跨厂商IPSEC实践配置--总部(华为USG)防火墙和分支机构(思科ASA)防火墙之间点到点IPSEC 连接,两端公网出口IP固定、且出口存在NAT

原创 已于 2022-06-21 11:07:52 修改 · 3.9k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ipsec #思科ASA防火墙 ipsec #华为USG防火墙 ipsec

于 2018-12-12 15:59:12 首次发布
本文介绍在总部和分支机构的NAT环境下,通过USG防火墙和ASA防火墙建立IPSec隧道的过程,实现内网PC之间的安全通信,同时保持公网访问能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、案例介绍

本例介绍总部和分支机构的出口网关同时为NAT设备时如何建立IPSec隧道

二、组网拓扑

某企业分为总部(A)和分支机构(B)。
如下图所示:
![V0L2Fhc3Nhc3NpbmF0b3I=,size_16,color_FFFFFF,t_70)建议将上图画在草稿纸上,标好端口及IP,以便后续配置时候查看

组网如下:
• 总部(A)和分支机构(B)分别通过FW_A和FW_B与Internet相连。
• FW_A和FW_B公网路由可达。
• 总部FW_A和分支机构FW_B为固定公网地址。
• FW_A和FW_B同时为NAT网关。
要求实现的需求如下:
• PC1和PC2都可以直接访问公网。
• FW_A和FW_B之间建立IPSec隧道。
• 分支机构PC2能与总部PC1之间进行安全通信。

三、配置思路

  1. 完成FW_A和FW_B的接口、安全策略、路由等基本配置。
  2. 在FW_A和FW_B上完成源NAT的配置。终端PC1和PC2访问经过NAT后可以访问Internet的数据。
  3. 在FW_A和FW_B上完成IPSec的配置。终端PC1和PC2经过IPSec隧道的数据流不需要经过NAT转换。

四、配置步骤

1、设备基础配置
总部USG防火墙FW_A接口配置
[HQ-A]interface GigabitEthernet1/0/0
[HQ-A-GigabitEthernet1/0/0] undo shutdown
[HQ-A-GigabitEthernet1/0/0] ip address 111.11.11.11 255.255.255.240
[HQ-A-GigabitEthernet1/0/0] service-manage ping permit
[HQ-A-GigabitEthernet1/0/0] service-manage ssh permit
[HQ-A-GigabitEthernet1/0/0] service-manage telnet permit
[HQ-A-GigabitEthernet1/0/0]interface GigabitEthernet1/0/1
[HQ-A-GigabitEthernet1/0/1]undo shutdown
[HQ-A-GigabitEthernet1/0/1]ip address 10.1.255.1 255.255.255.0
[HQ-A-GigabitEthernet1/0/1]service-manage ping permit
[HQ-A-GigabitEthernet1/0/1]service-manage ssh permit
[HQ-A-GigabitEthernet1/0/1]service-manage telnet permit
[HQ-A-GigabitEthernet1/0/1]quit
[HQ-A]ip route-static 0.0.0.0 0.0.0.0 111.11.11.1
[HQ-A]ip route-static 10.1.1.0 255.255.255.0 10.1.255.2

**总部交换机接口配置**

HQ-SW01(config)interface Ethernet0/0
HQ-SW01(config-if)#no switchport
HQ-SW01(config-if)#no shutdown
HQ-SW01(config-if)#ip address 10.1.255.2 255.255.255.0
HQ-SW01(config-if)#exit
HQ-SW01(config)#exit
HQ-SW01#ping 10.1.255.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.255.1, timeout is 2 seconds:
…!!
Success rate is 40 percent (2/5), round-trip min/avg/max = 1/2/3 ms
HQ-SW01#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
HQ-SW01(config)#interface Vlan1
HQ-SW01(config-if)#shutdown
HQ-SW01(config-if)#vlan 110
HQ-SW01(config-if)#interface Vlan110
HQ-SW01(config-if)#no shutdown
HQ-SW01(config-if)#ip address 10.1.1.1 255.255.255.0
HQ-SW01(config-if)#interface Ethernet0/1
HQ-SW01(config-if)#no shutdown
HQ-SW01(config-if)#switchport access vlan 110
HQ-SW01(config-if)#exit
HQ-SW01(config)#ip route 0.0.0.0 0.0.0.0 10.1.255.1

分支机构ASA防火墙FW_B接口配置
Branch-B(config-if)# int g0/0
Branch-B(config-if)# no shutdown
Branch-B(config-if)# nameif outside
Branch-B(config-if)# security-level 0
Branch-B(config-if)# ip add 223.23.23.23 255.255.255.240
Branch-B(config-if)# int g0/1
Branch-B(config-if)# no shutdown
Branch-B(config-if)# nameif inside
Branch-B(config-if)# security-level 100
Branch-B(config-if)# ip add 10.2.255.1 255.255.255.0
Branch-B(config-if)# quit
Branch-B(config)# route outside 0.0.0.0 0.0.0.0 223.23.23.17
Branch-B(config)# route inside 10.2.2.0 255.255.255.0 10.2.255.2

