华为防火墙基础自学系列 | Site to Site IPSec VdPdNd
视频来源:B站《乾颐堂HCIP-HCIE-security安全 2019年录制》
一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客
Site to Site IPSec VPN组网
这个一个典型的站点到站点(Site to Site)IPSec VPN拓扑
IPSec VPN组网的通信网络为10.1.1.0/24和10.1.2.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。
交换机底层桥接
防火墙网络配置
IPSec VPN安全策略配置流程图
FW1配置IPsec策略-1(Web)
新建IPsec策略
FW1配置IPsec策略-2(Web)
填写IPsec基本配置
FW1配置IPsec策略-3(Web)
新建感兴趣流
FW1配置IPsec策略-4(Web)
配置安全提议,保持默认即可。
FW1配置安全策略-1(Web)
新建服务【isakmp】,UDP协议,目的端口为500。
FW1配置安全策略-2(Web)
新建安全策略,放行两个防火墙的esp和isakmp流量。
放行本端感兴趣流,去往对端的流量。
FW1配置IPsec-1(CLI)
FW1配置ACL
FW1配置IKE Proposal
FW1配置IKE Peer
FW1配置IPsec-2(CLI)
FW1配置IPsec proposal
FW1配置IPsec policy
FW1调用IPsec policy
FW1配置安全策略(CLI)
FW2配置IPsec策略-1(Web)
新建IPsec策略,填写IPsec基本配置。
FW2配置IPsec策略-2(Web)
配置安全提议,保持默认即可。
FW2配置安全策略-1(Web)
新建服务【isakmp】,UDP协议,目的端口为500。
新建安全策略,放行两个防火墙的esp和isakmp流量。
放行本端感兴趣流,去往对端的流量。
FW2配置IPsec-1(CLI)
FW2配置ACL
FW2配置IKE Proposal
FW2配置IKE Peer
FW2配置IPsec-2(CLI)
FW2配置IPsec proposal
FW1配置IPsec policy
FW1调用IPsec policy
FW2配置安全策略(CLI)
FW1查看IPsec状态(Web)
点击【监控】,查看IPsec协商状态。
IPsec通信网络测试
在PC1上ping测试到PC2的地址,测试感兴趣流的连通性。
FW1查看IKE SA
FW1查看IPsec SA
FW1查看加解密数量
实验
SW1
interface Ethernet0/0/4description Link_FW1_G0/0/0port link-type accessport default vlan 16
interface Ethernet0/0/8description Link_FW2_G0/0/0port link-type accessport default vlan 16
interface Ethernet0/0/21description Link_HCNP_MGMTport link-type accessport default vlan 16
interface Ethernet0/0/1description Link_FW1_G0/0/1port link-type accessport default vlan 10
interface Ethernet0/0/9description Link_HCNP_Dot1x(PC1)port link-type accessport default vlan 10
interface Ethernet0/0/5description Link_FW2_G0/0/1port link-type accessport default vlan 20
interface Ethernet0/0/24description Link_HCNP_VPN_Client(PC2)port link-type accessport default vlan 20
interface Ethernet0/0/2description Link_FW1_G0/0/2port link-type accessport default vlan 40
interface Ethernet0/0/23description Link_HCNP_Untrustport link-type accessport default vlan 40
interface Ethernet0/0/6description Link_FW2_G0/0/2port link-type accessport default vlan 40
复制代码
FW1
int g0/0/0ip address 192.168.0.10 24
int g0/0/1ip address 10.1.1.10 24
int g0/0/2ip address 202.100.1.10 24
firewall zone trustadd int g0/0/1
firewall zone untrustadd int g0/0/2
ip route-static 0.0.0.0 0.0.0.0 202.100.1.11
ike proposal 10encryption-algorithm aes-192authentication-algorithm md5
ike peer fw2exchange-mode mainpre-shared-key Huawei@123ike-proposal 10remote-address 202.100.1.11undo version 2
acl 3000rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
ipsec proposal 10encapsulation-mode tunnelesp encryption-algorithm desesp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmpsecurity acl 3000ike-peer fw2proposal 10
int g0/0/2ipsec policy ipsec_policy复制代码
FW2
int g0/0/0ip addres 192.168.0.11 24
