华三模拟器(防火墙)实现IPSEC穿越NAT实验
实验拓扑
接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作)
另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置
FW1
步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW1] acl advanced 3002
[FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255步骤二:配置IPsec安全提议
[FW1] ipsec transform-set tran1 创建IPsec安全提议tran1
[FW1-ipsec-transform-set-tran1] encapsulation-mode tunnel 配置安全协议对IP报文的封装形式为隧道模式
[FW1-ipsec-transform-set-tran1] protocol esp 配置采用的安全协议为ESP。
[FW1-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128 配置ESP协议采用的加密算法为128比特的AES
[FW1-ipsec-transform-set-tran1] esp authentication-algorithm sha1 认证算法为HMAC-SHA1。
[FW1-ipsec-transform-set-tran1] quit步骤三:配置IKE keychain
[FW1] ike keychain keychain1 创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW1-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456
[FW1-ike-keychain-keychain1] quit步骤四:配置IKE profile
[FW1] ike profile profile1 创建并配置IKE profile,名称为profile1
[FW1-ike-profile-profile1] keychain keychain1
[FW1-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0 #指定对端公网地址
[FW1-ike-profile-profile1] quit步骤五:配置IPsec安全策略
[FW1] ipsec policy map1 10 isakmp 创建IKE协商方式的IPsec安全策略,名称为map1,序列号为10。
[FW1-ipsec-policy-isakmp-map1-10] security acl 3002 指定引用感兴趣流的ACL 3002
[FW1-ipsec-policy-isakmp-map1-10] transform-set tran1 指定引用的安全提议为tran1
[FW1-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1 指定IPsec隧道的本端IP地址为1.1.1.1
[FW1-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2 指定IPsec隧道的对端IP地址为2.2.2.2
[FW1-ipsec-policy-isakmp-map1-10] ike-profile profile1 指定引用的IKE profile为profile1。
[FW1-ipsec-policy-isakmp-map1-10] quit步骤六:在接口上应用IPsec安全策略
[FW1-GigabitEthernet1/0/0] ipsec apply policy map1
FW2配置
步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW2] acl advanced 3002
[FW2] rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255步骤二:配置IPsec安全提议
[FW2] ipsec transform-set tran1 创建IPsec安全提议tran1
[FW2-ipsec-transform-set-tran1] encapsulation-mode tunnel 配置安全协议对IP报文的封装形式为隧道模式
[FW2-ipsec-transform-set-tran1] protocol esp 配置采用的安全协议为ESP。
[FW2-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128 配置ESP协议采用的加密算法为128比特的AES
[FW2-ipsec-transform-set-tran1] esp authentication-algorithm sha1 认证算法为HMAC-SHA1。
[FW2-ipsec-transform-set-tran1] quit步骤三:配置IKE keychain
[FW2] ike keychain keychain1 创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW2-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple 123456
[FW2-ike-keychain-keychain1] quit步骤四:配置IKE profile
[FW2] ike profile profile1 创建并配置IKE profile,名称为profile1。
[FW2-ike-profile-profile1] keychain keychain1
[FW2-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0 #指定对端公网地址
[FW2-ike-profile-profile1] quit步骤五:配置IPsec安全策略
[FW2] ipsec policy use1 10 isakmp 创建IKE协商方式的IPsec安全策略,名称为use1,序列号为10。
[FW2-ipsec-policy-isakmp-map1-10] security acl 3002 指定引用感兴趣流的ACL 3002
[FW2-ipsec-policy-isakmp-map1-10] transform-set tran1 指定引用的安全提议为tran1
[FW2-ipsec-policy-isakmp-map1-10] local-address 2.2.2.2 指定IPsec隧道的本端IP地址为2.2.2.2
[FW2-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.1 指定IPsec隧道的对端IP地址为1.1.1.1
[FW2-ipsec-policy-isakmp-map1-10] ike-profile profile1 指定引用的IKE profile为profile1。
[FW2-ipsec-policy-isakmp-map1-10] quit步骤六:在接口上应用IPsec安全策略
[FW2-GigabitEthernet1/0/0] ipsec apply policy use1
测试
用PC_5去访问PC_4发现不通,还是一样的原因,需要拒绝ipsec的感兴趣流
FW1上修改
rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched)
rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched)FW2修改
rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)
实验结果
用PC_5去访问PC_4发现可以成功访问
ike sa
[FW1]display ike sa
ipsec sa
display ipsec sa
到此防火墙的ipsec穿越NAT实验结束,其实很简单很简单昨天搞了一天不知道啥原因,今天早上上课按照手册在敲一遍就通了挺兴奋的
写个博客记录下以后可能会用到(毕设)
实验报告下载地址
链接:https://pan.baidu.com/s/1lz2-U0fyXhkxKHVrgfFrVw
提取码:tpen
华三模拟器(防火墙)实现IPSEC穿越NAT实验相关推荐
- 华三模拟器HCL安装与配置-关联piped、SecureCRT、Wireshark
华三模拟器HCL安装与配置-关联piped.SecureCRT.Wireshark 目录 一. 华三模拟器介绍- 2 1.1 概述- 2 1.2 HCL简介- 2 1.3 HCL模拟器 V2.1.1说 ...
