华为ensp基于路由器点到多点的ipsec v-p-n加密隧道配置(1总2分部场景)

已于 2024-10-25 23:55:41 修改
阅读量546 收藏 3
点赞数 3
分类专栏: eNSP基础实验系列 文章标签: ipsec vpn 路由器 ensp 华为ensp
于 2024-10-25 23:53:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45650628/article/details/143245166
版权

AR4路由器配置

[Huawei]undo info-center enable // 关闭信息中心
[Huawei]sysname AR4 // 设置系统名称为 AR4
#
[AR4]interface Serial4/0/0 // 进入 Serial4/0/0 接口
[AR4-Serial4/0/0]ip address 200.22.103.4 255.255.255.0 // 配置 IP 地址为 200.22.103.4/24
#
[AR4]interface GigabitEthernet0/0/0 // 进入 GigabitEthernet0/0/0 接口
[AR4-GigabitEthernet0/0/0]ip address 192.22.103.254 255.255.255.0 // 配置 IP 地址为 192.22.103.254/24
#
[AR4]ip route-static 192.22.104.0 255.255.255.0 200.22.103.1 // 配置静态路由到 192.22.104.0/24
[AR4]ip route-static 192.22.105.0 255.255.255.0 200.22.103.1 // 配置静态路由到 192.22.105.0/24
[AR4]ip route-static 200.22.104.0 255.255.255.0 200.22.103.1 // 配置静态路由到 200.22.104.0/24
[AR4]ip route-static 200.22.105.0 255.255.255.0 200.22.103.1 // 配置静态路由到 200.22.105.0/24
#
[AR4]acl number 3000 // 创建 ACL 编号 3000
[AR4-acl-adv-3000] rule 5 permit ip source 192.22.103.0 0.0.0.255 destination 192.22.104.0 0.0.0.255 // 允许源 IP 192.22.103.0/24 到目标 IP 192.22.104.0/24 的流量
#
[AR4]acl number 3001 // 创建 ACL 编号 3001
[AR4-acl-adv-3001] rule 5 permit ip source 192.22.103.0 0.0.0.255 destination 192.22.105.0 0.0.0.255 // 允许源 IP 192.22.103.0/24 到目标 IP 192.22.105.0/24 的流量
#
[AR4]ipsec proposal 1 // 配置 IPsec 提案 1
[AR4-ipsec-proposal-1]esp authentication-algorithm md5 // 配置 ESP 认证算法为 MD5
[AR4-ipsec-proposal-1]esp encryption-algorithm des // 配置 ESP 加密算法为 DES
#
[AR4]ipsec proposal 2 // 配置 IPsec 提案 2
[AR4-ipsec-proposal-2] esp authentication-algorithm sha1 // 配置 ESP 认证算法为 SHA1
[AR4-ipsec-proposal-2]esp encryption-algorithm des // 配置 ESP 加密算法为 DES
#
[AR4]ike proposal 1 // 配置 IKE 提案 1
[AR4-ike-proposal-1] encryption-algorithm aes-cbc-128 // 配置加密算法为 AES-CBC-128
[AR4-ike-proposal-1] dh group14 // 配置 DH 组为 Group 14
#
[AR4]ike peer ar2 v1 // 配置 IKE 对等体 ar2
[AR4-ike-peer-ar2] pre-shared-key cipher xxx // 配置预共享密钥
[AR4-ike-peer-ar2] ike-proposal 1 // 关联 IKE 提案 1
[AR4-ike-peer-ar2] remote-address 200.22.104.2 // 配置远端地址为 200.22.104.2
#
[AR4]ike peer ar3 v1 // 配置 IKE 对等体 ar3
[AR4-ike-peer-ar3] pre-shared-key cipher xxx // 配置预共享密钥
[AR4-ike-peer-ar3] ike-proposal 1 // 关联 IKE 提案 1
[AR4-ike-peer-ar3] remote-address 200.22.105.3 // 配置远端地址为 200.22.105.3
#
[AR4]ipsec policy ips 1 isakmp // 配置 IPsec 策略 ips 1,模式为 ISAKMP
[AR4-ipsec-policy-isakmp-ips-1] security acl 3000 // 关联 ACL 3000
[AR4-ipsec-policy-isakmp-ips-1] ike-peer ar2 // 关联 IKE 对等体 ar2
[AR4-ipsec-policy-isakmp-ips-1] proposal 1 // 关联 IPsec 提案 1
#
[AR4]ipsec policy ips 2 isakmp // 配置 IPsec 策略 ips 2,模式为 ISAKMP
[AR4-ipsec-policy-isakmp-ips-2] security acl 3001 // 关联 ACL 3001
[AR4-ipsec-policy-isakmp-ips-2] ike-peer ar3 // 关联 IKE 对等体 ar3
[AR4-ipsec-policy-isakmp-ips-2] proposal 2 // 关联 IPsec 提案 2
#
[AR4]interface Serial4/0/0 // 进入 Serial4/0/0 接口
[AR4-Serial4/0/0]ipsec policy ips // 应用 IPsec 策略 ips

