素材来源:华为防火墙配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验

目标

您可以通过本举例了解IPSec隧道保护同一VPN实例下用户流量的配置方法。

组网需求

如图1所示,总部通过FW_A与Internet连接,分支机构通过FW_B与Internet连接。FW_A和FW_B之间通过IPSec方式建立安全通信隧道。为了避免FW_A上的IPSec业务受到该防火墙上其他业务的影响,企业用户要求在FW_A上新建一个VPN实例,并将IPSec隧道单独配置到该VPN实例下,以达到业务隔离的目的。

配置思路

  1. 在FW_A上新建一个VPN实例(vpn1)。
  1. 配置VPN实例下的路由。
  1. 配置VPN实例下的IPSec策略相关参数。
  1. 配置IKE对等体时,需要指定IPSec与VPN实例的绑定关系,详见配置FW_A中的步骤1.e.iv。

操作步骤

  1. 配置FW_A(总部)。

    1. 配置VPN实例vpn1。

    2. <sysname> system-view
[sysname] sysname FW_A
[FW_A] ip vpn-instance vpn1
[FW_A-vpn-instance-vpn1] route-distinguisher 100 : 1
[FW_A-vpn-instance-vpn1] quit
复制代码

    3. 配置接口IP地址,并将接口加入安全区域。

      1. 配置GE1/0/1的IP地址。
      2. [FW_A] interface gigabitethernet 1 / 0 / 1
[FW_A-GigabitEthernet1/0/1] ip binding vpn-instance vpn1
[FW_A-GigabitEthernet1/0/1] ip address 10.1.1.1  24
[FW_A-GigabitEthernet1/0/1] quit
复制代码
      3. 配置GE1/0/2的IP地址。
      4. [FW_A] interface gigabitethernet 1 / 0 / 2
[FW_A-GigabitEthernet1/0/2] ip binding vpn-instance vpn1
[FW_A-GigabitEthernet1/0/2] ip address 1.1.3.1  24
[FW_A-GigabitEthernet1/0/2] quit
复制代码
      5. 配置GE1/0/1加入Trust安全区域。
      6. [FW_A] firewall zone trust
[FW_A-zone-trust] add interface gigabitethernet 1 / 0 / 1
[FW_A-zone-trust] quit
复制代码
      7. 配置GE1/0/2加入Untrust安全区域。
      8. [FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface gigabitethernet 1 / 0 / 2
[FW_A-zone-untrust] quit
复制代码

    4. 配置到FW_B的静态路由,假设下一跳地址为1.1.3.2。该路由用于指导FW_A转发总部访问分支的报文。

    5. [FW_A] ip route- static vpn-instance vpn1 1.1.5.0  24  1.1.3.2
[FW_A] ip route- static vpn-instance vpn1 10.1.2.0  24  1.1.3.2
复制代码

    6. 配置域间安全策略。

      1. 配置Trust域与Untrust域的转发策略,允许封装前和解封后的报文能通过FW_A。
      2. [FW_A] security-policy
[FW_A-policy-security] rule name 1
[FW_A-policy-security-rule-1] source-zone untrust
[FW_A-policy-security-rule-1] destination-zone trust
[FW_A-policy-security-rule-1] source-address 10.1.2.0  24
[FW_A-policy-security-rule-1] destination-address 10.1.1.0  24
[FW_A-policy-security-rule-1] action permit
[FW_A-policy-security-rule-1] quit
[FW_A-policy-security] rule name 2
[FW_A-policy-security-rule-2] source-zone trust
[FW_A-policy-security-rule-2] destination-zone untrust
[FW_A-policy-security-rule-2] source-address 10.1.1.0  24
[FW_A-policy-security-rule-2] destination-address 10.1.2.0  24
[FW_A-policy-security-rule-2] action permit
[FW_A-policy-security-rule-2] quit
复制代码
      3. 配置Local域与Untrust域的本地策略,允许IKE协商报文能正常通过FW_A。
      4. [FW_A-policy-security] rule name 3
[FW_A-policy-security-rule-3] source-zone local
[FW_A-policy-security-rule-3] destination-zone untrust
[FW_A-policy-security-rule-3] source-address 1.1.3.1  32
[FW_A-policy-security-rule-3] destination-address 1.1.5.1  32
[FW_A-policy-security-rule-3] action permit
[FW_A-policy-security-rule-3] quit
[FW_A-policy-security] rule name 4
[FW_A-policy-security-rule-4] source-zone untrust
[FW_A-policy-security-rule-4] destination-zone local
[FW_A-policy-security-rule-4] source-address 1.1.5.1  32
[FW_A-policy-security-rule-4] destination-address 1.1.3.1  32
[FW_A-policy-security-rule-4] action permit
[FW_A-policy-security-rule-4] quit
[FW_A-policy-security] quit
复制代码