分支机构交换机接口配置
Branch-SW01(config)#interface Ethernet0/0
Branch-SW01(config-if)#no shdown
Branch-SW01(config-if)#no switchport
Branch-SW01(config-if)#ip add 10.2.255.2 255.255.255.0
Branch-SW01(config-if)#int vlan 1
Branch-SW01(config-if)#shut
Branch-SW01(config-if)#vlan 100
Branch-SW01(config-vlan)#int vlan 100
Branch-SW01(config-if)#ip add 10.2.2.1 255.255.255.0
Branch-SW01(config-if)#no shdown
Branch-SW01(config-if)#exit
Branch-SW01(config)#int e0/1
Branch-SW01(config-if)#no shdown
Branch-SW01(config-if)#switchport access vlan 100
Branch-SW01(config-if)#exit
Branch-SW01(config)#ip route 0.0.0.0 0.0.0.0 10.2.255.1
Branch-SW01(config)#exit
Branch-SW01#ping 10.2.255.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.255.1, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
Branch-SW01#

2、NAT配置
总部USG防火墙NAT配置
[HQ-A]ip address-set to_Internet type object
[HQ-A-object-address-set-to_Internet] address 0 10.1.1.0 mask 24
[HQ-A-object-address-set-to_Internet]
[HQ-A-object-address-set-to_Internet]quit
[HQ-A]security-policy
[HQ-A-policy-security] default action permit
[HQ-A-policy-security]quit
[HQ-A]nat-policy
[HQ-A-policy-nat] rule name to_Internet
[HQ-A-policy-nat-rule-to_Internet] source-zone trust
[HQ-A-policy-nat-rule-to_Internet] destination-zone untrust
[HQ-A-policy-nat-rule-to_Internet] source-address address-set to_Internet
[HQ-A-policy-nat-rule-to_Internet] action nat easy-ip
[HQ-A-policy-nat-rule-to_Internet]qui
[HQ-A-policy-nat]qui
[HQ-A]

在交换机上对公网地址发起ping操做,如下图所示:
在这里插入图片描述
在USG防火墙上可看到内网地址已NAT成公网地址,如下图所示:
在这里插入图片描述

分支机构ASA防火墙NAT配置
Branch-B(config)# object network to-Internet
Branch-B(config-network-object)# subnet 0.0.0.0 0.0.0.0
Branch-B(config-network-object)# nat (inside,outside) dynamic interface
Branch-B(config-network-object)#

在分支机构交换机上对公网地址发起ping操做,如下图所示:
在这里插入图片描述
在ASA防火墙上可看到内网地址已NAT成公网地址,如下图所示:
在这里插入图片描述

3、ipsec配置
总部USG防火墙ipsec配置
①、配置IPSec安全提议。缺省参数可不配置。
[HQ-A] ipsec proposal asa
[HQ-A-ipsec-proposal-tran1] esp authentication-algorithm md5
[HQ-A-ipsec-proposal-tran1] esp encryption-algorithm des
[HQ-A-ipsec-proposal-tran1] quit

②、配置IKE安全提议。缺省参数可不配置。
[HQ-A] ike proposal 1
[HQ-A-ike-proposal-1] encryption-algorithm 3des
[HQ-A-ike-proposal-1] prf hmac-sha1
[HQ-A-ike-proposal-1] authentication-algorithm sha1
[HQ-A-ike-proposal-1] authentication-method pre-share
[HQ-A-ike-proposal-1] integrity-algorithm hmac-sha1-96
[HQ-A-ike-proposal-1] dh group2
[HQ-A-ike-proposal-1] quit

③、配置IKE peer。
[HQ-A] ike peer asa
[HQ-A-ike-peer-asa] ike-proposal 1
[HQ-A-ike-peer-asa] remote-address 223.23.23.23
[HQ-A-ike-peer-asa] pre-shared-key Cisco@123
[HQ-A-ike-peer-asa] quit

④、定义被保护的数据流。
配置高级ACL 3000,允许10.1.1.0/24网段访问10.1.2.0/24网段。
[HQ-A] acl 3000
[HQ-A-acl-adv-3000] rule 10 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255
[HQ-A-acl-adv-3000] quit

⑤、配置IPSec策略。
[HQ-A] ipsec policy ipsec 10 isakmp
[HQ-A-ipsec-policy-isakmp-ipsec-10] security acl 3000
[HQ-A-ipsec-policy-isakmp-ipsec-10] proposal asa
[HQ-A-ipsec-policy-isakmp-ipsec-10] ike-peer asa
[HQ-A-ipsec-policy-isakmp-ipsec-10] quit

