华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 CLI配置 (三)
1. 组网需求
1.1 IPSCE VPN
出口配置双线路,并配置负载均衡方式。通过配置IPSEC VPN服务,在各个分支与总部之间建立点到点的安全隧道连接,实现访问总部的网络资源和业务系统。IPSEC VPN的组网方式较为灵活,可采用点对多点或点对点方式实现总部与各分支连接,总部VPN网关负责响应各分支VPN网关的请求,需要配置固定IP地址,各个分支机构部署VPN网关,可采用静态IP或动态IP方式,与总部建立VPN隧道。
2. 配置思路
2.1组网架构
2.2测试拓扑
2.3 IP地址规划
2.4安全策略
- 创建允许VPN流量访问策略
- 创建允许总部与分公司的内网网络互通策略
- 创建允许分公司访问总部ERP、文件服务器、FTP服务器等业务策略
2.5 NAT策略
- 在防火墙上做NAT地址转换,允许内网用户上网。
- VPN流量不走NAT,直接转发。
3. 分公司FWA配置
1.设备名称更改
#
sysname FWA
#
2.开启DHCP服务
#
dhcp enable
#
3.配置接口及将接口加入区域
#
interface GigabitEthernet1/0/0undo shutdownip address 192.168.1.254 255.255.255.0service-manage ping permitdhcp select interface
#
interface GigabitEthernet1/0/1undo shutdownip address 100.1.1.1 255.255.255.0 /配置公网IP地址service-manage ping permit /允许pingipsec policy klt /在接口下调用ipsec policy策略
#
firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/1
#
4.配置静态路由
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.2
#
5.创建感兴趣流(内网业务的VPN流量)
#
acl number 3001rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
6.配置IPSEC VPN6.1 配置IKE Proposal
#
ike proposal 1 /创建ike安全提议,名称为1encryption-algorithm aes-256 /配置加密算法为aes-256dh group14
authentication-algorithm sha2-256 /配置认证算法为sha2-256
authentication-method pre-share /认证模式为预共享密钥
#
6.2 配置IKE Peer
#
ike peer 12 /创建ike对等体,名称为12。pre-shared-key %^%#fUIiD9jVgDb/qVQyaG_OR<Zh3KY7:N>z#[N0X)A7%^%# /设置预共享密钥的密码ike-proposal 1 /引用ike安全提议remote-address 200.1.1.1 /对端的公网IP
#
6.3 配置IPSEC Proposal
#
ipsec proposal 1 /创建ipsec提议,名称为1。esp authentication-algorithm sha2-256 /使用esp对在公网上传输的数据进行加密,认证模式使用sha2-256esp encryption-algorithm aes-256 /使用esp对在公网上传输的数据进行加密,加密模式使用aes-256
#
6.4 配置IPSEC Policy
#
ipsec policy klt 5 isakmp /创建ISAKMP方式IPSec安全策略security acl 3001 /引用acl,将感兴趣流与ipsec policy绑定ike-peer 12 /将ike对等体与ipsec policy绑定proposal 1 /将安全提议与ipsec policy绑定,一个ISAKMP方式IPSec安全策略最多可以引用12个IPSec安全提议
#
6.5 将ipsec policy应用到接口
#
interface GigabitEthernet1/0/1undo shutdownip address 100.1.1.1 255.255.255.0service-manage ping permitipsec policy klt /引用ipsec策略
#
7.创建自定义服务,允许500端口(IKE协议所用到)
#
ip service-set isakmp type object 16service 0 protocol udp source-port 500 destination-port 500
#
8.创建安全策略
#
security-policyrule name Permit-Internetsource-zone trustdestination-zone untrustaction permitrule name yewosource-zone trustsource-zone untrustdestination-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0source-address 192.168.2.0 mask 255.255.255.0destination-address 192.168.1.0 mask 255.255.255.0destination-address 192.168.2.0 mask 255.255.255.0action permitrule name vpnsource-zone localsource-zone untrustdestination-zone localdestination-zone untrustsource-address 100.1.1.1 mask 255.255.255.255source-address 200.1.1.1 mask 255.255.255.255destination-address 100.1.1.1 mask 255.255.255.255destination-address 200.1.1.1 mask 255.255.255.255service isakmpservice protocol 50action permit
#
9.创建NAT策略
