华为USG防火墙搭建IPsec***实战
1.实验拓扑:
使用模拟器eNSP(版本号:1.2.00.350 V100R002c00)+AR3260+USG5500
AR1模拟运营商
2.实验需求:
a) 在FW1上做PAT,让C1可以上互联网
b) 在FW1和FW2之间做IPsec×××,让C1、C2间实现私网通信
3.实验步骤:
a) IP地址规划:
FW1 |
GE0/0/0 |
|
AR1 |
GE0/0/0 |
|
GE0/0/1 |
|
GE0/0/1 |
|
||
FW2 |
GE0/0/0 |
|
AR2 |
GE0/0/0 |
|
GE0/0/1 |
|
GE0/0/1 |
|
||
AR3 |
GE0/0/0 |
|
C1 |
|
|
GE0/0/1 |
|
C2 |
|
b) 配置脚本如下:
FW1
<SRG>sy //进入系统视图
[SRG]sysnameFW1 //修改设备名称
[FW1]firewallzone trust //进入trust区域
[FW1-zone-trust]addint g0/0/0 //把g0/0/0接口加入到trust区域中
[FW1-zone-trust]q //退出到上一层模式
[FW1]firewallzone untrust
[FW1-zone-untrust]addint g0/0/1
[FW1-zone-untrust]intg0/0/0 //进入接口视图
[FW1-GigabitEthernet0/0/0]ipadd 172.16.1.1 24 //配置IP地址
[FW1-GigabitEthernet0/0/0]intg0/0/1
[FW1-GigabitEthernet0/0/1]ipadd 11.0.0.2 24
[FW1]dis zone //查看区域
[FW1]disip int b //查看接口IP地址
AR1
<Huawei>sy
[Huawei]sysnameAR1
[AR1]intg0/0/0
[AR1-GigabitEthernet0/0/0]ipadd 11.0.0.1 24
[AR1-GigabitEthernet0/0/0]intg0/0/1
[AR1-GigabitEthernet0/0/1]ipadd 12.0.0.1 24
<AR1>disip int b
FW2
<SRG>sy
[SRG]sysnameFW2
[FW2]firewallzone trust
[FW2-zone-trust]addint g0/0/0
[FW2-zone-trust]q
[FW2]firewallzone untrust
[FW2-zone-untrust]addint g0/0/1
[FW2-zone-untrust]intg0/0/0
[FW2-GigabitEthernet0/0/0]ipadd 172.16.2.1 24
[FW2-GigabitEthernet0/0/0]intg0/0/1
[FW2-GigabitEthernet0/0/1]ipadd 12.0.0.2 24
[FW2]diszone
[FW2]disip int b
AR2
<Huawei>sy
[Huawei]sysnameAR2
[AR2]intg0/0/0
[AR2-GigabitEthernet0/0/0]ipadd 172.16.1.2 24
[AR2-GigabitEthernet0/0/0]intg0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.10.1 24
[AR2-GigabitEthernet0/0/1]disip int b
AR3
<Huawei>sy
[Huawei]sysnameAR3
[AR3]intg0/0/0
[AR3-GigabitEthernet0/0/0]ipadd 172.16.2.2 24
[AR3-GigabitEthernet0/0/0]intg0/0/1
[AR3-GigabitEthernet0/0/1]ipadd 192.168.20.1 24
[AR3-GigabitEthernet0/0/1]disip int b
C1
C2
-----------------------以上是IP地址配置-------------------------
FW1
[FW1]iproute-static 0.0.0.0 0 11.0.0.1 //出口做默认路由
[FW1]iproute-static 192.168.10.0 24 172.16.1.2 //向下指静态路由
[FW1]disip routing-table //查看路由表
FW2
[FW2]iproute-static 0.0.0.0 0 12.0.0.1
[FW2]iproute-static 192.168.20.0 24 172.16.2.2
[FW2]disip routing-table
AR2
[AR2]iproute-static 0.0.0.0 0 172.16.1.1
[AR2]disip routing-table
AR3
[AR3]iproute-static 0.0.0.0 0 172.16.2.1
[AR3]disip routing-table
--------------------一上是路由配置--------------------------
FW1
[FW1]nat-policyinterzone trust untrust outbound //进入域间NAT策略视图
[FW1-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.10.0mask 24 //创建NAT策略并进入策略视图
[FW1-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat //指定需匹配流量的源地址