    7. 配置IPSec。

      1. 配置访问控制列表,定义需要保护的数据流,并与虚拟防火墙绑定。
      2. [FW_A] acl 3000 vpn-instance vpn1
[FW_A-acl-adv-3000] rule 5 permit ip source 10.1.1.0  0.0.0.255 destination 10.1.2.0  0.0.0.255
[FW_A-acl-adv-3000] quit
复制代码
      3. 配置IPSec安全提议。
      4. [FW_A] ipsec proposal tran1
[FW_A-ipsec-proposal-tran1] transform esp
[FW_A-ipsec-proposal-tran1] encapsulation-mode tunnel
[FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_A-ipsec-proposal-tran1] quit
复制代码
      5. 创建IKE安全提议,相关参数采用缺省值。
      6. [FW_A] ike proposal 1
[FW_A-ike-proposal-1] quit
复制代码
      7. 配置IKE peer。
      8. [FW_A] ike peer b
[FW_A-ike-peer-b] ike-proposal 1
[FW_A-ike-peer-b] pre-shared-key Key123
[FW_A-ike-peer-b] remote-address vpn-instance vpn1 1.1.5.1
[FW_A-ike-peer-b] sa binding vpn-instance vpn1
[FW_A-ike-peer-b] quit
复制代码
      9. 配置非模板方式的IPSec安全策略。
      10. [FW_A] ipsec policy map1 1 isakmp
[FW_A-ipsec-policy-isakmp-map1-1] ike-peer b
[FW_A-ipsec-policy-isakmp-map1-1] proposal tran1
[FW_A-ipsec-policy-isakmp-map1-1] security acl 3000
[FW_A-ipsec-policy-isakmp-map1-1] quit
复制代码
      11. 在接口GE1/0/2上应用IPSec安全策略。
      12. [FW_A] interface gigabitethernet 1 / 0 / 2
[FW_A-GigabitEthernet1/0/2] ipsec policy map1
[FW_A-GigabitEthernet1/0/2] quit
复制代码

  1. 配置FW_B(分支)。

    1. 配置接口IP地址,并将接口加入安全区域。

      1. 配置GE1/0/1的IP地址。
      2. <sysname> system-view
[sysname] sysname FW_B
[FW_B] interface gigabitethernet 1 / 0 / 1
[FW_B-GigabitEthernet1/0/1] ip address 10.1.2.1  24
[FW_B-GigabitEthernet1/0/1] quit
复制代码
      3. 配置GE1/0/2的IP地址。
      4. [FW_B] interface gigabitethernet 1 / 0 / 2
[FW_B-GigabitEthernet1/0/2] ip address 1.1.5.1  24
[FW_B-GigabitEthernet1/0/2] quit
复制代码
      5. 配置GE1/0/1加入Trust安全区域。
      6. [FW_B] firewall zone trust
[FW_B-zone-trust] add interface gigabitethernet 1 / 0 / 1
[FW_B-zone-trust] quit
复制代码
      7. 配置GE1/0/2加入Untrust安全区域。
      8. [FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface gigabitethernet 1 / 0 / 2
[FW_B-zone-untrust] quit
复制代码

    2. 配置到FW_A的静态路由,假设下一跳地址为1.1.5.2。该路由用于指导FW_B转发分支发往总部的报文。

    3. [FW_B] ip route- static  10.1.1.0  24  1.1.5.2
[FW_B] ip route- static  1.1.3.0  24  1.1.5.2
复制代码

