华为ensp防火墙ipsec-vpn点到多点场景(1总-3分)

最新推荐文章于 2025-04-27 11:42:38 发布
最新推荐文章于 2025-04-27 11:42:38 发布
阅读量1.5k 收藏 18
点赞数 13
分类专栏: eNSP基础实验系列 文章标签: 网络 ipsec vpn 华为ensp 企业网络设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45650628/article/details/140112805
版权

需求很简单,中间的R代表互联网(公网),企业场景1总部对三分部,用过防火墙进行ipsec vpn点到多点部署。

解题思路,只要是会ipsec vpn的点到点,既可以做出点到多点实验效果。

该场景适用于点到多点的毕设、大作业、课程等场景,该拓扑只不过是把各公司内网简化成一台pc,同学们要有举一反三的能力

不要质疑我答案的正确性,我百分百保证,你照着敲大概率也会做不通,要具有排障能力。

R配置

#
sysname R
#
undo info-center enable
#
interface GigabitEthernet0/0/0
 ip address 100.1.21.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 100.1.22.2 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 100.1.23.2 255.255.255.252 
#
interface GigabitEthernet0/0/3
 ip address 100.1.24.2 255.255.255.252 

FW1配置:
sysname FW1
#
acl number 3000
 rule 1 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 
acl number 3001
 rule 1 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255  
acl number 3002
 rule 1 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 
#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f2
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.22.1 
ike peer f3
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.23.1 
ike peer f4
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.24.1 
#
ipsec policy ips 1 isakmp
 security acl 3000
 ike-peer f2
 proposal tran1
ipsec policy ips 2 isakmp
 security acl 3001
 ike-peer f3
 proposal tran1
ipsec policy ips 3 isakmp
 security acl 3002
 ike-peer f4
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 100.1.21.1 255.255.255.252
 service-manage ping permit
 ipsec policy ips
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 172.16.10.2 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 100.1.21.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f-f4
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.40.0 mask 255.255.255.0
  action permit
 rule name f4-f
  source-zone untrust
  destination-zone dmz
  destination-zone trust
  source-address 192.168.40.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f2
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  action permit
 rule name f2-f
  source-zone untrust
  destination-zone dmz
  destination-zone trust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f3
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.30.0 mask 255.255.255.0
  action permit
 rule name f3-f
  source-zone untrust
  destination-zone dmz
  destination-zone trust
  source-address 192.168.30.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-isp
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name z-f234
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.40.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  destination-address 192.168.30.0 mask 255.255.255.0
  action no-nat
 rule name any-isp
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  action source-nat easy-ip

fw2配置

sysname FW2
#
acl number 3000
 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255  
#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.21.1 
#
ipsec policy map1 1 isakmp
 security acl 3000
 ike-peer f
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.20.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.22.1 255.255.255.252
 service-manage ping permit
 ipsec policy map1
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 100.1.22.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f2-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f2
  source-zone untrust
  destination-zone trust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.20.0 mask 255.255.255.0
  action permit
 rule name f2-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name f2-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action no-nat
 rule name f2-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.20.0 mask 255.255.255.0
  action source-nat easy-ip

fw3配置

sysname FW3 
#
acl number 3000
 rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 

#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.21.1
#
ipsec policy map1 1 isakmp
 security acl 3000
 ike-peer f
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.30.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.23.1 255.255.255.252
 service-manage ping permit
 ipsec policy map1
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 100.1.23.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f3-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f3
  source-zone untrust
  destination-zone trust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.30.0 mask 255.255.255.0
  action permit
 rule name f3-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name f3-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action no-nat
 rule name f3-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.30.0 mask 255.255.255.0
  action source-nat easy-ip


