华为×××+IPSEC实现安全连接
前言:
IPSec(InternetProtocolSecurity)是一种开放标准的框架结构,是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。通过使用加密的安全服务,以确保工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的保密而安全的通讯。
试验环境:
这里我们用一台华为s3526交换机模拟INTERNET 两台Quidway S2403H-HI交换机作为局域网连接设备
两边分别用华为的防火墙连接两个192.168.1.0和192.168.2.0网段的局域网
实现廉价连接使用×××技术
为了让两个局域网互相安全的通信,在两个防火墙之间采用IPSEC技术
实验目的:
通过在隧道上设置IPSEC实现192.168.1.0和192.168.2.0网段的局域网之间的互联。
S3526交换机的配置(模拟internet)
<Quidway>system-view
[Quidway]sysname isp
创建vlan并把端口加入到vlan
[isp]vlan 10
[isp-vlan10]port e0/10
[isp-vlan10]vlan 20
[isp-vlan20]port e0/20
配置接口地址
[isp-vlan20]int vlan 10
[isp-Vlan-interface10]ip add 61.130.130.2 255.255.255.0
[isp-Vlan-interface10]int vlan 20
[isp-Vlan-interface20]ip add 61.130.132.2 255.255.255.0
[isp-Vlan-interface20]dis ip routing-table查看路由表
一:基本接口配置
fw1的配置:
<H3C>system-view
[H3C]sysname fw1
配置接口地址
[fw1]interface eth0/0
[fw1-Ethernet0/0]ip add 192.168.1.254 24
[fw1-Ethernet0/0]int eth0/4
[fw1-Ethernet0/4]ip add 61.130.130.1 30
[fw1-Ethernet0/4]quit
把接口加入到区域
[fw1]firewall zone untrust 开启一个非信任区域
[fw1-zone-untrust]add interface eth0/4 把接口加入到区域
[fw1-zone-untrust]ping 61.130.130.2 测试和外网的连通性
[fw1]ip route-static 0.0.0.0 0 61.130.130.2 配默认路由
fw2的配置:
<H3C>system-view
[H3C]sysname fw2
配置接口地址
[fw2]int eth0/0
[fw2-Ethernet0/0]ip add 192.168.2.254 24
[fw2-Ethernet0/0]loopback 这里为了方便把e0/0口设置成loopback
[fw2-Ethernet0/0]int eth0/4
[fw2-Ethernet0/4]ip add 61.130.132.1 30
[fw2-Ethernet0/4]quit
把接口添加到区域
[fw2]firewall zone trust 开启一个信任区域
[fw2-zone-trust]add interface eth0/0
[fw2-zone-untrust]ping 61.130.132.2 测试与外网的连通性
[fw2]dis ip routing-table 查看路由表
[fw2]ip route-static 0.0.0.0 0 61.130.132.2 配置默认路由
[fw2]ping 61.130.130.1 测试与fw1的连通性
说明此时fw1与fw2之间已经能通信了
Pc1的配置
此时pc1与pc2之间不能访问既192.168.1.0和192.168.2.0之间不能访问
二:IPSEC的设置
fw1设置ipsec:
筛选流量
[fw1]acl number 3000 match-order auto 建立访问控制列表
[fw1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255设置访问控制列表规则,让所有1.0网段访问2.0网段的流量从隧道过去
[fw1-acl-adv-3000]rule 20 deny ip source any destination any 拒绝其他流量从隧道过去
设置安全提议
[fw1-acl-adv-3000]quit
[fw1]ipsec proposal abc1 设置安全提议名称为abc1
[fw1-ipsec-proposal-abc1]encapsulation-mode tunnel 设置封装模式隧道
[fw1-ipsec-proposal-abc1]transform esp 传输方式esp
[fw1-ipsec-proposal-abc1]esp authentication-algorithm md5验证方式md5
[fw1-ipsec-proposal-abc1]esp encryption-algorithm des 加密算法des
[fw1-ipsec-proposal-abc1]dis ipsec proposal 查看安全提议
设置策略既捆绑流量筛选和安全提议
