防火墙之ipsec vpn实验

最新推荐文章于 2025-10-29 19:10:48 发布
原创 最新推荐文章于 2025-10-29 19:10:48 发布 · 1.1w 阅读 · 271 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

本文详细介绍了如何通过命令行配置IPSec VPN,实现分公司与总公司之间的安全私网通信。配置包括接口和区域划分、IKE隧道建立、安全策略及NAT转换等步骤,确保数据加密并允许分公司访问总公司服务器及公网资源。实验结果显示通信正常,强调了安全策略配置的重要性。

防火墙之ipsec vpn命令行配置

项目介绍

分公司与总公司之间要建立安全的私网通信,且为了减少资金的投入,所以要建立点对点的ipsec vpn(专线太贵)通信。他是通过公网的流量,所以加密级别根据需要而设定。

项目拓扑

在这里插入图片描述

项目需求

1:分公司访问总公司的服务器采用私网ip访问,且经过ipsec加密通信
2:分公司访问运营商的服务器采用nat转换为公网对isp服务器进行访问
3:总公司实现的目标与分公司相同

配置命令

isp路由器配置:

interface GigabitEthernet0/0/0
   ip address 100.1.1.2 255.255.255.0 
   qu
interface GigabitEthernet0/0/1
	ip address 200.1.1.1 255.255.255.0 
	qu
interface GigabitEthernet0/0/2
   ip address 150.1.1.254 255.255.255.0 
   qu

分公司防火墙(FW1)配置:

接口配置ip和接口划入区域的配置:
int g1/0/0
ip add 172.16.1.254 24
undo shudown
qu

interface GigabitEthernet1/0/1
undo shutdown
ip address 100.1.1.1 255.255.255.0
 qu

firewall zone trust                       
add interface GigabitEthernet1/0/0   
 qu
                                       
firewall zone untrust                     
add interface GigabitEthernet1/0/1  
qu

ip route-static 0.0.0.0 0.0.0.0 100.1.1.2
ipsec相关配置:

第一阶段:建立ike隧道

ike proposal 1                            
 encryption-algorithm aes-256             
 dh group14                               
authentication-algorithm sha2-256        
authentication-method pre-share          
integrity-algorithm hmac-sha2-256       
qu

ike peer 200.1.1.2                     
 exchange-mode auto                       
 pre-shared-key cisco
 ike-proposal 1                                                                        
 remote-address 200.1.1.2                 
 qu

第二阶段:对感兴趣流量加密

acl number 3000                           
 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
 qu

ipsec proposal  ipsec_canshu              
encapsulation-mode auto                  
esp authentication-algorithm sha2-256    
esp encryption-algorithm aes-256         
qu

ipsec policy myset 1 isakmp     
 security acl 3000                        
ike-peer 200.1.1.2                    
proposal  ipsec_canshu
qu

出接口调用:

interface GigabitEthernet1/0/1
ipsec policy myset
安全策略的配置:
security-policy                           
rule name ike           //ike协商时允许local-->untrust的策略                 
source-zone local                       
destination-zone untrust                
source-address 100.1.1.0 mask 255.255.255.0
destination-address 200.1.1.0 mask 255.255.255.0
action permit 
qu                      

rule name vpn              //允许vpn流量穿越防火墙的策略     
 source-zone trust                       
source-zone untrust                     
destination-zone trust                  
destination-zone untrust                
source-address 172.16.1.0 mask 255.255.255.0
source-address 172.16.2.0 mask 255.255.255.0
destination-address 172.16.1.0 mask 255.255.255.0
destination-address 172.16.2.0 mask 255.255.255.0
action permit    
qu                       

rule name vpn-in                         //允许ike协商流量从untrust-->local
source-zone untrust                     
 destination-zone local                  
source-address 200.1.1.0 mask 255.255.255.0
destination-address 100.1.1.0 mask 255.255.255.0
action permit   	
qu                       

rule name shangwang                      //放行内网进行上网的流量
source-zone trust                       
destination-zone untrust                
action permit                           
qu
qu
nat的配置
nat-policy                                
rule name vpn          //对去往总公司的流量不做nat转换                  
source-zone trust                       
destination-zone untrust                
source-address 172.16.1.0 mask 255.255.255.0
destination-address 172.16.2.0 mask 255.255.255.0
action no-nat   
qu                        

 rule name shangwang       //去往公网的流量进行nat转换,采用easy-ip方式
source-zone trust                       
destination-zone untrust                
action source-nat easy-ip               
qu
qu

此时分公司防火墙配置完毕。

总公司防火墙FW2配置:

接口配置ip和接口划入区域的配置:
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 200.1.1.2 255.255.255.0
qu

interface GigabitEthernet1/0/1
undo shutdown
ip address 172.16.2.254 255.255.255.0
 qu

firewall zone trust
add interface GigabitEthernet1/0/1
qu
firewall zone untrust
 add interface GigabitEthernet1/0/0
qu
ipsec相关配置:

