视频来源:B站《乾颐堂HCIP-HCIE-security安全 2019年录制》

一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客

Site to Site IPSec VPN组网

这个一个典型的站点到站点(Site to Site)IPSec VPN拓扑

IPSec VPN组网的通信网络为10.1.1.0/24和10.1.2.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。

交换机底层桥接

防火墙网络配置

IPSec VPN安全策略配置流程图

FW1配置IPsec策略-1(Web)

新建IPsec策略

FW1配置IPsec策略-2(Web)

填写IPsec基本配置

FW1配置IPsec策略-3(Web)

新建感兴趣流

FW1配置IPsec策略-4(Web)

配置安全提议,保持默认即可。

FW1配置安全策略-1(Web)

新建服务【isakmp】,UDP协议,目的端口为500。

FW1配置安全策略-2(Web)

新建安全策略,放行两个防火墙的esp和isakmp流量。

放行本端感兴趣流,去往对端的流量。

FW1配置IPsec-1(CLI)

FW1配置ACL

FW1配置IKE Proposal

FW1配置IKE Peer

FW1配置IPsec-2(CLI)

FW1配置IPsec proposal

FW1配置IPsec policy

FW1调用IPsec policy

FW1配置安全策略(CLI)

FW2配置IPsec策略-1(Web)

新建IPsec策略,填写IPsec基本配置。

FW2配置IPsec策略-2(Web)

配置安全提议,保持默认即可。

FW2配置安全策略-1(Web)

新建服务【isakmp】,UDP协议,目的端口为500。

新建安全策略,放行两个防火墙的esp和isakmp流量。

放行本端感兴趣流,去往对端的流量。

FW2配置IPsec-1(CLI)

FW2配置ACL

FW2配置IKE Proposal

FW2配置IKE Peer

FW2配置IPsec-2(CLI)

FW2配置IPsec proposal

FW1配置IPsec policy

FW1调用IPsec policy

FW2配置安全策略(CLI)

FW1查看IPsec状态(Web)

点击【监控】,查看IPsec协商状态。

IPsec通信网络测试

在PC1上ping测试到PC2的地址,测试感兴趣流的连通性。

FW1查看IKE SA

FW1查看IPsec SA

FW1查看加解密数量

实验

SW1

interface Ethernet0/0/4description Link_FW1_G0/0/0port link-type accessport default vlan 16
interface Ethernet0/0/8description Link_FW2_G0/0/0port link-type accessport default vlan 16
interface Ethernet0/0/21description Link_HCNP_MGMTport link-type accessport default vlan 16
interface Ethernet0/0/1description Link_FW1_G0/0/1port link-type accessport default vlan 10
interface Ethernet0/0/9description Link_HCNP_Dot1x(PC1)port link-type accessport default vlan 10
interface Ethernet0/0/5description Link_FW2_G0/0/1port link-type accessport default vlan 20
interface Ethernet0/0/24description Link_HCNP_VPN_Client(PC2)port link-type accessport default vlan 20
interface Ethernet0/0/2description Link_FW1_G0/0/2port link-type accessport default vlan 40
interface Ethernet0/0/23description Link_HCNP_Untrustport link-type accessport default vlan 40
interface Ethernet0/0/6description Link_FW2_G0/0/2port link-type accessport default vlan 40
复制代码

FW1

int g0/0/0ip address 192.168.0.10 24
int g0/0/1ip address 10.1.1.10 24
int g0/0/2ip address 202.100.1.10 24
firewall zone trustadd int g0/0/1
firewall zone untrustadd int g0/0/2
ip route-static 0.0.0.0 0.0.0.0 202.100.1.11
ike proposal 10encryption-algorithm aes-192authentication-algorithm md5
ike peer fw2exchange-mode mainpre-shared-key Huawei@123ike-proposal 10remote-address 202.100.1.11undo version 2
acl 3000rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
ipsec proposal 10encapsulation-mode tunnelesp encryption-algorithm desesp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmpsecurity acl 3000ike-peer fw2proposal 10
int g0/0/2ipsec policy ipsec_policy复制代码

