华三模拟器(防火墙)实现IPSEC穿越NAT实验

最新推荐文章于 2025-04-21 07:30:00 发布
最新推荐文章于 2025-04-21 07:30:00 发布
阅读量1w 收藏 59
点赞数 6
分类专栏: 网络协议原理 文章标签: 网络 ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43590351/article/details/121630002
版权
本文档详细记录了一次IPSec穿越NAT的配置过程,包括FW1和FW2两台防火墙的ACL、IPsec安全提议、IKEkeychain、IKEprofile、IPsec安全策略的配置,并在接口上应用策略。通过实验,作者解决了PC_5访问PC_4不通的问题,最终实现两端私网地址的互通。实验结果显示IPSec配置成功,通过显示IKESA和IPSECSA进行验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验拓扑

在这里插入图片描述

接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作)

另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置

FW1

步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW1] acl advanced 3002
[FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255


步骤二:配置IPsec安全提议
[FW1] ipsec transform-set tran1											创建IPsec安全提议tran1
[FW1-ipsec-transform-set-tran1] encapsulation-mode tunnel				配置安全协议对IP报文的封装形式为隧道模式
[FW1-ipsec-transform-set-tran1] protocol esp							配置采用的安全协议为ESP。
[FW1-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128	配置ESP协议采用的加密算法为128比特的AES
[FW1-ipsec-transform-set-tran1] esp authentication-algorithm sha1		认证算法为HMAC-SHA1。
[FW1-ipsec-transform-set-tran1] quit

步骤三:配置IKE keychain
[FW1] ike keychain keychain1			创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW1-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456
[FW1-ike-keychain-keychain1] quit

步骤四:配置IKE profile 
[FW1] ike profile profile1								创建并配置IKE profile,名称为profile1
[FW1-ike-profile-profile1] keychain keychain1		
[FW1-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0	#指定对端公网地址
[FW1-ike-profile-profile1] quit

步骤五:配置IPsec安全策略			
[FW1] ipsec policy map1 10 isakmp						创建IKE协商方式的IPsec安全策略,名称为map1,序列号为10。
[FW1-ipsec-policy-isakmp-map1-10] security acl 3002						指定引用感兴趣流的ACL 3002
[FW1-ipsec-policy-isakmp-map1-10] transform-set tran1					指定引用的安全提议为tran1
[FW1-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1					指定IPsec隧道的本端IP地址为1.1.1.1
[FW1-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2				指定IPsec隧道的对端IP地址为2.2.2.2
[FW1-ipsec-policy-isakmp-map1-10] ike-profile profile1					指定引用的IKE profile为profile1。
[FW1-ipsec-policy-isakmp-map1-10] quit
 
                           
步骤六:在接口上应用IPsec安全策略    
[FW1-GigabitEthernet1/0/0] ipsec apply policy map1

FW2配置

步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW2] acl advanced 3002
[FW2] rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255


步骤二:配置IPsec安全提议
[FW2] ipsec transform-set tran1											创建IPsec安全提议tran1
[FW2-ipsec-transform-set-tran1] encapsulation-mode tunnel				配置安全协议对IP报文的封装形式为隧道模式
[FW2-ipsec-transform-set-tran1] protocol esp							配置采用的安全协议为ESP。
[FW2-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128	配置ESP协议采用的加密算法为128比特的AES
[FW2-ipsec-transform-set-tran1] esp authentication-algorithm sha1		认证算法为HMAC-SHA1。
[FW2-ipsec-transform-set-tran1] quit

步骤三:配置IKE keychain
[FW2] ike keychain keychain1			创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW2-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple 123456
[FW2-ike-keychain-keychain1] quit

步骤四:配置IKE profile 			
[FW2] ike profile profile1								创建并配置IKE profile,名称为profile1。
[FW2-ike-profile-profile1] keychain keychain1		
[FW2-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0	#指定对端公网地址
[FW2-ike-profile-profile1] quit

步骤五:配置IPsec安全策略			
[FW2] ipsec policy use1 10 isakmp						创建IKE协商方式的IPsec安全策略,名称为use1,序列号为10。
[FW2-ipsec-policy-isakmp-map1-10] security acl 3002						指定引用感兴趣流的ACL 3002
[FW2-ipsec-policy-isakmp-map1-10] transform-set tran1					指定引用的安全提议为tran1
[FW2-ipsec-policy-isakmp-map1-10] local-address 2.2.2.2					指定IPsec隧道的本端IP地址为2.2.2.2
[FW2-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.1				指定IPsec隧道的对端IP地址为1.1.1.1
[FW2-ipsec-policy-isakmp-map1-10] ike-profile profile1					指定引用的IKE profile为profile1。
[FW2-ipsec-policy-isakmp-map1-10] quit
 