    4. 配置域间安全策略。

      1. 配置Trust域与Untrust域的转发策略,允许封装前和解封后的报文能通过FW_B。
      2. [FW_B] security-policy
[FW_B-policy-security] rule name 1
[FW_B-policy-security-rule-1] source-zone untrust
[FW_B-policy-security-rule-1] destination-zone trust
[FW_B-policy-security-rule-1] source-address 10.1.1.0  24
[FW_B-policy-security-rule-1] destination-address 10.1.2.0  24
[FW_B-policy-security-rule-1] action permit
[FW_B-policy-security-rule-1] quit
[FW_B-policy-security] rule name 2
[FW_B-policy-security-rule-2] source-zone trust
[FW_B-policy-security-rule-2] destination-zone untrust
[FW_B-policy-security-rule-2] source-address 10.1.2.0  24
[FW_B-policy-security-rule-2] destination-address 10.1.1.0  24
[FW_B-policy-security-rule-2] action permit
[FW_B-policy-security-rule-2] quit
复制代码
      3. 配置Local域与Untrust域的本地策略,允许IKE协商报文能正常通过FW_B。
      4. [FW_B-policy-security] rule name 3
[FW_B-policy-security-rule-3] source-zone local
[FW_B-policy-security-rule-3] destination-zone untrust
[FW_B-policy-security-rule-3] source-address 1.1.5.1  32
[FW_B-policy-security-rule-3] destination-address 1.1.3.1  32
[FW_B-policy-security-rule-3] action permit
[FW_B-policy-security-rule-3] quit
[FW_B-policy-security] rule name 4
[FW_B-policy-security-rule-4] source-zone untrust
[FW_B-policy-security-rule-4] destination-zone local
[FW_B-policy-security-rule-4] source-address 1.1.3.1  32
[FW_B-policy-security-rule-4] destination-address 1.1.5.1  32
[FW_B-policy-security-rule-4] action permit
[FW_B-policy-security-rule-4] quit
[FW_B-policy-security] quit
复制代码

    5. 配置IPSec。

      1. 配置访问控制列表,定义需要保护的数据流。
      2. [FW_B] acl 3000
[FW_B-acl-adv-3000] rule 5 permit ip source 10.1.2.0  0.0.0.255 destination 10.1.1.0  0.0.0.255
[FW_B-acl-adv-3000] quit
复制代码
      3. 配置IPSec安全提议。
      4. [FW_B] ipsec proposal tran1
[FW_B-ipsec-proposal-tran1] transform esp
[FW_B-ipsec-proposal-tran1] encapsulation-mode tunnel
[FW_B-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_B-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_B-ipsec-proposal-tran1] quit
复制代码
      5. 创建IKE安全提议,相关参数采用缺省值。
      6. [FW_B] ike proposal 1
[FW_B-ike-proposal-1] quit
复制代码
      7. 配置IKE peer。
      8. [FW_B] ike peer a
[FW_B-ike-peer-a] ike-proposal 1
[FW_B-ike-peer-a] pre-shared-key Key123
[FW_B-ike-peer-a] remote-address 1.1.3.1
[FW_B-ike-peer-a] quit
复制代码
      9. 配置非模板方式的IPSec安全策略。
      10. [FW_B] ipsec policy map1 1 isakmp
[FW_B-ipsec-policy-isakmp-map1-1] ike-peer a
[FW_B-ipsec-policy-isakmp-map1-1] proposal tran1
[FW_B-ipsec-policy-isakmp-map1-1] security acl 3000
[FW_B-ipsec-policy-isakmp-map1-1] quit
复制代码
      11. 在接口GE1/0/2上应用IPSec安全策略。
      12. [FW_B] interface gigabitethernet 1 / 0 / 2
[FW_B-GigabitEthernet1/0/2] ipsec policy map1
[FW_B-GigabitEthernet1/0/2] quit
复制代码