⑥、在接口GE1/0/0上应用IPSec策略组ipsec。
[HQ-A] interface GigabitEthernet 1/0/0
[HQ-A-GigabitEthernet1/0/1] ipsec policy ipsec
[HQ-A-GigabitEthernet1/0/1] quit

分支机构ASA防火墙ipsec配置
①、配置IKE
Branch-B(config)# crypto ikev1 enable outside
Branch-B(config)# crypto ikev1 policy 1
Branch-B(config-ikev1-policy)# authentication pre-share
Branch-B(config-ikev1-policy)# encryption 3des
Branch-B(config-ikev1-policy)# hash sha
Branch-B(config-ikev1-policy)# group 2
Branch-B(config-ikev1-policy)# lifetime 86400
Branch-B(config-ikev1-policy)# quit

Branch-B(config)tunnel-group 111.11.11.11 type ipsec-l2l
Branch-B(config)# tunnel-group 111.11.11.11 ipsec-attributes
Branch-B(config-tunnel-ipsec)# ikev1 pre-shared-key Cisco@123
Branch-B(config-tunnel-ipsec)# quit

②、配置IPSec
Branch-B(config)# crypto ipsec ikev1 transform-set trans esp-des esp-md5-hmac
Branch-B(config)# quit

③、定义感兴趣流
Branch-B(config)# access-list to-HQ EXtended PERmit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
Branch-B(config)# quit

④、关联IPSec策略
Branch-B(config)# crypto map l2l 10 match address to-HQ
Branch-B(config)# crypto map l2l 10 set peer 111.11.11.11
Branch-B(config)# crypto map l2l 10 set ikev1 transform-set trans
Branch-B(config)# quit