                           
步骤六:在接口上应用IPsec安全策略    
[FW2-GigabitEthernet1/0/0] ipsec apply policy use1

测试

用PC_5去访问PC_4发现不通,还是一样的原因,需要拒绝ipsec的感兴趣流

在这里插入图片描述

FW1上修改
rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched)
rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched)

FW2修改
rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)

实验结果

用PC_5去访问PC_4发现可以成功访问

在这里插入图片描述

ike sa

[FW1]display  ike sa

在这里插入图片描述

ipsec sa

display ipsec sa

在这里插入图片描述

到此防火墙的ipsec穿越NAT实验结束,其实很简单很简单昨天搞了一天不知道啥原因,今天早上上课按照手册在敲一遍就通了挺兴奋的

写个博客记录下以后可能会用到(毕设)

实验报告下载地址

链接:https://pan.baidu.com/s/1lz2-U0fyXhkxKHVrgfFrVw 
提取码:tpen
H3C 点对点IPSec 添加NAT穿越实验
松紧带的自习室
01-18 2165
本次实验里面有一部分我只是做了皮毛,大部分配置都是可以自己定制的,我写这篇文章的主要目的就是为了让新手能够有一个相对靠谱的答案,其实本次实验可能在高手看来不足为奇,但是如果是对于初学者来说,还是有难度的,特别是在NAT设备加入以后,整个的思路可能就乱了,我也乱了好久,因为我以前对什么IPSec真的一窍不通,通过这次学习,也算是了解了一部分知识。我相信只要又不断的求知欲,再难的问题也可以解决,不要怕麻烦,解决问题不麻烦那不就都成神了。
H3C模拟器HCL防火墙IPSsec+IKE预共享密钥中心节点-防火墙Web配置实验
LQ的博客
08-28 636
加入Host_1设备,将本机回环网卡连接总部防火墙的GE1/0/1,(默认ip:192.168.0.1)需要将分部防火墙默认的192.168.0.1修改成192.168.0.2并保存,实现本机可以同时访问2台防火墙的web界面。创建策略,选择中心节点,接口,自定义预共享密钥保持和总部一致,采用主动模式,配置感兴趣的流,(总部与分公司通信的网段)IKE提议选择步骤1创建的,其他保持默认即可。创建策略,选择中心节点,接口,自定义预共享密钥,野蛮模式,IKE提议选择步骤1创建的,其他保持默认即可。
防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 2616
其中防火墙4和5分别为防火墙两端,不采用防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
(H3C)与为(Huawei)设备配置IPsec VPN的详细说明,涵盖配置流程、参数设置及常见问题处理
最新发布
qq_23930765的博客
04-21 1685
选择封装模式(隧道模式)、ESP加密算法和认证算法。
模拟器(路由器)实现ipsec穿越NAT实验
qq_43590351的博客
11-29 4405
IPSEC VPN 实验拓扑 接口及路由配置省略,R1和R3配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 接下来主要配置IPSEC VPN,如下配置 R1配置 R1配置 步骤一:在R1上创建感兴趣流,匹配两端私网地址网段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 步骤二:在 R1 上创建IKE提议,配置验证模式为预共
防火墙-IPsec VPN配置
qq_53146347的博客
04-20 2792
公司需要搭建VPN让子公司连接内网服务器直接获取内网数据,使用IPsec VPN进行对接,预共享密钥:123456。
H3C IPsec穿越nat实验
h320758724的博客
05-26 4732
实验拓扑 H3C IPsec VPN 实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24网段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 R1 和 R3 上配置默认路由连通公网
基于HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 7805
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点间VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
H3C IPsec over GRE VPN 实验
M建的博客
10-11 1441
配置 IPsec over GRE VPN 来连通两端内网
hcl的ipsec实验
qq_44933518的博客
11-27 2859
1.实验拓扑: 2.需求 1.总公司和分公司通过IPSec VPN连接 2.总公司和分公司都能访问外网 3.需求分析 1.这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流和外网流量的匹配 2.这个实验的难点在于IPSec VPN的配置,IPSec VPN的配置复杂,而且VPN两边参数不一致,会导致VPN无法建立 4.配置步骤 注:这个步骤主要讲解IPSec VPN的配置,我这里演示的只有IPSec VPN的其中一种方法,而且为了配置简单,有些参数就直接使用了
(九)防火墙详细介绍+天融信topgate模拟实验(运维安全)
Until_U的博客
07-02 8316