[fw1]ipsec policy policy1 10 manual 设置安全提议为手工模式
[fw1-ipsec-policy-manual-policy1-10]security acl 3000
[fw1-ipsec-policy-manual-policy1-10]proposal abc1符合acl3000的走abc1
[fw1-ipsec-policy-manual-policy1-10]tunnel local 61.130.130.1设置隧道的本端地址
[fw1-ipsec-policy-manual-policy1-10]tunnel remote 61.130.132.1设置隧道的远端地址
[fw1-ipsec-policy-manual-policy1-10]sa spi outbound esp 12345
[fw1-ipsec-policy-manual-policy1-10]sa string-key outbound esp abcde出去的验证密钥abcde
[fw1-ipsec-policy-manual-policy1-10]sa spi inbound esp 54321
[fw1-ipsec-policy-manual-policy1-10]sa string-key inbound esp qazwsx进来的验证密钥
[fw1]dis cu
[fw1]int eth0/4
[fw1-Ethernet0/4]ipsec policy policy1 把策略应用到eth0/4接口
[fw1-Ethernet0/4]dis ipsec sa 查看ipsec的sa信息
fw2设置ipsec
筛选流量
[fw2]acl number 3000 match-order auto 建立访问控制列表
[fw2-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 设置访问控制列表规则,让所有2.0网段访问1.0网段的流量从隧道过去
[fw2-acl-adv-3000]rule 20 deny ip source any destination any 拒绝其他流量从隧道过去
设置安全提议
[fw2]ipsec proposal abc2 设置安全提议名称为abc2
[fw2-ipsec-proposal-abc2]encapsulation-mode tunnel 设置封装模式隧道
[fw2-ipsec-proposal-abc2]transform esp 传输方式esp
[fw2-ipsec-proposal-abc2]esp encryption-algorithm des加密算法des
[fw2-ipsec-proposal-abc2]esp authentication-algorithm md5 验证方式md5
[fw2-ipsec-proposal-abc2]quit
设置策略既捆绑流量筛选和安全提议
[fw2]ipsec policy policy2 10 manual 设置安全提议方式为手工
[fw2-ipsec-policy-manual-policy2-10]security acl 3000
[fw2-ipsec-policy-manual-policy2-10]proposal abc2 符合访问控制列表3000的走abc2
[fw2-ipsec-policy-manual-policy2-10]tunnel local 61.130.132.1 设置本端地址
[fw2-ipsec-policy-manual-policy2-10]tunnel remote 61.130.130.1 设置远端地址
[fw2-ipsec-policy-manual-policy2-10]sa spi inbound esp 12345 这里进来的要和fw1出去的sa一致
[fw2-ipsec-policy-manual-policy2-10]sa string-key inbound esp abcde 设置出去的验证密钥
[fw2-ipsec-policy-manual-policy2-10]sa spi outbound esp 54321
[fw2-ipsec-policy-manual-policy2-10]sa string-key outbound esp qazwsx 设置进来的验证密钥
[fw2-ipsec-policy-manual-policy2-10]int eth0/4
[fw2-Ethernet0/4]ipsec policy policy2 把策略应用得到eth0/4口
[fw2-Ethernet0/4]dis ipsec sa查看sa信息
实验结果:
此时pc1和pc2可以通信
转载于:https://blog.51cto.com/iceblock/1191100
华为×××+IPSEC实现安全连接相关推荐
- 树莓派4通过华为ME909S 4G模块连接蜂窝网(非PPP)
树莓派4通过华为ME909S 4G模块连接蜂窝网(非PPP) 最近做一个项目需要树莓派连接蜂窝网络,几个月前用ppp拨号成功驱动了华为me909s模块,但最近几天使用了官方新镜像后(2019-07-1 ...
- 华为手机如何用微信与电脑连接服务器,华为手机也能连接苹果电脑,只需这样做...
原标题:华为手机也能连接苹果电脑,只需这样做 集微网9月25日消息(文/数码控), 华为花粉俱乐部昨天发表教程,教华为和荣耀手机的用户如何连接苹果电脑,实现数据备份.恢复等操作. 首先,在Mac电脑上 ...
