华为防火墙IPSEC简单搭建
思路:防火墙FW1和FW2设置静态路由丢给AR1,公网部分就可以互通了。
剩下设置vlan和IPSEC
设置静态路由
FW1:ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
FW2:ip route-static 0.0.0.0 0.0.0.0 1.1.2.1
设置vlan
FW1:
interface GigabitEthernet1/0/1.10vlan-type dot1q 10ip address 192.168.10.254 255.255.255.0service-manage ping permit
#
interface GigabitEthernet1/0/1.20vlan-type dot1q 20ip address 192.168.20.254 255.255.255.0service-manage ping permitLSW1:interface Ethernet0/0/1port link-type trunkport trunk allow-pass vlan 10 20
#
interface Ethernet0/0/2port link-type accessport default vlan 10
#
interface Ethernet0/0/3port link-type accessport default vlan 20
设置IPSEC主要有四个设置:IKE PROPOSAL 、IKE-PEER 、IPSEC PROPOSAL、 ACL感兴趣流
1-ike proposal +数字(1-31位),主要设置ike的封装算法与对端交互
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
这里没有要求的话就默认,后面ipsec proposal 一样默认就行
2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP
[FW2]ike peer ike
[FW2-ike-peer-ike]dis th
2022-09-05 11:07:06.070
ike peer ike
pre-shared-key 12345678
ike-proposal 1
remote-address 1.1.1.100
3-设置ipsec proposal
[FW2-ike-peer-ike]q
[FW2]ipsec
[FW2]ipsec pr
[FW2]ipsec proposal ipsec
[FW2-ipsec-proposal-ipsec]dis th
2022-09-05 11:11:01.370
ipsec proposal ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
4-设置ACL感兴趣流
FW2:
acl number 3000
rule 5 permit ip source 10.126.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.25
5
rule 10 permit ip source 10.126.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55
FW1:
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 10.126.10.0 0.0.0.25
5
rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 10.126.10.0 0.0.0.2
55
5-设置ipsec policy
[FW2]ipsec po
[FW2]ipsec policy FW1 1 is
[FW2]ipsec policy FW1 1 isakmp
Info: The ISAKMP policy sequence number should be smaller than the template poli
cy sequence number in the policy group. Otherwise, the ISAKMP policy does not ta
ke effect.
[FW2-ipsec-policy-isakmp-FW1-1]dis th
2022-09-05 11:13:14.450
命令解释:ipsec policy +策略名+标识+手动/自动
ipsec policy FW1 1 isakmp
security acl 3000
ike-peer ike
proposal ipsec
6-将ipsec polic 应用到接口上,
FW2:
interface GigabitEthernet1/0/0
undo shutdown
ip address 1.1.1.100 255.255.255.0
service-manage ping permit
ipsec policy FW1
对端同样这是即可
剩下的就是安全策略的匹配
ip service-set isakmp type object 16
service 0 protocol udp source-port 500 destination-port 500
这里是将isakmp协议新建了,这里抓包可以看到源目端口号都是500需要放通
名字basic开头是控制基础零流量进出,ipsec开头是控制ipsec的安全联盟流量建立。
FW1:
security-policy
rule name basic
source-zone trust
source-address 192.168.10.0 24
source-address 192.168.20.0 24
destination-address 10.126.10.0 24
destination-zone untrust
action permit
rule name basic_in
source-zone untrust
source-address 10.126.10.0 24
destination-address 192.168.10.0 24
destination-address 192.168.20.0 24
destination-zone trust
action permit
rule name ipsec_out
source-zone local
destination-zone untrust
source-address 1.1.1.0 mask 255.255.255.0
destination-address 1.1.2.0 mask 255.255.255.0
service esp
service icmp
service isakmp
action permit
rule name ipsec_in
source-zone untrust
destination-zone local
source-address 1.1.2.0 mask 255.255.255.0
destination-address 1.1.1.0 mask 255.255.255.0
service esp
service isakmp
action permit
FW2:
security-policy
rule name basic
source-address 10.126.10.0 24
destination-address 192.168.10.0 24
destination-address 192.168.20.0 24
source-zone trust
destination-zone untrust
action permit
rule name basic_in
source-zone untrust
source-address 10.126.10.0 24
destination-address 192.168.10.0 24
destination-address 192.168.20.0 24
destination-zone trust
action permit
rule name ipsec_in
source-zone untrust
destination-zone local
source-address 1.1.1.0 mask 255.255.255.0
destination-address 1.1.2.0 mask 255.255.255.0
service esp
service protocol udp source-port 500 destination-port 500
action permit
rule name ipsec_out
source-zone local
destination-zone untrust
source-address 1.1.2.0 mask 255.255.255.0
destination-address 1.1.1.0 mask 255.255.255.0
service esp
service icmp
service protocol udp source-port 500 destination-port 500
action permit
IKEv2初始交换对应IKEv1的第一阶段,初始交换包含两次交换四条消息,如图所示。 消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。IKE_SA_INIT交换后生成一个共享密钥材料,通过这个共享密钥材料可以衍生出IPSec SA的所有密钥。 消息③和④属于第二次交换(称为IKE_AUTH交换),以加密方式完成身份认证、对前两条信息的认证和IPSec SA的参数协商。 创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。如果启用PFS,创建子SA交换需要额外进行一次DH交换,生成新的密钥材料。
生成密钥材料后,子SA的所有密钥都从这个密钥材料衍生出来。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。
注意:后面需要让内网访问外网设置了nat需要设置旁路否则会导致无法连接
rule move 将策略nat往上移动
FW1:
nat-policyrule name natsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0destination-address 10.126.10.0 mask 255.255.255.0action no-natrule name internetsource-zone trustdestination-zone untrustaction source-nat easy-ip
FW2:
nat-policyrule name natsource-zone trustdestination-zone untrustsource-address 10.126.10.0 mask 255.255.255.0destination-address 192.168.10.0 mask 255.255.255.0destination-address 192.168.20.0 mask 255.255.255.0action no-natrule name internetsource-zone trustdestination-zone untrustaction source-nat easy-ip
华为防火墙IPSEC简单搭建相关推荐
- 华为防火墙IPSec对接飞塔
华为防火墙IPSec对接飞塔 一.飞塔端设置 1) 配置第一阶段 2) 配置第二阶段 3) 配置策略放行 二.华为防火墙USG2110-F 配置 1)配置第一阶段 2)配置第二阶段 4) 配置感兴趣流 ...
