华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道

华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道

一：企业组网需求：

1，某公司（总部在北京）有两个子公司分别在上海和广州，要求通过×××实现公司之间相互通信！

2，实验环境如下：要求192.168.1.0/24网段的员工分别与192.168.2.0/24，192.168.3.0/24的员工通信!（中间的为公网）

3，本实验要求采用手工方式建立IPsec 安全隧道

二：企业组网简化实验拓扑图：

三：企业组网实现步骤：

（1），基础配置实现公网互通：

①：配置fw-1:

firewall zone trust

add interface Ethernet 0/2

quit

firewall zone untrust

add interface Ethernet 0/1

quit

interface Ethernet0/2

ip address 192.168.1.1 255.255.255.0

interface Ethernet0/1

ip address 1.1.1.1 255.255.255.0

quit

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 preference 60

②：配置fw-2:

firewall zone trust

add interface Ethernet 0/2

quit

firewall zone untrust

add interface Ethernet 0/1

quit

interface Ethernet0/2

ip address 192.168.2.1 255.255.255.0

interface Ethernet0/1

ip address 2.1.1.1 255.255.255.0

quit

ip route-static 0.0.0.0 0.0.0.0 2.1.1.2 preference 60

③：配置fw-3:

firewall zone trust

add interface Ethernet 0/2

quit

firewall zone untrust

add interface Ethernet 0/1

quit

interface Ethernet0/2

ip address 192.168.3.1 255.255.255.0

quit

interface Ethernet0/1

ip address 3.1.1.1 255.255.255.0

quit

ip route-static 0.0.0.0 0.0.0.0 3.1.1.2 preference 60

④：配置sw中间交换机:

vlan 3

vlan 7

vlan 10

quit

interface Vlan-interface3

ip address 2.1.1.2 255.255.255.0

quit

interface Vlan-interface7

ip address 3.1.1.2 255.255.255.0

quit

interface Vlan-interface10

ip address 1.1.1.2 255.255.255.0

interface Ethernet0/1

port access vlan 10

interface Ethernet0/3

port access vlan 3

interface Ethernet0/7

port access vlan 7

（2），配置fw-1：

#定义ACL实现对数据流的过滤。

acl number 3000

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 20 deny ip source any destination any

