数、配置IPSec安全提议以及指定隧道的封装模式等。以下是详细的配置说明: #### 1. 配置IKE阶段 在华为防火墙上,需要首先配置IKE(Internet Key Exchange)协议来完成密钥交换和身份验证。以下是一个示例配置: ```shell # 进入系统视图 system-view # 创建IKE提议 ike proposal 1 encryption-algorithm aes-cbc-256 # 加密算法 integrity-algorithm sha256 # 完整性算法 dh group14 # Diffie-Hellman组 lifetime 86400 # IKE SA生命周期 quit # 配置IKE对等体 ike peer remote-peer pre-shared-key cipher 123456 # 预共享密钥 remote-address 203.0.113.1 # 对端IP地址 local-address 198.51.100.1 # 本地IP地址 ike-proposal 1 # 引用IKE提议 quit ``` #### 2. 配置IPSec安全提议 接下来需要配置IPSec安全提议以定义数据传输时的安全参数。 ```shell # 创建IPSec安全提议 ipsec transform-set my-transform esp encryption-algorithm aes-cbc-256 # 数据加密算法 esp integrity-algorithm sha256 # 数据完整性算法 quit ``` #### 3. 配置IPSec策略 定义IPSec策略以匹配流量并应用相应的安全提议。 ```shell # 创建IPSec策略 ipsec policy my-policy 1 isakmp security acl 3000 # 引用访问控制列表 transform-set my-transform # 引用安全提议 ike-peer remote-peer # 引用IKE对等体 quit # 配置ACL以匹配需要保护的流量 acl number 3000 rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 quit ``` #### 4. 启用IPSec隧道 最后,在接口上启用IPSec策略以确保流量通过隧道传输。 ```shell # 在接口上应用IPSec策略 interface GigabitEthernet 0/0/1 ipsec policy my-policy quit ``` #### 注意事项 - 确保两端设备的预共享密钥一致[^1]。 - 配置完成后,可以通过`display ipsec sa`命令检查IPSec安全联盟的状态[^1]。 - 如果网络中存在NAT设备,则需要启用NAT穿越功能[^3]。 ```python # 示例:启用NAT穿越 nat traversal enable ``` #### 测试与验证 使用ping或其他工具测试两端之间的连通性,确保流量能够通过IPSec隧道正常传输。 --- ###
评论 7
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值