[FW1-nat-policy-interzone-trust-untrust-outbound-1]easy-ipg0/0/1 //直接使用接口IP作为转换地址
因为防火墙默认拒绝ICMP流量通过,所以需要做以下配置
[FW1]policyinterzone trust untrust outbound //进入域间的outbound方向
[FW1-policy-interzone-trust-untrust-outbound]policy1 //创建转发策略
[FW1-policy-interzone-trust-untrust-outbound-1]policy source 192.168.10.0mask 24 //当源是这个网段的时
[FW1-policy-interzone-trust-untrust-outbound-1]actionpermit //允许通过
测试C1上互联网
---------------------以上是PAT配置---------------------
FW1
[FW1]acl3001
[FW1-acl-adv-3001]rule permit ip source 192.168.10.0 0.0.0.255 destination192.168.20.0 0.0.0.255 //配置感兴趣流
[FW1-acl-adv-3001]ikeproposal 1 //创建IKE安全提议,并进入IKE安全提议视图
[FW1-ike-proposal-1]encryption-algorithmaes-cbc //配置加密算法
[FW1-ike-proposal-1]authentication-methodpre-share //配置认证方法
[FW1-ike-proposal-1]authentication-algorithmsha1 //配置认证算法
[FW1-ike-proposal-1]dhgroup2 //配置DH组标识
[FW1-ike-proposal-1]ikepeer a //创建IKE Peer,并进入IKE Peer视图
[FW1-ike-peer-a]ike-proposal1 //引用已配置的IKE安全提议
[FW1-ike-peer-a]pre-shared-keyabc123 //配置预共享密钥认证,abc123是秘钥
[FW1-ike-peer-a]remote-address12.0.0.2 //指定对端发起IKE协商的地址
[FW1-ike-peer-a]ipsecproposal tran1 //创建安全提议,并进入安全提议视图
[FW1-ipsec-proposal-tran1]transformesp //配置传送数据时采用的安全协议
[FW1-ipsec-proposal-tran1]espauthentication-algorithm sha1 //配置ESP方式采用的认证算法
[FW1-ipsec-proposal-tran1]espencryption-algorithm aes //配置ESP协议使用的加密算法
[FW1-ipsec-proposal-tran1]ipsecpolicy map1 10 isakmp //创建安全策略,并进入安全策略视图
[FW1-ipsec-policy-isakmp-map1-10]securityacl 3001 //在安全策略中引用已创建的感兴趣流
[FW1-ipsec-policy-isakmp-map1-10]proposaltran1 //在安全策略中引用已创建的安全提议
[FW1-ipsec-policy-isakmp-map1-10]ike-peera //在安全策略中引用IKE Peer
[FW1-ipsec-policy-isakmp-map1-10]intg0/0/1
[FW1-GigabitEthernet0/0/1]ipsecpolicy map1 //把安全策略应用到出口
FW2
[FW2]acl3001
[FW2-acl-adv-3001]rule permit ip source 192.168.20.0 0.0.0.255 destination192.168.10.0 0.0.0.255
[FW2-ike-proposal-1]encryption-algorithmaes-cbc
[FW2-ike-proposal-1]authentication-methodpre-share
[FW2-ike-proposal-1]authentication-algorithmsha1
[FW2-ike-proposal-1]dhgroup2
[FW2-ike-proposal-1]ikepeer a
[FW2-ike-peer-a]pre-shared-keyabc123
[FW2-ike-peer-a]remote-address11.0.0.2
[FW2-ike-peer-a]ipsecproposal tran1
[FW2-ipsec-proposal-tran1]transformesp
[FW2-ipsec-proposal-tran1]espauthentication-algorithm sha1
[FW2-ipsec-proposal-tran1]espencryption-algorithm aes
[FW2-ipsec-proposal-tran1]ipsecpolicy map1 10 isakmp
[FW2-ipsec-policy-isakmp-map1-10]securityacl 3001
[FW2-ipsec-policy-isakmp-map1-10]proposaltran1
[FW2-ipsec-policy-isakmp-map1-10]ike-peera
[FW2-ipsec-policy-isakmp-map1-10]intg0/0/1