⑤、在outside接口上调用l2l策略
Branch-B(config)# crypto map l2l interface outside

五、结果验证

1、发起ping操做
在总部交换机和分支机构交换机上带网关地址发起ping操做,如下图所示:
在这里插入图片描述在这里插入图片描述

2、查看IKE信息
在分支机构ASA防火墙上可看到IKE已协商成功,IPSec也已建立成功,如下图所示:
在这里插入图片描述在这里插入图片描述

同样,在总部USG防火墙上也可看到相应的IKE信息,如下图所示:
在这里插入图片描述在这里插入图片描述

六、设备信息

本实验中
ASA设备版本:Version 9.4(1)200
USG设备版本:Version 5.160
交换机设备版本:无特殊要求,支持三层即可

***以上是本次操作全部步骤。如有疑问,请与作者联系:4710569 ***

华为防火墙(IPSec)web配置案例
仓鼠OO的博客
12-05 1506
华为防火墙(IPSec)web配置案例
配置USG12000系列防火墙华为USG6000E系列防火墙NAT穿越场景下建立IPSec隧道
ducanwang的博客
01-21 970
这个字段原本是为抗重放功能设计的,设备的IPSec隧道每发出一个报文,这里的sequence-number就相应加1。例如,分支用户向总部用户发送了5个ICMP报文,如果这5个ICMP报文是经过这条IPSec隧道传输的,那么对应这条隧道IPSec SA中sequence-number的值将会增加5。反之,如果这里sequence-number的值没有增长或者增长数目不对,则说明这些报文没有经过这条IPSec隧道传输或者是这条IPSec隧道有异常。这是因为首包发出时,IPSec隧道还未建立,无法进行转发。
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
baimao__Ch的博客
04-19 3615
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png) 上网需求 服务器发布需求 VPN需求 攻击模拟 实验步骤 1、防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc
华为防火墙IPSec配置实例---wbe配置
最新发布
weixin_58298297的博客
05-26 251
模拟实际环境配置IPSec隧道
华为USG防火墙搭建IPsec***实战
weixin_34195142的博客
06-02 2949
1.实验拓扑:使用模拟器eNSP(版本号:1.2.00.350 V100R002c00)+AR3260+USG5500 AR1模拟运营商2.实验需求: a)在FW1上做PAT,让C1可以上互联网 b)在FW1FW2之间IPsec×××,让C1、C2间实现私网通信3.实验步骤: a)IP地址规划:FW1GE0/0/...
华为防火墙ipsec vp*实例配置
热门推荐
weixin_45457085的博客
03-22 1万+
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。 2、IPSEC配置 a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。 b、ike proposal(ike提案),如果是通过IKE自动协商..
华为USG防火墙V1升级到V5过程包
11-18
华为USG防火墙系列是华为推出的一系列高性能的下一代防火墙产品,它们用于保障企业网络安全。V1到V5的升级过程涉及多个版本的固件补丁,这个过程包提供了一系列的文件,用于指导用户如何将USG防火墙从初始版本升级...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
华为ensp防火墙ipsec v-p-n基础配置
白话聊网络的博客
11-09 778
这里面防火墙并不是直连的, 他俩的网段不通,云彩后面藏着一台路由器,所以是两个网段,路由器的接口IP是1.1.3.2/241.1.5.2/24。防火墙用户名admin 密码huawei@123。防火墙接口配置-区域配置ipsec 安全提议配置ipsec 策略配置
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行web配置
IT技术
11-28 5075
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行web配置
华为USG思科ASA ipsec ikev2 对接配置
weixin_34034261的博客
08-02 1679
华为USG思科ASA ipsec ikev2 对接配置USG:#acl number 3000rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255#ike proposal 1encryption-algorithm 3des-cbcdh group2#ike peer 1p...
华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 web配置(二)
m0_60444349的博客
08-10 1万+
企业IPSEC VPN组网方案目 录近年来,VPN技术以其可以利用公共网络资源,建立安全可靠、经济便捷、调整转输等特点引起了企业的广泛关注,随着信息化建设的深入以及解决企业分支机构总部的资源共享访问、端到端的数据转输的安全性等问题,VPN的应用也显示出它的强大优势。在各行业中基于VPN的解决方案已得到了成功应用,能有效地降低企业组网成本,同时也为XX公司的信息化建设提供了可参加的模板。..............................
深信服与奇安信防火墙IPsceVPN对接
cainiaoshi1122的博客
04-18 4729
奇安信防火墙对接深信服防火墙IPsecVPN
基于HCL模拟器华三设备IPsec vpn的配置实验
WANGMH13的博客
08-01 6556
基于HCL模拟器华三设备IPsec vpn的配置实验
华为防火墙 USG6300E IPSecVP* Web配置方法
一直被模仿,从未被超越
10-14 9053
接口如下图, wan口,lan口 1、添加安全策略 2、添加 NAT策略 3、添加静态路由 4、添加IPSec 5、查看监控成功
华为防火墙IPSEC简单搭建
baidu_41701694的博客
09-05 4102
消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密验证算法,交换临时随机数DH交换。创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。2-设置ike peer,主要设置协商用的密码,应用ike-proposal 设置对端IP
华为防火墙USG6000与路由器AR2220之间配置IPSEC OVER GRE的配置命令
09-26
华为防火墙USG6000系列路由器AR2220之间IPSec over GRE隧道配置涉及到多个步骤,这里提供一个简化的示例说明配置流程: 首先,在USG6000防火墙配置隧道端点: ```bash [USG] ipsec tunnel remote AR2220_ip address gre encapsulation esp [USG-ipsec-tunnel] authentication pre-share psk "shared_secret" // 使用预共享密钥 [USG-ipsec-tunnel] phase2 auto // 自动协商IKE阶段2参数 [USG-ipsec-tunnel] ike proposal custom // 创建自定义IKE提案,比如IKEv1 [USG-ipsec-tunnel] esp proposal custom // 创建ESP提议,比如AES-256-CBC模式 ``` 然后,在AR2220路由器上创建相应的隧道并指定对端信息: ```bash [R2220] interface Ethernet0/0 // 指定接口 [R2220-Ethernet0/0] gre local-ip start-ip end-ip // 配置本地GRE地址范围 [R2220-Ethernet0/0] gre remote-ip USG6000_ip // 对端IP地址 [R2220-Ethernet0/0-gre] ipsec tunnel permit // 允许GRE封装的IPSec隧道通过 [R2220] crypto isakmp policy 1 // 创建IKE策略 [R2220-isakmp-policy-1] authentication pre-share psk "shared_secret" // 同样使用预共享密钥 [R2220-isakmp-policy-1] proposal esp-aes256-cbc // 对应于USG6000的ESP提案 [R2220-isakmp-policy-1] proposal ike-modern // 对应于IKE提案 [R2220] crypto ipsec profile test // 创建ESP策略 [R2220-ipsec-profile-test] authentication pre-share // 使用预共享 [R2220-ipsec-profile-test] ike-group my_ike_policy // 与IKE策略关联 [R2220-ipsec-profile-test] esp-group my.esp_policy // 与ESP策略关联 [R2220-ipsec-profile-test] peer USG6000_ip // 对端地址 [R2220] interface Tunnel0 // 创建GRE隧道接口 [R2220-Tunnel0] gre remote-end-point USG6000_ip // 设定远端GRE地址 [R2220-Tunnel0] ipsec policysource test // 源IPSec策略应用到这个GRE隧道 ``` 请注意,实际配置可能会因版本差异、网络需求以及安全策略的不同而有所变化,上述命令仅为示例,实际操作前需查阅设备的官方文档。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值