quit

acl number 3001

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

rule 20 deny ip source any destination any

quit

#定义安全提议zhu-1。

ipsec proposal zhu-1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

#定义安全提议zhu-2。

ipsec proposal zhu-2

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

#定义安全策略policy1的10号策略。

ipsec policy policy1 10 manual

sec acl 3000

proposal zhu-1

tunnel local 1.1.1.1

tunnel remote 2.1.1.1

sa spi outbound esp 12345

sa spi inbound esp 54321

sa string-key outbound esp zzu

sa string-key inbound esp zzdx

quit

#定义安全策略policy1的20号策略。

ipsec policy policy1 20 manual

sec acl 3001

proposal zhu-2

tunnel local 1.1.1.1

tunnel remote 3.1.1.1

sa spi outbound esp 123456

sa spi inbound esp 654321

sa string-key outbound esp abcbef

sa string-key inbound esp qazwsx

quit

#在接口e/1应用安全策略policy1。

interface Ethernet0/1

ipsec policy policy1

quit

#查看ipsec的安全联盟，安全策略，安全提议。

dis ipsec sa

dis ipsec policy

display ipsec proposal

（3），配置fw-2：

#定义ACL实现对数据流的过滤。

acl number 3000

rule 10 permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255

rule 20 deny ip source any dest any

quit

#定义安全提议zhu。

ipsec propo zhu

enca tunnel

trans esp

es auth md5

esp enc des

quit

#定义安全策略policy2策略。

ipsec policy policy2 10 manual

sec acl 3000

propo zhu

tun lo 2.1.1.1

tun remo 1.1.1.1

sa spi inbo esp 12345

sa spi outbo esp 54321

sa string inbo esp zzu

sa str outbo esp zzdx

quit

#在接口e/1应用安全策略policy2。

inter Ethernet0/1

ipsec poli policy2

quit

#查看ipsec的安全联盟，安全策略，安全提议。

dis ipsec sa

dis ipsec policy

display ipsec proposal

（4），配置fw-3：

#定义ACL实现对数据流的过滤。

acl number 3000

rule 10 permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255

rule 20 deny ip source any dest any

quit

#定义安全提议zhu-11。

ipsec propo zhu-11

enca tunnel

trans esp

es auth md5

esp enc des

quit

#定义安全策略policy3策略。

ipsec policy policy3 20 manual

sec acl 3001

propo zhu-11

tun lo 3.1.1.1

tun remo 1.1.1.1

sa spi inbo esp 123456

sa spi outbo esp 654321

sa string inbo esp abcbef

sa str outbo esp qazwsx

quit

#在接口e/1应用安全策略policy3。

inter Ethernet0/1

ipsec poli policy3

quit

#查看ipsec的安全联盟，安全策略，安全提议。

dis ipsec sa

dis ipsec policy

display ipsec proposal

（5），客户端测试通信情况：

192.168.1.100客户端ping测试192.168.2.100，应用以后ipsec以后可以通信。

192.168.2.100客户端ping测试192.168.1.100，应用以后ipsec以后可以通信。

192.168.1.100客户端ping测试192.168.3.100，应用以后ipsec以后可以通信。

192.168.3.100客户端ping测试192.168.1.100，应用以后ipsec以后可以通信。

附录信息如下：

查看fw-1,fw-2.fw-3的ipsec信息和当前配置：

请下载附件！！！！！

转载于:https://blog.51cto.com/xjzhujunjie/817924

华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道相关推荐

IPsec典型配置举例 -采用IKE方式建立保护IPv4 报文的IPsec隧道
1-28 采用IKE方式建立保护IPv4 报文的IPsec隧道 1. 组网需求在 Router A 和 Router B 之间建立一条 IPsec 隧道,对 Host A 所在的子网(10.1 ...
华为--PPP典型配置举例
PAP验证举例 1. 配置需求路由器HangZhou和NingBo之间用接口S0/0/0互联,要求路由器HangZhou(验证方)以PAP方式验证路由器NingBo. [HangZhou] [Han ...
华为ac配置radius认证服务器_华为aaa配置华为AAA认证典型配置举例 - 网络设备 - 服务器之家...
华为aaa配置华为AAA认证典型配置举例发布时间:2017-03-06 来源:服务器之家 2.5 AAA典型配置举例 2.5.1 Telnet/SSH用户通过RADIUS服务器认证的应用配置 SS ...
华三交换机配置vrrp_H3C交换机典型配置举例-6W100
1 基于IPv4的VRRP典型配置举例 1.1 简介本章介绍使用VRRP技术提高网络可靠性的典型配置举例. 1.2 VRRP单备份组实现网关备份典型配置举例表1 配置适用的产品与软件版本关系 ...
无线控制器认证服务器,H3C WX系列无线控制器作为SSH服务器password认证典型配置举例...
H3C WX系列无线控制器作为SSH服务器password认证典型配置举例一.组网需求: WX系列AC.FIT AP.便携机(安装有无线网卡).交换机二.组网图: 本配置举例中的AC使用的是WX5 ...
qos 流控功能_01-QoS通道限速功能典型配置举例
本文档介绍ACG1000设备QoS配置举例,包括通道化的.基于接口.IP地址.应用和时间的QoS配置. 在配置QoS前,先了解如下几个定义: ·地址.应用.时间表对象:每一个报文对应的会话或匹配的策略 ...
VXLAN数据中心互联典型配置举例
组网需求 Switch B.Switch D为ED.虚拟机VM 1.VM 3属于VXLAN 10,VM 2属于VXLAN 20.通过VXLAN数据中心互联实现不同数据中心.不同VXLAN网络的互联. ...
JVM调优总结（七）-典型配置举例1
以下配置主要针对分代垃圾回收算法而言. 堆大小设置年轻代的设置很关键 JVM中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制:系统的可用虚拟内存限制:系统的可用物理 ...
H3C防火墙-安全策略典型配置举例
基于 IP 地址的安全策略配置举例 1.组网需求 • 某公司内的各部门之间通过 Device 实现互连,该公司的工作时间为每周工作日的 8 点到 18点. • 通过配置安全策略规则,允许总裁办在任意时 ...

华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道

华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道相关推荐

最新文章

热门文章