公网路由器只有ip配置 

[Huawei]un in en 
[Huawei]sys AR1
[AR1]inte s4/0/0
[AR1-Serial4/0/0]ip ad 200.22.103.1 24
[AR1-Serial4/0/0]inte s4/0/1
[AR1-Serial4/0/1]ip ad 200.22.104.1 24
[AR1-Serial4/0/1]inte s3/0/0
[AR1-Serial3/0/0]ip ad 200.22.105.1 24
[AR1-Serial3/0/0]

分部1路由器,ipsec内容与总部互为镜像 

[Huawei]un in en 
Info: Information center is disabled.
[Huawei]
[Huawei]sys AR2
[AR2]
[AR2]inte g0/0/0
[AR2-GigabitEthernet0/0/0]
[AR2-GigabitEthernet0/0/0]ip ad 192.22.104.254 24
[AR2-GigabitEthernet0/0/0]
[AR2-GigabitEthernet0/0/0]inte s4/0/0
[AR2-Serial4/0/0]
[AR2-Serial4/0/0]ip ad 200.22.104.2 24
[AR2-Serial4/0/0]
[AR2-Serial4/0/0]ip route-sta 200.22.103.0 24 200.22.104.1
[AR2]
[AR2]ip route-sta 192.22.103.0 24 200.22.104.1
[AR2]
[AR2]acl number 3000  
[AR2-acl-adv-3000]
[AR2-acl-adv-3000] rule 5 permit ip source 192.22.104.0 0.0.0.255 destination 192.22.103.0 0.0.0.255 
[AR2-acl-adv-3000]ipsec proposal 1
[AR2-ipsec-proposal-1]q
[AR2]ike proposal 1
[AR2-ike-proposal-1]
[AR2-ike-proposal-1] encryption-algorithm aes-cbc-128
[AR2-ike-proposal-1]
[AR2-ike-proposal-1] dh group14
[AR2-ike-proposal-1]q
[AR2]ike peer ar4 v1
[AR2-ike-peer-ar4]
[AR2-ike-peer-ar4] pre-shared-key cipher xxx
[AR2-ike-peer-ar4]
[AR2-ike-peer-ar4] ike-proposal 1
[AR2-ike-peer-ar4]
[AR2-ike-peer-ar4] remote-address 200.22.103.1
[AR2-ike-peer-ar4]ipsec policy ips 1 isakmp
[AR2-ipsec-policy-isakmp-ips-1]
[AR2-ipsec-policy-isakmp-ips-1] security acl 3000
[AR2-ipsec-policy-isakmp-ips-1]
[AR2-ipsec-policy-isakmp-ips-1] ike-peer ar4
[AR2-ipsec-policy-isakmp-ips-1]
[AR2-ipsec-policy-isakmp-ips-1] proposal 1
[AR2-ipsec-policy-isakmp-ips-1]inte s4/0/0
[AR2-Serial4/0/0]ipsec policy ips
[AR2-Serial4/0/0]q