第一阶段:建立ike隧道

ike proposal 1                            
encryption-algorithm aes-256             
dh group14                               
authentication-algorithm sha2-256        
authentication-method pre-share          
integrity-algorithm hmac-sha2-256        
qu  

ike peer 100.1.1.1                    
exchange-mode auto                       
pre-shared-key cisco
ike-proposal 1                                                
remote-address 100.1.1.1                 
qu

第二阶段:对感兴趣流量加密

acl number 3000                           
rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
qu

ipsec proposal ipsec_canshu             
encapsulation-mode auto                  
esp authentication-algorithm sha2-256    
esp encryption-algorithm aes-256         
qu

ipsec policy ipsec_policy 1 isakmp     
security acl 3000                        
 ike-peer 100.1.1.1                   
proposal ipsec_canshu                  
qu

接口调用

int g1/0/0
ipsec policy ipsec_policy
安全策略的配置:
security-policy                           
rule name ike                            
source-zone local                       
destination-zone untrust                
source-address 200.1.1.0 mask 255.255.255.0
destination-address 100.1.1.0 mask 255.255.255.0
action permit  
qu                         

 rule name vpn                            
source-zone trust                       
source-zone untrust                     
destination-zone trust                  
destination-zone untrust                
source-address 172.16.1.0 mask 255.255.255.0
source-address 172.16.2.0 mask 255.255.255.0
destination-address 172.16.1.0 mask 255.255.255.0
destination-address 172.16.2.0 mask 255.255.255.0
action permit    
qu                       

rule name vpn-in                         
source-zone untrust                     
destination-zone local                  
source-address 100.1.1.0 mask 255.255.255.0
destination-address 200.1.1.0 mask 255.255.255.0
action permit       
qu                    

rule name sahngwang                      
source-zone trust                       
destination-zone untrust                
action permit    
qu
qu
nat配置
nat-policy                                
rule name vpn                            
source-zone trust                       
destination-zone untrust                
source-address 172.16.2.0 mask 255.255.255.0
destination-address 172.16.1.0 mask 255.255.255.0
action no-nat   
qu                       

rule name shangwnag                      
source-zone trust                       
destination-zone untrust                
action source-nat easy-ip               
qu

实验结果

在client上测试公网的http服务和总公司的http服务:
在这里插入图片描述在这里插入图片描述
在FW1出接口(g1/0/1)进行抓包检验:esp为加密的http访问总公司流量,普通的为访问公网的流量。
在这里插入图片描述