FW2

int g0/0/0ip addres 192.168.0.11 24
int g0/0/1ip address 10.1.2.10 24
int g0/0/2ip address 202.100.1.11 24service-manage ping permit
firewall zone untrustadd int g0/0/2
firewall zone trustadd int g0/0/1
ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
ike proposal 10encryption-algorithm aes-192authentication-algorithm md5
ike peer fw1exchange-mode mainpre-shared-key Huawei@123ike-proposal 10remote-address 202.100.1.10undo version 2
acl 3000rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
ipsec proposal 10encapsulation-mode tunnelesp encryption-algorithm desesp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmpsecurity acl 3000ike-peer fw1proposal 10
int g0/0/2ipsec policy ipsec_policy
复制代码

查看

在ipsec policy没有配置auto-neg下,需要先在PC上通过PING触发IPSec隧道建立。(前提是防火墙策略已经配置完成,如local<->untrust,需放通ISKAMP和ESP,trust<->unstrust,需放通地址间所有流量)

华为防火墙基础自学系列 | Site to Site IPSec VdPdNd相关推荐

  1. 华为防火墙基础自学系列 | IKE介绍

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  2. 华为防火墙基础自学系列 | 证书申请方式

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  3. 华为防火墙基础自学系列 | PKI核心部分CA

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  4. 华为防火墙基础自学系列 | Hub Spoke IPsec VdPdNd

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  5. 数据中心交换机基础自学系列 | MAC简介

    素材来源:华为数据中心交换机配置指南 一边学习一边整理,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:数据中心交换机基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 MAC简介 MAC( ...

  6. 数据中心交换机基础自学系列 | 汇总

    素材来源:华为数据中心交换机配置指南 一边学习一边整理,并与大家分享,侵权即删,谢谢支持! 以太网交换技术 MAC技术 数据中心交换机基础自学系列 | MAC简介 以太网链路聚合技术 M-LAG(跨设 ...

  7. 5G无线技术基础自学系列 | 双工技术

    素材来源:<一本读懂5G技术> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G无线技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 双工(Dup ...

  8. 5G核心网技术基础自学系列 | 消息业务

    书籍来源:<5G核心网 赋能数字化时代> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G核心网技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 ...

  9. 5G无线技术基础自学系列 | 基础参数及帧结构

    素材来源:<5G无线网络规划与优化> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G无线技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 5G在 ...

最新文章

  1. 非线性振动 matlab,用MATLAB分析非线性弹簧振子的振动
  2. JavaNIO - AbstractInterruptibleChannel
  3. java编写交通灯思路
  4. [LeetCode] 402. Remove K Digits Java
  5. java input是什么意思_java中的【...】表示什么意思
  6. python importlib_importlib --- import 的实现 — Python 3.10.0a2 文档
  7. C语言中预定义宏的应用
  8. java删除目录下符合条件的文件
  9. Hadoop学习笔记(五):MapReduce的类型与格式
  10. [转]coolfire黑客入门教程系列之(五)
  11. FPGA学习记录(7)<巴特沃斯低通IIR滤波器FPGA实现>
  12. twaver html5 api,TWaver版3D化学元素周期表
  13. 一个很好玩的自动关机小程序
  14. 计算机怎么切换到音乐,win10系统如何快速切换到下一首歌曲?
  15. 独立站导航栏装修指南
  16. WebEx网络视频会议
  17. JavaScript 中的模块化
  18. kettle调优之读写速度
  19. 局域网关机助手 v1.0.bat 批处理
  20. 使用fofa搜索chatgpt网站使用

热门文章

  1. Linux 校准时间
  2. vue项目执行npm run build 打包出现某些图片,字体,资源文件路径404,无法加载的问题
  3. 升级SpringCloud到Hoxton.SR3后使用Fegin出现jackson反序列化失败,源码分析,原因lombok版本升级
  4. x86汇编_CMP指令_笔记_28
  5. 移动App的推送技术
  6. 唯品会api_sign与mars_cid逆向分析
  7. 媒体猫创始人:如何才能做好行业的生态圈?
  8. 申请美国访问学者不可忽略的问题
  9. 电脑安装固态硬盘分区及安装系统
  10. seed+transformer+finetune+图文融合+VLP+Prompt Learning整合