分部2路由器,ipsec内容与总部互为镜像 

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]
[Huawei]un in en 
Info: Information center is disabled.
[Huawei]
[Huawei]sys AR3
[AR3]
[AR3]inte g0/0/0
[AR3-GigabitEthernet0/0/0]
[AR3-GigabitEthernet0/0/0]ip ad 192.22.105.254 24
[AR3-GigabitEthernet0/0/0]
[AR3-GigabitEthernet0/0/0]inte s4/0/0
[AR3-Serial4/0/0]
[AR3-Serial4/0/0]ip ad 200.22.105.3 24
[AR3-Serial4/0/0]
[AR3-Serial4/0/0]ip route-sta 200.22.103.0 24 200.22.105.1
[AR3]
[AR3]ip route-sta 192.22.103.0 24 200.22.105.1
[AR3]acl number 3000 
[AR3-acl-adv-3000]
[AR3-acl-adv-3000] rule 5 permit ip source 192.22.105.0 0.0.0.255 destination 192.22.103.0 0.0.0.255
[AR3-acl-adv-3000]ipsec proposal 2
[AR3-ipsec-proposal-2]
[AR3-ipsec-proposal-2] esp authentication-algorithm sha1
[AR3-ipsec-proposal-2]ike proposal 1
[AR3-ike-proposal-1]
[AR3-ike-proposal-1] encryption-algorithm aes-cbc-128
[AR3-ike-proposal-1]
[AR3-ike-proposal-1] dh group14
[AR3-ike-proposal-1]q
[AR3]ike peer ar4 v1
[AR3-ike-peer-ar4]
[AR3-ike-peer-ar4] pre-shared-key cipher xxx
[AR3-ike-peer-ar4]
[AR3-ike-peer-ar4] ike-proposal 1
[AR3-ike-peer-ar4]
[AR3-ike-peer-ar4] remote-address 200.22.103.1
[AR3-ike-peer-ar4]q
[AR3]ipsec policy ips 1 isakmp
[AR3-ipsec-policy-isakmp-ips-1]
[AR3-ipsec-policy-isakmp-ips-1] security acl 3000
[AR3-ipsec-policy-isakmp-ips-1]
[AR3-ipsec-policy-isakmp-ips-1] ike-peer ar4
[AR3-ipsec-policy-isakmp-ips-1]
[AR3-ipsec-policy-isakmp-ips-1] proposal 2
[AR3-ipsec-policy-isakmp-ips-1]inte s4/0/0
[AR3-Serial4/0/0]ipsec policy ips
[AR3-Serial4/0/0]