- NAT-T:IPsec穿越NAT之道
目录 1. IPsec与NAT矛盾 2. 身份确认 3. NAT-T 3.1 NAT-T流程 3.2 报文格式 4. 地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突 4.3. ...
- 成功打开华三模拟器后,创建设备完成却启动设备失败
从华三官网下载V2.1.1版本的模拟器,去百度下载VirtualBox的4.2.4版本,下载完成后不要急着安装VirtualBox,如果先安装了VirtualBox4.2.4,再进行安装华三模拟器会提 ...
- Win10安装华三模拟器各种疑难问题
第一种问题:安装成功后,启动HCL模拟器提示:请检查VirtualBox API是否安装正确"? 这种情况下是由于HCL模拟器与VirtualBox不兼容导致,正常情况下如果你的电脑在安装H ...
- Secure CRT连接华三模拟器和华为模拟器(CRT通过pipe连接华三模拟器)
为了方便你们,专门把软件的下载地址放在下面了,放了华三模拟器,华为的网上太多了,需要的可以自行下载,不用谢我,希望可以一起进步呦. CRT v8.5.3和pipe软件下载地址:链接:https://p ...
- 华三模拟器的错误使用方法
第一种问题:安装成功后,启动HCL模拟器提示:请检查VirtualBox API是否安装正确"? 这种情况下是由于HCL模拟器与VirtualBox不兼容导致,正常情况下如果你的电脑在安装H ...
- 华三模拟器实现DHCP获取地址
华三模拟器DHCP获取地址 拓扑图如下: R1作为dhcp服务器,主机1和2使用dhcp获取地址, 服务器配置: [H3C-GigabitEthernet0/0]ip address 192.168. ...
- 华三模拟器配置IS-IS
IS-IS基本配置 原理概述 IS-IS (中间系统到中间系统) IS-IS协议与OSPF协议非常相似.例如它们都是基于链路状态的路由协议,都需要建立和维护链路状态数据库LSDB,都用Hello报文来 ...
- 华三模拟器启动设备失败【启动设备MSR36-20_1失败】
华三模拟器启动设备失败[启动设备MSR36-20_1失败] 你的Oracle VM VirtualBox跟你的模拟器不兼容,在这个地址重新下载一个虚拟机,安装成功后,然后重启电脑 Oracle VM ...
- HCL(华三模拟器) 安装遇到的问题(1)
https://eee.run 最新安装包 HCL.ensp 安装包下载:关注公众号:散逸 回复 模拟器 即可获取下载链接 为避免出现win10各种问题: 说下我的安装步骤: 从华三官网下载V2.1. ...
最新文章
- 指针02 - 零基础入门学习C语言42
- C语言学习之有一个分数序列2/1、3/2、5/3、8/5、13/8、21/13,……求出这个数列的前20项之和。
- 常用的分布式事务解决方案介绍
- 网络工程中,VLAN到底有什么作用?
- JavaScript(二)—— JavaScript 运算符/JavaScript 流程控制/JavaScript 数组
- gin 源码解析 - 详解http请求在gin中的流转过程
- android textview密文,TextView 明密文处理
- mpls 保留标签值_浅析MPLS多协议标签交换的发展历程
- sai笔记6-sai2版本新增的功能
- 优盘文件或目录损坏且无法读取怎样解决
- Android studio 设置签名
- 什么是web services?它有什么作用,以及它如何实现?
- mp4parser库
- 炙手可热的ZNS SSD将会为数据中心带来什么?
- 基于mybatis-jsp-bootstrap-servlet-mysql-maven的Javaweb课程设计--刷题后台管理系统(考试题目管理系统)
- Spring Boot 无侵入式 实现API接口统一JSON格式返回
- YOLOv7默默更新了Anchor-Free | 无痛再涨1.4mAP
- Android学习之Ubuntu12.04
- 新品PDF黄钻换器在线
- 2019春季学期总结