sysname FW4
#
acl number 3000
 rule 5 permit ip source 192.168.40.0 0.0.0.255 destination 172.16.10.0 0.0.0.255  
#
ipsec proposal tran1
 esp authentication-algorithm sha1 
 esp encryption-algorithm aes-256 
#
ike proposal 10
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha1 
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 
#
ike peer f
 pre-shared-key 18812668402
 ike-proposal 10
 remote-address 100.1.21.1 
#
ipsec policy map1 1 isakmp
 security acl 3000
 ike-peer f
 proposal tran1
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.40.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 100.1.24.1 255.255.255.252
 service-manage ping permit
 ipsec policy map1
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 100.1.24.2
#
security-policy
 rule name L-U
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  action permit
 rule name f4-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
 rule name f-f4
  source-zone untrust
  destination-zone trust
  source-address 172.16.10.0 mask 255.255.255.0
  destination-address 192.168.40.0 mask 255.255.255.0
  action permit
 rule name f4-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name f4-f
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  destination-address 172.16.10.0 mask 255.255.255.0
  action no-nat
 rule name f4-isp
  source-zone trust
  destination-zone untrust
  source-address 192.168.40.0 mask 255.255.255.0
  action source-nat easy-ip

杜绝拿着配置复制粘贴,不通就来质疑我的答案,真是可笑!!!

测试总部防火墙到三台防火墙的建立ike隧道的接口地址连通性

连通性正常后,ping各个分部的业务,观察ike sa 和ipsec sa

初次完成全补配置后,测试过程中均丢2个包,丢包为arp的过程,真机不会

ike sa 对等体有三对儿

ipsec sa 的摘要信息也是3对儿

ipsec sa 可以看到你出方向的加密流量

细心的同学可以反复查看该命令,你会发现每次ping后,进出加密流量是增长过程

下课!