int g0/0/1ip address 10.1.2.10 24
int g0/0/2ip address 202.100.1.11 24service-manage ping permit
firewall zone untrustadd int g0/0/2
firewall zone trustadd int g0/0/1
ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
ike proposal 10encryption-algorithm aes-192authentication-algorithm md5
ike peer fw1exchange-mode mainpre-shared-key Huawei@123ike-proposal 10remote-address 202.100.1.10undo version 2
acl 3000rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
ipsec proposal 10encapsulation-mode tunnelesp encryption-algorithm desesp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmpsecurity acl 3000ike-peer fw1proposal 10
int g0/0/2ipsec policy ipsec_policy
复制代码
查看
在ipsec policy没有配置auto-neg下,需要先在PC上通过PING触发IPSec隧道建立。(前提是防火墙策略已经配置完成,如local<->untrust,需放通ISKAMP和ESP,trust<->unstrust,需放通地址间所有流量)
华为防火墙基础自学系列 | Site to Site IPSec VdPdNd相关推荐
- 华为防火墙基础自学系列 | IKE介绍
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- 华为防火墙基础自学系列 | 证书申请方式
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- 华为防火墙基础自学系列 | PKI核心部分CA
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- 华为防火墙基础自学系列 | Hub Spoke IPsec VdPdNd
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- 数据中心交换机基础自学系列 | MAC简介
素材来源:华为数据中心交换机配置指南 一边学习一边整理,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:数据中心交换机基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 MAC简介 MAC( ...
- 数据中心交换机基础自学系列 | 汇总
素材来源:华为数据中心交换机配置指南 一边学习一边整理,并与大家分享,侵权即删,谢谢支持! 以太网交换技术 MAC技术 数据中心交换机基础自学系列 | MAC简介 以太网链路聚合技术 M-LAG(跨设 ...
- 5G无线技术基础自学系列 | 双工技术
素材来源:<一本读懂5G技术> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G无线技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 双工(Dup ...
- 5G核心网技术基础自学系列 | 消息业务
书籍来源:<5G核心网 赋能数字化时代> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G核心网技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 ...
- 5G无线技术基础自学系列 | 基础参数及帧结构
素材来源:<5G无线网络规划与优化> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G无线技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 5G在 ...
最新文章
- 非线性振动 matlab,用MATLAB分析非线性弹簧振子的振动
- JavaNIO - AbstractInterruptibleChannel
- java编写交通灯思路
- [LeetCode] 402. Remove K Digits Java
- java input是什么意思_java中的【...】表示什么意思
- python importlib_importlib --- import 的实现 — Python 3.10.0a2 文档
- C语言中预定义宏的应用
- java删除目录下符合条件的文件
- Hadoop学习笔记(五):MapReduce的类型与格式
- [转]coolfire黑客入门教程系列之(五)
- FPGA学习记录(7)<巴特沃斯低通IIR滤波器FPGA实现>
- twaver html5 api,TWaver版3D化学元素周期表
- 一个很好玩的自动关机小程序
- 计算机怎么切换到音乐,win10系统如何快速切换到下一首歌曲?
- 独立站导航栏装修指南
- WebEx网络视频会议
- JavaScript 中的模块化
- kettle调优之读写速度
- 局域网关机助手 v1.0.bat 批处理
- 使用fofa搜索chatgpt网站使用
热门文章
- Linux 校准时间
- vue项目执行npm run build 打包出现某些图片,字体,资源文件路径404,无法加载的问题
- 升级SpringCloud到Hoxton.SR3后使用Fegin出现jackson反序列化失败,源码分析,原因lombok版本升级
- x86汇编_CMP指令_笔记_28
- 移动App的推送技术
- 唯品会api_sign与mars_cid逆向分析
- 媒体猫创始人:如何才能做好行业的生态圈?
- 申请美国访问学者不可忽略的问题
- 电脑安装固态硬盘分区及安装系统
- seed+transformer+finetune+图文融合+VLP+Prompt Learning整合