[FW2-GigabitEthernet0/0/1]ipsecpolicy map1
--------------------以上是IPsec ×××配置-------------------
FW1
[FW1]nat-policyinterzone trust untrust outbound //进入域间的outbound方向
[FW1-nat-policy-interzone-trust-untrust-outbound]policy0 //创建转发策略
[FW1-nat-policy-interzone-trust-untrust-outbound-0]policydestination 192.168.20.0 mask 24 //当目标是这个网段时
[FW1-nat-policy-interzone-trust-untrust-outbound-0]actionno-nat //不被NAT
因为NAT策略优先级是从前往后依次执行的,所以需要把不被NAT的策略调到前面
[FW1-nat-policy-interzone-trust-untrust-outbound]policymove 0 before 1 //将policy 0优先级调整到policy 1的前面
-----------------以上是感兴趣流出去时不被NAT---------------
FW1
因为防火墙默认拒绝ICMP流量通过,所以需要做以下配置
[FW1]policyinterzone local untrust inbound //进入域间的inbound方向
[FW1-policy-interzone-local-untrust-inbound]policy 0 //创建转发策略
[FW1-policy-interzone-local-untrust-inbound-0]policysource 12.0.0.2 0 //当源是这个主机时
[FW1-policy-interzone-local-untrust-inbound-0]actionpermit //允许通过
FW2
[FW2]policyinterzone local untrust inbound
[FW2-policy-interzone-local-untrust-inbound]policy1
[FW2-policy-interzone-local-untrust-inbound-1]policysource 11.0.0.2 0
[FW2-policy-interzone-local-untrust-inbound-1]actionpermit
测试建立IPsec×××的两端是否可以通信
因为建立IPsec×××需要两端可以正常通信,所以需要做以上配置
-----------------以上是配置两端防火墙可以正常通信---------------
FW2
[FW2]policyinterzone trust untrust outbound
[FW2-policy-interzone-trust-untrust-outbound]policy1
[FW2-policy-interzone-trust-untrust-outbound-1]policy source 192.168.20.0mask 24
[FW2-policy-interzone-trust-untrust-outbound-1]actionpermit
----------------以上是配置允许C2这边流量可以出去-----------------
[FW1]policyinterzone trust untrust inbound //进入域间的inbound方向
[FW1-policy-interzone-trust-untrust-inbound]policy1
[FW1-policy-interzone-trust-untrust-inbound-1]policysource 192.168.20.0 mask 24
[FW1-policy-interzone-trust-untrust-inbound-1]policydestination 192.168.10.0 mask 24
[FW1-policy-interzone-trust-untrust-inbound-1]actionpermit
FW2
[FW2]policyinterzone trust untrust inbound
[FW2-policy-interzone-trust-untrust-inbound]policy1
[FW2-policy-interzone-trust-untrust-inbound-1]policysource 192.168.10.0 mask 24
[FW2-policy-interzone-trust-untrust-inbound-1]policydestination 192.168.20.0 mask 24
[FW2-policy-interzone-trust-untrust-inbound-1]actionpermit
------------------以上是配置允许流量可以进------------------
4.验证结果:
验证C1与C2之间私网通信
转载于:https://blog.51cto.com/bozai666/1657664
华为USG防火墙搭建IPsec***实战相关推荐
- 华为USG防火墙及NGFW高可用性的规划与实施详解
华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双 ...
- 华为USG防火墙-建立安全策略禁止上班时间访问其他网站
新建域名组 点击对象-域名组-创建,输入名称:上班禁止访问的网址,输入域名,点击确定.不同的域名之间用回车. 新建安全策略 点击策略-安全策略-新建安全策略 目的地址/地区-选择上班禁止访问的网址 时 ...