- 华为手机wifi不显示连接到服务器,华为手机无线网已经连接但不能用怎么办
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答. 华为手机无线网已经连接但不能用的解决方法: 1.检查线路连接 普通的网线路由器上有1个WAN接口,4个LAN接口(有的路由器只有2 ...
- 华为ax3怎么接光纤sc接口_华为路由器AX3与其他华为/荣耀路由器如何连接? | 192路由网...
你可以将华为路由器AX3与其他的华为路由器或者荣耀路由器连接起来,以扩展WiFi网络的覆盖范围.连接的方式有2种:有线连接,无线连接. 无论采用何种连接方式,首先请设置你的华为路由器AX3上网,然后再 ...
- 华为手机usb计算机连接在哪里设置密码,简单十步设置Huawei Share,手机与电脑传输从此告别数据线...
原标题:简单十步设置Huawei Share,手机与电脑传输从此告别数据线 最近发现很多人使用华为手机和电脑连接还需要使用数据线,没有使用Huawei Share功能,就写了一下简单的教程,供参考. ...
- 华为路由器hilink怎么用_路由器是华为HiLink协议的连接中心
[百度文库] 路由器是华为 HiLink 协议的连接中心 HiLink 智能家居, 是华为 HiLink 计划以连接为核心,同时凭借自身强大的研发能力,与众多垂直行 业领导品牌一起, 贡献自身物联网操 ...
- win10连接ipsec提示“L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误”
现象: 今年年初,突然发现之前已经建立好的ipsec隧道再连接就报错了,当时以为家里的routeros上期间做了什么配置导致,在win10上抓包看ISAKMP请求收到了应答然后就没反应了,并且服务端的 ...
- 华为如何显示我的电脑连接到服务器,华为超级终端怎么连接电脑、电视、手表?鸿蒙超级终端关了怎么打开?...
相信不少的小伙伴都是因为华为鸿蒙系统的万物互联的超级终端所吸引的吧,万物互联的场景还是很期待,目前包括手机.电视.手表.车机.智能家居等众多设备,不过很多小伙伴还不清楚怎么去链接这个超级终端,下面一起 ...
- 华为ax3怎么接光纤sc接口_华为路由器AX3 Pro与其他华为/荣耀路由器如何连接?...
你可以将华为路由器AX3 Pro与其他的华为路由器或者荣耀路由器连接起来,以扩展WiFi网络的覆盖范围.连接的方式有2种:有线连接,无线连接. 无论采用何种连接方式,首先请设置你的华为路由器AX3 P ...
最新文章
- 技嘉G31主板学习笔记
- Python 如何计算当前时间减少或增加一个月
- oracle快速复制表数据
- 深度探索I/O完成端口
- 开发服务器 VSS开发库 自动备份方案
- 重建控制文件--Rebuild controlfile
- vue2自定义分页组件,可设置每页显示数量,指定跳转具体页面
- 关于域名注册、投资问题的相关解释
- 【推荐算法】推荐系统必读论文整理
- linux安全加固-三级等保(一)
- 安装SqlServer 2016 2017 时,提示需要安装oracle JRE7 更新 51(64位)或更高版本
- 详尽的msf——meterpreter——渗透测试教程
- 统计分析之:正态性检验——SPSS操作指南
- 原来人脸识别技术是“酱紫”实现的!
- QQ跳转浏览器php代码,QQ微信域名预防封禁强制跳转至浏览器打开PHP源代码下载...
- 【总结】最系统化的CV内容,有三AI所有免费与付费的计算机视觉课程汇总(2022年12月)...
- 计算机硬盘做u盘启动不了,u盘启动盘读不出来硬盘如何解决_电脑U盘启动找不到硬盘的解决教程...
- 地图导航开启蓝牙后无导航语音
- CorelDRAW X6+PhotoZoom这组合,无敌了啊!
- pcm编码为aac/MP3格式ffmpeg(八)