华为ensp——企业网络的设计与实现【方案测试验证】
weixin_44702237的博客
10-31 9705
基于华为ensp企业网络设计的方案测试验证
华为eNSP IPsec VPN配置指南
外游者
04-10 8900
虚拟专用网络VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
IPSEC 建立点到多点SA.doc
05-09
IPSEC 建立点到多点的连接,满足固定ip和非固定ip的应用场合。
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
baimao__Ch的博客
04-19 3557
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png) 上网需求 服务器发布需求 VPN需求 攻击模拟 实验步骤 1防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc
华为防火墙真实环境基础配置
最新发布
weixin_46088072的博客
04-27 434
真实环境华为防火墙基础配置
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 4261
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1部对应10个部,那部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那部则需要写10组配置,1-11-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁和谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
华为IPSEC部对多点的配置
suweichao的博客
12-30 4894
ipsec部对多点配置命令配置 学了两个月的HCNA,网上搜索仅有一点对一点的ipsec配置,现在自己能做一点对多点了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
华为ensp企业ipsec-vpn点到多点部署
白话聊网络的博客
09-20 1008
KM-AR2220-AR1-ike-proposal-5] encryption-algorithm aes-cbc-128 //配置认证算法。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] proposal tran1 //绑定安全提议。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] ike-peer SY //绑定ike邻居。[KM-AR2220-AR1]ike proposal 5 //配置ike安全提议。
ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 3250
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙
eNSP-在USG5500防火墙上配置IPsec虚拟专用网
2302_76629181的博客
03-22 1348
华为eNSP防火墙上配置网关到网关的IPsecVPN以实现数据安全通信
网络工程师之华为Ensp配置
九儿九只的博客
05-02 7178
网络工程师 软考 华为 ENSP 路由
安全防御--IPsec VPN点到点的实验
xnxqwzy的博客
03-03 1709
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1,防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2,防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
华为ensp基于路由器点到多点ipsec v-p-n加密隧道配置(12场景
白话聊网络的博客
10-25 546
根据抓包内容,可见部访问1和2的流量都被加上密,报文为esp。1路由器,ipsec内容与部互为镜像。部2路由器,ipsec内容与部互为镜像。查看ike sa和ipsec sa摘要信息。公网路由器只有ip配置。
安全HCIP之IPSec点到多点
XiaoHG_优快云的博客
10-10 1424
IPSec点到多点 优点 方便扩展支,增加支其它机构不需要增加ipsec相关配置; 配置简单,所有支只需要指向部即可; 支机构可以不使用固定公网IP地址; 缺点 所有支互访流量必须绕行部(当然,多数情况下支只需和部通信); 流量必须先由支触发来建立ipsec vpn隧道; 无法启用ospf学习路由; 适用情况 支间互访流量很少,多数流量是支和部互访流量,支持远程出差人员拨号访问,支数量不要过多建议少于15个(感兴趣流量配置较多) ...
华为点到点IPSec 虚拟专用网配置
热门推荐
Tony_long7483的博客
03-25 1万+
配置相关接口IP地址及区域 [FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24 [FW1-GigabitEthernet1/0/0]service-manage ping permit [FW1-GigabitEthernet1/0/6]ip add 20.1.1.1 24 [FW1-GigabitEthernet1/0/6]service-manage ping permit [FW1]firewall zone trust [FW1-zone-trust]add .
ENSP实验:多点双向重发布
qq_28563707的博客
08-09 294
"ENSP"是华为企业网络设备模拟器(Enterprise Network Simulation Platform)的缩写。它是华为公司提供的一款网络仿真软件,旨在帮助网络管理员和工程师在虚拟环境中规划、配置和测试企业网络设备和拓扑。
建立点到多点IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 3315
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
ensp防火墙IPSec双链路
01-25
### 如何在ENSP防火墙上配置IPSec实现双链路冗余 为了实现在ENSP防火墙上的IPSec配置并确保双链路冗余,需考虑多个方面。首先,由于IPSec仅支持单播报文[^1],这意味着对于大型网络而言,直接利用IPSec进行通信可能会遇到挑战,特别是涉及到动态路由更新时。 #### 解决方案概述 通过引入GRE隧道技术,可以在现有基础上增强功能。GRE不仅能够承载单播报文,还兼容组播和广播报文,这使得即使是在启用IPSec的情况下也能顺利运用诸如OSPF这样的动态路由协议。具体来说: - **建立GRE Tunnel**:创建两个GRE隧道别对应两条物理路径。 - **配置IPSec保护这些Tunnel**:为每一个GRE隧道设置相应的安全策略以保障数据传输的安全性。 - **部署VRRP机制**:用于提供高可用性和负载均衡能力,确保当某一路由失效时另一条线路可立即接管服务而不影响整体性能[^3]。 #### 实际操作指南 以下是具体的命令行配置实例,假设环境中有两台防火墙FW1和FW2以及对应的路由器R1和R2。 ##### 步骤一:定义接口参数 ```shell // 在FW1上执行如下指令 interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 exit ``` ##### 步骤二:构建GRE Tunnels ```shell // 创建第一个GRE tunnel (towards R1) interface Tunnel0 source GigabitEthernet0/0/1 destination 192.168.1.2 // 对端地址应指向R1的实际公网IP ip address 10.0.0.1 255.255.255.252 exit // 创建第二个GRE tunnel (towards R2), 类似于上面的操作但是更改目标地址到R2. ``` ##### 步骤三:设定IPSec Policy ```shell crypto isakmp policy 10 encr aes 256 authentication pre-share group 5 crypto isakmp key CISCOpw address 0.0.0.0 0.0.0.0 crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac crypto map MY_MAP 10 ipsec-isakmp set peer 192.168.1.x // 这里的X取决于你要连接的是哪个远程节点(R1 or R2). set transform-set MY_TRANSFORM_SET match address ACL_IPSEC access-list ACL_IPSEC extended permit ip any host 10.0.0.2 // 修改此ACL匹配实际需求 ``` ##### 步骤四:激活VRRP ```shell // 应用至内部局域网侧的接口 interface Vlanif100 vrrp vrid 1 virtual-ip 172.16.200.254 priority 150 // 设置较高优先级使当前设备成为master, 默认值为100 preempt mode timer delay 60 // 启动抢占模式,并延迟一定时间再切换状态以防频繁变动 exit ``` 以上步骤完成后,还需重复上述过程针对第二条链路上的相关组件完成相同配置,以此达到真正的双活效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B站-白话聊网络

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值