 查看ike sa和ipsec sa摘要信息

连通性测试

 根据抓包内容,可见总部访问分部1和2的流量都被加上密,报文为esp

华为eNSP防火墙 配置使用IPSec隧道
m0_75102488的博客
06-16 2075
华为eNSP防火墙配置
IPSEC实验(IPSECVPN,DSVPN,IPSECVPN旁挂)
weixin_56102955的博客
04-13 2745
一、复现实验 1、防火墙的IPSECVPN实验 -1,拓扑图的搭建 -2配置IP,开通ping,并且设置策略 -3,在网络中的IPSEC进行配置 第一阶段:发出的UDP500流量 第二阶段 发出的ESP流量 二台防火墙建立策略 禁用其它策略,在IPSEC配置策略和感兴趣流(往返流量) 配置往返流量 改造IPSEC-FW12配置 感兴趣流合并 二,GRE实验 封装前的流量(FW12)![](https://img-blog.csdnimg.cn/5d4de4b992ce4719b83ce7ca32
华为ensp防火墙ipsec-vpn点到多点场景1-3分)
白话聊网络的博客
07-02 1584
场景适用于点到多点的毕设、大作业、课程等场景,该拓扑只不过是把各公司内网简化成一台pc,同学们要有举一反三的能力。需求很简单,中间的R代表互联网(公网),企业场景1部对三分部,用过防火墙进行ipsec vpn点到多点部署。不要质疑我答案的正确性,我百分百保证,你照着敲大概率也会做不通,要具有排障能力。连通性正常后,ping各个分部的业务,观察ike sa 和ipsec sa。初次完成全补配置后,测试过程中均丢2个包,丢包为arp的过程,真机不会。杜绝拿着配置复制粘贴,不通就来质疑我的答案,真是可笑!
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为 eNsp ipSec vpn实验配置1
热门推荐
爱意随风起,人生不可弃。
04-11 2万+
实验要求 配置PC1~PC2的路由可达 配置ACL匹配源IP192.168.1.0到192.168.2.0的数据包进行认证 配置SA建立方式为手工配置 实验拓扑 实验配置 AR1 ip route-static 12.0.0.0 255.255.255.0 11.0.0.2 ip route-static 192.168.2.0 255.255.255.0 12.0.0.2 [Huawei]ac...
ipsecXXX配置案例
openlab网工之路
01-26 1294
实验拓扑: 案例配置需求: 1、R1和PC1模拟上海公司,R2和PC2模拟福州公司,R3和PC3模拟广州公司,配置分公司和公司通过IPSec XXX互联,分公司和分公司之间不能建立IPSec XXX。福州分公司访问广州分公司,流量必须经过公司的IPSec XXX隧道2、设备之间互联的IP如图所示,采用XY.1.1.X/24,如R1和ISP(R4)互联地址,R114.1.1.1/24,...
华为ensp关于ipsec配置(手动模式避坑)
qq_45673244的博客
11-08 1157
IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。
eNSP-在USG5500防火墙上配置IPsec虚拟专用网
最新发布
2302_76629181的博客
03-22 1348
华为eNSP的防火墙上配置网关到网关的IPsecVPN以实现数据安全通信
93.华为路由器IPSec加密GRE通道(GRE over IPsec
迷逝
01-05 1万+
IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec加密隧道进行传输,叫做IPsec over GRE; 加密数据流后从隧道传输,称为GRE over IPsec。 下面将配置一个简单的IPsec over GRE实验。 一、搭建模拟环境 首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。 [AR1]in g0/0/0 [AR
基于EnspIPsec 实验
WANGMH13的博客
08-02 4042
基于EnspIPsec 实验
华为eNSP IPsec VPN配置指南
外游者
04-10 8900
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置到站的安全连接。本章将详细介绍在eNSP配置IPsec VPN的步骤,并解析每一条关键命令的含义。
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
frankluwei的专栏
12-13 7114
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置   USG5500A 与USG5500C、USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT;USG5500A 、USG5500D  undo nat traversal。 ISP配置(用路由器模仿Internet) dis cur # sysname ISP
建立点到多点IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 3315
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
华为ensp企业网ipsec-vpn点到多点部署
白话聊网络的博客
09-20 1008
KM-AR2220-AR1-ike-proposal-5] encryption-algorithm aes-cbc-128 //配置认证算法。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] proposal tran1 //绑定安全提议。[KM-AR2220-AR1-ipsec-policy-isakmp-isp-10] ike-peer SY //绑定ike邻居。[KM-AR2220-AR1]ike proposal 5 //配置ike安全提议。
安全防御--IPsec VPN的实验
m0_70534140的博客
04-24 1508
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1,防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2,防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
华为IPSEC部对多配置
suweichao的博客
12-30 4894
ipsec部对多配置命令配置 学了两个月的HCNA,网上搜索仅有一对一ipsec配置,现在自己能做一对多了给大家发一下自己写的配置以及拓扑图。 命令配置 sysname r1 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus...
玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用证书认证)
COCO_gsta的博客
10-06 1604
在身份认证时,FW_A将自己的本地证书发送至FW_B,FW_B通过从CA中心获取到的CA证书来验证FW_A的本地证书,验证通过则表明FW_A的身份合法,从而FW_B允许与FW_A建立IPSec隧道IPSec的身份验证机制是双向验证,FW_A也要验证FW_B的身份合法性,其过程与FW_B验证FW_A相同。所示,网络A和网络B分别通过FW_A和FW_B连接到Internet。在FW_A上配置IPSec策略,并在接口上应用此IPSec策略。在FW_B上配置IPSec策略,并在接口上应用此IPSec策略。
eNSP—防火墙+IPSec到站的虚拟专用网络
m0_46237205的博客
04-10 5947
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密到本端加密的esp和ike流量。#放行untrust区到local区双方向的远端加密到本端加密的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
enspipsec实验(ike自动协商)
qq_44933518的博客
04-02 7407
配置步骤:配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略 配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略 ...
华为ensp-vpn实例
02-26
考虑到实际应用场景可能更为复杂多样,在多个路由器(AR1, AR2...)之间不仅限于单一类型的业务处理需求。因此除了最初提及的基础型服务外还需支持其他形式的服务如SPI(Security Policy Index), SPIMS(Service ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B站-白话聊网络

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值