注意事项

值得注意的是穿越防火墙流量的安全策略配置,以及建立ike隧道流量的安全策略的放行。

防火墙IPSec V. P. N 实验
悦分享
05-14 148
单击“IKE网关”标签页,单击其中的“+添加”按钮,在弹出的“添加IKE网关”界面中,在“名称”中输入“分部路由器”,“接口”设置为防火墙对外接口ge2,“本地地址”设置为auto,“协商模式”选中“主模式”单选按钮,在“网络配置”栏中,“地址模式”选中“静态地址”单选按钮,“对端地址”输入分部路由器的IP地址“110.69.70.1”,IKE提议(P1提议)”设置为IKE提议中的“psk-3des-md5-g2”,在增加的“预共享密钥”中输入123456(与路由器中设置必须相同),如下图所示。
数通--IPsec VPN隧道搭建配置实验
m0_74313947的博客
01-21 3794
左右R2,R3分别配置静态路由,这里的0.0.0.0 0.0.0.0 100.1.1.1 ,意思就是不管是要去哪个ip地址都转发到100.1.1.1。这里有个细节,也就是边缘路由器需要在内侧配置网关,这里重点就是内侧,也就是边缘路由器的内网接口,而acl要配到外侧(靠近目的地的一端)为什么要进行NAT豁免,当一个网关配置了防火墙 ,NAT ,IPsec VPN时,会先走NAT,也就是先走NAT的acl。,而后走VPN的acl,所以NAT豁免的目的就是不走NAT的规则而走VPN的规则。
防火墙IPSec VPN实验
晚风挽着浮云的博客
06-03 3579
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
IPsec VPN 实验
m0_63645854的博客
04-10 1738
IPsec VPN实验
跨厂商(华为 & H3C)防火墙 IPSec 隧道部署
最新发布
广然笔记
10-29 1340
企业总部与分部分别以华为防火墙(eNSP USG6000V)、H3C 防火墙(HCL F1090)作为网关接入 Internet,现需在二者间搭建 IPSec 隧道,以实现 192.168.10.0/24(总部内网)与 192.168.20.0/24(分部内网)的安全互通。源地址为 192.168.20.0/24,目的地址为 192.168.10.0/24 的报文,需要经过 IPSec 隧道传输。定义的流量要与华为防火墙中定义的流量互为镜像,否则协商失败。查看 ACL 配置。
IPSec VPN配置实验
m0_66993332的博客
03-07 5108
IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。需要注意的是,尽管IPSec VPN提供了高度的安全性,但它也可能成为黑客攻击的目标。因此,部署IPSec VPN时,还需要考虑到设备的安全管理和持续的监控,以防止潜在的安全威胁。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。3.传输过程中数据的加密方式(des、3des、aes)
计算机网络-IPSec VPN基础实验一(主模式)
Linux基础知识、计算机网络基础学习分享。
12-09 1835
确保出口IP能够正常通信,需要注意的是这里只考虑到VPN流量,实际情况下可能是有internet上网流量和VPN互访流量,需要在ACL中进行区分,也就是在NAT时候调用ACL,先拒绝掉VPN流量然后允许上网流量。在华为以及华三设备中通过配置安全体验来定义一些如加密算法、认证算法、传输模式等内容,在IKE中又分为IKE 安全提议(ike proposal)以及IPSec 安全提议(ipsec proposal)。先根据我实际工作中应用到的技术与理论进行一个结合吧,如果有不同的欢迎交流。
IPSec VPN 基本配置实验(H3C)
kerio123的博客
04-15 6241
IPsec VPN指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
防火墙双击热备和带宽管理实验
Thewei666的博客
07-15 582
1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.2,生产区不允许访问互联网,办公区和游客区允许访问互联网3,办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.104,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
思科ASA防火墙建立IPSec VPN(IKEV1)
weixin_47666829的博客
11-29 2266
ipsec vpn在ASA路由器中的实现
华为防火墙虚拟系统+IPsec VPN案例
qq_45024159的博客
11-05 1808
总部:部署了一台防火墙,想要通过一台防火墙即能在保证内网的数据安全的情况下与分部的内部通信,还要求外网的业务也经过防火墙进行转发(通过防火墙虚拟系统+IPsec VPN方式),分部:对安全性没有要求,使得内网设备不仅可以访问总部,还可以访问互联网络。小智公司有上海总部与广州分部两个办公地点。1.总部内网设备与分部可以实现互访。2.总部外网设备可以访问外网服务器。3.分部设备可以访问外网服务器。网络规划:拓扑图已标注。
防火墙实现ipsec vpn配置
qq2353177176的博客
11-30 1747
第二阶段,利用第一阶段已通过认证和安全保护的安全通道,建立一对用于数据安全传输的IPSec安全联盟。第一阶段,通信双方协商和建立IKE协议本身使用的安全通道,即建立一个IKE SA;需要PC1与PC2互访,FW1与FW2建立ipsec vpn通道。internet 中的underlay已经是搭建好的,无需我们干预。在建立ipsec vpn之前,我们需要使用ike来协商安全联盟。
ipsec vpn网关部署实验
qq_64302290的博客
03-22 1763
还不了解ipsec协议簇的小伙伴可以移步到我之前的文章:ipsec协议簇详解(IPSec vpn)-优快云博客 在上期我们已经将ipsec协议簇讲解的非常详细了,接下来我们做一个基于ipsec协议簇,在网关搭建ipsec vpn实验实验图:在边界防火墙上搭建IPSEC VPN,要求总公司的办公区能够与子公司的192.168.1.0/24网段通信;已知:FW6与FW7组成了双击热备,已经将各种的安全策略和NAT策略做了,办公区可以访问外网,要求在此基础上搭建IPSEC V
eNSP实验——防火墙 IPSec 配置
记录
05-01 3172
IPsec(Internet Protocol Security)​​ 是一种网络层安全协议,用于在公共网络(如互联网)上建立安全的端到端加密通信通道(VPN)。它通过对IP数据包进行加密和认证,确保数据的​​机密性​​、​​完整性​​和​​身份验证​​,广泛应用于企业分支机构互联、远程办公等场景。
VPN配置实验
qq_64682786的博客
07-16 1227
实验要求1.按照图示将IP地址配置好2.配置防火墙,是内外网互通3.在两端防火墙之间配置GRE VPN,使两端的PC可以互通。
防火墙配置IPSec VPNIPSecVPN概念及详细讲解】
h1008685的博客
04-08 5433
ipsecvpn技术详细讲解,防火墙配置ipsec,NAT连用IPSecVPN问题解决思路
云计算防火墙IPsec实验
Sconnie的博客
02-19 431
云计算防火墙IPsec实验: 拓扑图如下: 配置命令如下: AR1: system-view sysname ISP interface g0/0/1 ip address 6.6.6.2 29 interface g0/0/2 ip address 16.16.16.2 29 interface loopback 100 ip address 99.99.99.99 32 FW3: system-view sysname CQ interface g1/0/0 ip address 6.6.6.1 2
远程访问VPN配置与验证实验:构建安全的远程连接
傻傻的心动的博客
06-18 7261
远程访问VPN配置与验证实验:构建安全的远程连接
关于IPSEC VPN的简单实验
m0_74834253的博客
08-01 407
使用IPSEC VPN技术实现两端私网的通讯。均进行了加密只能获得源末IP。
防火墙用户认证综合实验
02-11
验证防火墙的用户认证机制,确保只有经过授权的远程拨号用户能够成功建立SSL VPN隧道连接并访问内部资源。 #### 二、实验环境准备 - **硬件设备**:两台AR系列路由器模拟客户端与服务器端;一台PC机作为测试终端。 ...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值