CONTENTS 1 防火墙概述 1.1 定义 1.2 基本功能 1.3 常见的防火墙产品 1.4 衡量防火墙指标 1.5 防火墙分类 2 区域隔离和工作模式 2.1 区域隔离概念 2.2 工作模式 3 防火墙实验 3.1 单个防火墙配置 3.2 两个防火墙做HA 1 防火墙概述 1.1 定义 是一款具备安全防护功能的网络设备,将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护 1.2 基本功能 访问控制:类似ACL策略,默认都禁止 攻击防护:这个是基本的功
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
防火墙配置IPSec隧道
热门推荐
a2317077531的博客
06-30 1万+
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168.11.1 255.255.25
H3C CLI基础笔记(设备访问——Ipsec NAT穿越
weixin_33979203的博客
01-08 944
引入 ·可以通过Console、AUX、Telnet和SSH多种途径,搭建网络设备配置环境·H3C Comware在上述配置方法中使用的命令行采用了配置权限的分级控制访问网络设备命令行接口的方法·通过Console口本地访问·通过AUX口远程访问(可用电话modem,走PSTN调试)·使用Telnet终端访问·使用SSH终...
防火墙-策略NAT
qq_53146347的博客
05-01 7063
到达防火墙匹配源和目的转换后,将源地址10.1.1.2更改为80.38.1.16;目的地址80.38.1.16:8080更改为192.168.20.20:81进行访问。1.新建策略NAT,规则类型选择NAT44,源和目的根据流向选择,源IP填写源网段或指定IP,目的IP填写需要访问的地址或any,转换方式使用动态IP+端口的形式,地址类型使用easy ip。通过宿主机在浏览器上访问防火墙的外网接口8080端口能正常访问到服务器的内容,验证成功。注意:策略NAT和接口NAT互斥;查看防火墙的会话转换过程。
防火墙ipsec vpn配置命令
耕耘
08-06 2377
防火墙ipsec vpn配置命令
ipsec *** nat 穿越实验
weixin_34336292的博客
02-11 334
ipsecnat穿越实验2010-09-3010:00:04做此实验需开启NAT穿越功能,cisco设备默认是开启的。R2添加此2条命令是为了能够让外部穿越NAT设备以此来建立×××关系ipnatinsidesourcestaticudp10.1.1.14500interfaceEthernet0/14500ipnatinsidesourc...
防火墙命令行基础配置实验(H3C模拟器
Red_carp的博客
11-26 4619
在H3C模拟器上用命令行配置防火墙策略,配置OSPF协议(OSPF协议的简单使用)、Loopback0地址。
模拟器防火墙配置
03-08
### H3C模拟器中的防火墙配置指南 在H3C模拟器中进行防火墙配置涉及多个方面,包括基本设置、安全策略制定以及具体命令的应用。对于希望了解如何在该环境中配置防火墙的用户来说,可以参考官方文档或者特定教程来获取详细的指导[^1]。 通常情况下,在启动任何配置之前,应该先熟悉所使用的设备型号及其特性。接着按照如下方式操作: - **进入系统视图**:通过输入`system-view`指令切换至系统模式下; - **定义区域**:利用`firewall zone name <zone-name>`创建并命名不同的逻辑分区; - **关联接口到相应区域**:比如执行`interface GigabitEthernet 0/0/1`,随后指定其所属的安全域如`port link-mode route` 和 `firewall zone untrust add interface GigabitEthernet 0/0/1`; - **设定访问控制列表(ACL)**:采用类似于`acl number 2000 rule permit source any destination any`这样的语句构建过滤规则; - **应用ACL于方向上**:例如`traffic classifier basic match acl 2000`用于匹配流量分类,并且可以通过`traffic behavior basic filter deny`决定处理动作;最后再用`traffic policy basic classifier basic behavior basic`将两者绑定在一起应用于具体的网络连接路径之上。 以上过程仅作为一般性的描述,实际环境下的参数可能有所不同,请参照产品手册获得最准确的信息。 ```bash # 进入系统视图 system-view # 定义一个名为 &#39;untrust&#39; 的区域 firewall zone name untrust # 将GigabitEthernet端口加入到&#39;untrust&#39;区域内 interface GigabitEthernet 0/0/1 port link-mode route firewall zone untrust add interface GigabitEthernet 0/0/1 # 创建允许所有源地址到达目的地址的数据包通行的ACL条目 acl number 2000 rule permit source any destination any # 配置流量行为以拒绝符合条件的数据流 traffic classifier basic match acl 2000 traffic behavior basic filter deny # 绑定上述条件与行动形成完整的策略链路 traffic policy basic classifier basic behavior basic ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值