结果验证

  1. 配置成功后,总部下的用户可以与分支下的用户相互访问。分别在FW_A、FW_B执行display ike sadisplay ipsec sa brief会显示安全联盟的建立情况。以FW_A为例,出现以下显示说明IKE安全联盟、IPSec安全联盟建立成功。
<FW_A> display ike saIke sa information :                                    Conn-ID        Peer          VPN      Flag(s)     Phase                 ---------------------------------------------------------------  10          1.1.5.1         vpn1    RD|ST|A       V2:2     9           1.1.5.1         vpn1    RD|ST|A       V2:1     Number of SA entries  : 2                                                     Number of SA entries of all cpu : 2                                           Flag Description:                                                             RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
<FW_A> display ipsec sa brief
Current ipsec sa num:2Spu board slot 1, cpu 0 ipsec sa information:
Number of SAs:4                                                              Src address   Dst address      SPI        VPN   Protocol     Algorithm
------------------------------------------------------------------------------- 1.1.5.1         1.1.3.1       4001819557  vpn1    ESP      E:AES-256 A:SHA2-256-1281.1.3.1         1.1.5.1       3923280450  vpn1    ESP      E:AES-256 A:SHA2-256-128

玩转华为ENSP模拟器系列 | 同一VdPdNd实例场景下配置IPSec VdPdNd相关推荐

  1. 玩转华为ENSP模拟器系列 | 两个网关之间利用Tunnel接口实现IPSec VdPdNd隧道多链路备份

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  2. 玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用证书认证)

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  3. 玩转华为ENSP模拟器系列 | 两个网关之间存在NAT设备时通过IKE方式协商IPSec VdPdNd隧道(总部不指定分支IP地址)

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  4. 玩转华为ENSP模拟器系列 | 两个网关之间配置IPSec VdPdNd主备链路备份

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  5. 玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd(采用预共享密钥认证)

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  6. 玩转华为ENSP模拟器系列 | 配置RSTP功能示例

    素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全 组 ...

  7. 玩转华为ENSP模拟器系列 | 配置OSPFv3 ABR路由聚合示例

    素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全 目 ...

  8. 玩转华为ENSP模拟器系列 | 配置IS-IS负载分担示例

    素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  9. 玩转华为ENSP模拟器系列 | 配置IS-IS基本功能示例

    素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全 目 ...

最新文章

  1. cs224n第一讲深度自然语言处理
  2. java 中文怎么截取,java String 中文 字符串 截取
  3. java面试题二十一 异常
  4. 如何捕获 EF 生成的 SQL 脚本?
  5. 光纤交换机按照级别可分为3种
  6. 打开本机网页总有安全提示,怎么办?
  7. 使用Calender类获取系统时间和时间和运算
  8. 解决软件开发中常见的问题
  9. 路由交换复习选择题题库
  10. 怎么制作合法有效的电子签名?
  11. 浅谈CA与证书以及Openssl管理证书
  12. 自定义组件时 Binary XML file line Error inflating class 异常
  13. bert如何应用于下游任务_培训特定于法律域的BERT
  14. 关于在Opengl中先平移后旋转和先旋转后平移的效果不一样的原因
  15. windows突破百度云上传限速
  16. Android样式之drawable总结
  17. Java中字符串数组的输入与输出
  18. AltiumDesigner20.0.10安装+防局域网(多版本支持)+许可带视频教程
  19. openwrt针对RT5350代码下载,配置和编译
  20. 作为内网杀手的metasploit如何在外网使用呢?

热门文章

  1. A - 只是试试for循环
  2. SVN 提示 Failed to run the WC DB work queue 错误解决
  3. scrapy爬取华为商城所有商品信息--科技快人一步
  4. ABLIC Inc.推出业界最小型(*1)UV-A、UV-B传感硅光电二极管之一S-5420
  5. Provide/inject 真的可以取代 Vuex 吗?
  6. ccc 2.2.0 jsb绑定
  7. EmAtlas:探索哺乳动物胚胎发育时空动态的综合图谱
  8. 【涵子来信python大全】——第二季——opencv第三篇-numpy和颜色通道解释
  9. 转转二手促进二手交易市场革新交易标准
  10. 电子科大~数据库系统原理与开发期末复习完整版