- 华为防火墙配置简单综合案例
一.实验拓扑 二.实验目标 1.掌握华为防火墙的接口配置 2.路由配置 3.安全策略的添加 4.NAT策略的添加 三.实验步骤 1.内网主机通过防火墙进行源地址转换访问internet 2.将内网服务 ...
- 华为防火墙ipsec vp*实例配置
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1.预配底层,VLAN10与VLAN20网关起在FW1与FW2上:F ...
- 华为设备IPsec简单配置
IPsec VPN 一.IPsec是什么? 1.1 定义 1.2 封装模式(传输模式.隧道模式) 1.3 安全协议(AH.ESP) 1.4 秘钥交换协议(IKE) 二.IPsec有什么用? 2.1 通 ...
- 两台华为防火墙IPsec连接不稳定原因之一的解决方式
背景: FW1有多条互联网线路接入,固定ip地址线路仅1条,已配置策略路由. FW2仅1条固定ip线路. FW1和FW2初次部署,ipsec匹配成功,但是网络访问不稳定,会时不时的断开. 解决方案: ...
- ensp华为防火墙的简单配置
作业十:防火墙的配置 文章目录 作业十:防火墙的配置 实验环境 实验思路 具体实施 规划并配置IP PC1 FW1 AR1 Server 划分安全区域 FW1 配置安全策略 FW1 配置NAT FW1 ...
- 2020年网络搭建与应用国赛题-防火墙ipsec建立分解
2020 年全国职业院校技能大赛中职组"网络搭建与应用"赛项竞赛样卷 --防火墙IPsec建立分解 题目要求: 集团防火墙与广东办事处防火墙之间使用互联地址建立 IPSEC 隧道 ...
- 安全设备-华为防火墙NAT环境配置IPSec
华为防火墙NAT环境配置IPSec 本实验主要实现NAT穿透 实验环境 实验拓扑图: 模拟器:eNSP 设备型号:AR2240.S3700.USG6000VUSG6000V 默认配置口为0口 默认用户 ...
- 华为防火墙基础自学系列 | Hub Spoke IPsec VdPdNd
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- 华为防火墙基础自学系列 | Site to Site IPSec VdPdNd
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
最新文章
- 《剑指offer》不用加减乘除做加法
- junit runner_了解JUnit的Runner架构
- 新年第二弹|卖萌屋私藏书单大公开
- mysqldump备份表中有大字段失败的排错过程
- Java案例:Swing摇奖器
- php环境informix,在Nginx + php-fpm(fastcgi)环境下配置informix的连接
- echarts柱状图,改变柱状颜色
- 2005服务器文件夹网页设设置,设置VSS2005使支持通过Internet访问
- android --------学习流程图
- Oracle中备用查询语句
- linux 命令整理(自己常用)
- java test log4j main_Java 为程序创建日志系统
- cuda-gdb 调试python中的module/cu文件
- matlab boxplot显示平均值,r – Boxplot显示平均值
- 计算机中丢失galaxy2d.dll,galaxy2d.dll
- 程序员跳槽时,如何正确做好职业规划?
- 程序员必须要懂的首字母大写规范
- 女朋友生日,我送她网页相册,她感动的哭了(文中有惊喜)
- frame切换、多窗口切换
- 大学生需要云服务器吗?
热门文章
- linux查看显卡温度cpu温度,怎样从指令提示符窗口查看cpu温度
- dns服务器 响应超时,DNS 客户端解析超时 - Windows Server | Microsoft Docs
- dns解析失败如何处理?
- 2017年进口食品代理加盟排行榜
- 西安航空计算机录取分数线,2019西安航空学院录取分数线及历年专业分数线统计表【文科 理科】...
- CCproxy代理服务器
- 第6章 Python 数字图像处理(DIP) - 彩色图像处理1 - RGB彩色模型,RGB to Gray,CMK和CMYK彩色模型,HSI彩色模型
- 第11章 UART串口通信 练习题
- 复杂句变简单句 java_【SAT写作】简单句如何变为复杂句?10招教你快速转变
- 苹果计算机散热维修,手把手教你拆机MacBook Pro,作清灰散热处理,助你的Mac在夏天火力全开!...