- 华为防火墙查看日志命令_华为USG防火墙运维命令大全word精品
华为 USG 防火墙运维命令大全 i 查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙. 命令介绍(命令类) display firewal ...
- usg防火墙l2tp ipsec安全策略
按华为usg使用手册配置好l2tp ipsec后,没有提到外网对防火墙的开发端口,经过测试发现,untrust到local需开放udp 1701(l2tp),udp 500,udp 4500及esp协 ...
- 华为5500网络限流配置_华为USG防火墙综合解决方案
1. 防火墙的现状与挑战 防火墙作为传统网络安全设备,是在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合.它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的 ...
- 华为USG防火墙常用SNMP OID
华为下一代防火墙 OID信息 USG 6350/6380 设备已验证 V100R001版本(14年发布后的默认版本) CPU使用率 .1.3.6.1.4.1.2011.5.25.31.1.1.1.1. ...
- 华为USG防火墙做多宽带路由和核心交换机配置实战教程
分公司成立,我这边采购规划部署配置网络,三条电信2000M下行 100上行的宽带接入华为防火墙,防火墙万兆光口再连接核心交换机万兆口,核心上划分多个VLAN进行管理,刚好从零配置和记录,百人企业全流程 ...
- 华为USG防火墙DHCP配置
该场景,防火墙作为出口访问 internet,然后接的傻瓜式交换机来连接下面的办公 PC,属于一个简单的 SOHO 环境,一般在防火墙上面应用 DHCP,也通常是这种情况,大点的环境则是交换机或者专门 ...
- 华为USG防火墙双机热备(业务口工作在三层上下行连接路由器)
上一篇中防火墙上下行业务口工作在二层,VGMP可以通过VRRP来监控接口状态.那么如果上下行接口工作在三层,那么VGMP显然不能通过VRRP来监控接口状态此时就需要VGMP直接监控接口状态. 实验拓扑 ...
- 华为防火墙查看日志命令_(完整word版)华为USG防火墙运维命令大全,推荐文档
使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙. 命令介绍(命令类) display firewall session table [ verbo ...
最新文章
- L1-006 连续因子
- 数学战神app(小学生四则运算app)进度
- 计算机起源于发展论文,关于计算机起源及发展的论文1500字左右,论文形式.
- php mysql 插入多条数据_雷林鹏分享:PHP MySQL 插入多条数据
- 《剑指offer》-- 把数组排成最小的数、丑数、二进制中1的个数、表示数值的字符串、替换空格
- request.setCharacterEncoding(utf-8);
- 制作ubuntu 18.04 U盘启动盘
- 滴滴是如何搭建起PB级数据中台的?
- 2020 年,程序员如何拥抱 5G ?
- Codeforces Round #499 (Div. 2): F. Mars rover(DFS)
- SQL Server 自定义字符串分割函数
- 【FOC控制】英飞凌TC264无刷驱动方案simplefoc移植(1)-霍尔编码器移植
- *新手看php手册的正确姿势
- php theexcerpt,WordPress:the excerpt(摘要)
- codewars练习记录15 js
- [javascript] 实现展开全文和收起全文效果
- 面试必备之深入理解自旋锁
- macOS配置vim
- 拒绝拖延症的8种方法
- MySQL数据库学习笔记(一)—— 基础概念
热门文章
- LabVIEW编程LabVIEW开发以编程方式将前面板移动到所需位置
- 明星造型师Tara Swennen和Glamhive创始人Stephanie Sprangers再次汇聚全球造型、时尚、美妆和女性赋权领域“大咖”参加突破性数字盛会
- excel表格中怎样让某一行数据一直显示
- 怎么修改照片文件的大小?教你一招改变图片大小尺寸
- 纤亿通带你认识和正确使用SFP光模块
- ESD问题案例分析-智能手表为例
- POI Cannot add merged region XXX to sheet because it overlaps with an existing merged region问题解决
- 电商开发之商品属性分类
- 你有想过如何合适地给 JavaScript 变量命名吗?
- 祥云发卡网站源码带详细图文搭建教程