#
nat-policyrule name VPN /VPN流量一定要放在最前端!source-address 192.168.1.0 mask 255.255.255.0destination-address 192.168.2.0 mask 255.255.255.0action no-natrule name Permit-Internet /允许内网用户上网source-zone trustdestination-zone untrustaction source-nat easy-ip
#
4. 总部FWB配置
1. 修改设备名称
#
sysname FWB
#
2. 开启DHCP服务
#
dhcp enable
#
3. 配置接口IP及将接口加入区域中
#
interface GigabitEthernet1/0/0undo shutdownip address 192.168.2.254 255.255.255.0service-manage ping permitdhcp select interface
#
interface GigabitEthernet1/0/1undo shutdownip address 200.1.1.1 255.255.255.0service-manage ping permitipsec policy sozon
#
#
firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/1
#
4. 配置静态路由
#
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
#
5. 定义感兴趣流
#
acl number 3001rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
6. 配置IPSEC VPN
6.1 配置IKE Proposal安全提议
#
ike proposal 1encryption-algorithm aes-256 dh group14 authentication-algorithm sha2-256 authentication-method pre-shareintegrity-algorithm hmac-sha2-256 prf hmac-sha2-256
#
6.2 配置IKE对等体
#
ike peer 12pre-shared-key %^%#}@%vHBNwt7vc<\"Zl#[7ME+;;vT`*7qB8Y&:@V6~%^%#ike-proposal 1remote-address 100.1.1.1
#
6.3 创建IPSEC Proposal安全提议
#
ipsec proposal 1esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256
#
6.4 创建IPSEC Policy
#
ipsec policy sozon 5 isakmpsecurity acl 3001ike-peer 12proposal 1
#
6.5 将IPSEC POLICY应用到接口上
#
interface GigabitEthernet1/0/1undo shutdownip address 200.1.1.1 255.255.255.0service-manage ping permitipsec policy sozon
#
6.6 创建自定义服务
#
ip service-set isakmp type object 16service 0 protocol udp source-port 500 destination-port 500
#
6.7 配置安全策略
#
security-policyrule name shangwangsource-zone trustdestination-zone untrustaction permitrule name yewosource-zone trustsource-zone untrustdestination-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0source-address 192.168.2.0 mask 255.255.255.0destination-address 192.168.1.0 mask 255.255.255.0destination-address 192.168.2.0 mask 255.255.255.0action permitrule name vpnsource-zone localsource-zone untrustdestination-zone localdestination-zone untrustsource-address 100.1.1.1 mask 255.255.255.255source-address 200.1.1.1 mask 255.255.255.255destination-address 100.1.1.1 mask 255.255.255.255destination-address 200.1.1.1 mask 255.255.255.255service isakmpservice protocol 50action permit
#
7. 创建NAT策略
#
nat-policyrule name VPNsource-address 192.168.2.0 mask 255.255.255.0destination-address 192.168.1.0 mask 255.255.255.0action no-natrule name shangwangsource-zone trustdestination-zone untrustaction source-nat easy-ip
#
5. 访问测试
华为防火墙配置IPSEC实现二个站点间网络互通 隧道模式 CLI配置 (三)相关推荐
- CentOS6.8 链路聚合网络主备模式的配置 创建、删除
一.配置之前有几点坑需要点一下 1.通过cat /proc/net/bonding/bond0来查看模式的时候,如果一直都是rr模式,但是/etc/modprobe.d/dist.conf文件里面指定 ...
- CiscoAIR-AP1832I-H-K9最全刷机步骤和WEB页面及控制器模式CLI配置。
CiscoAP-1832I-H-K9刷机和web页面基本配置 实验准备: 一. 准备工具:console线.网线.文件传输工具<TFTPD64>.SecureCRT软件.IOS文件. 二. ...
- 浏览器配置异常_浏览器配置错误 设置为可信站点或调整当前浏览器模式
"浏览器模式"功能在IE浏览器中的主要目的是为 web 开发人员若要测试该网站.当使用者造访网站也尚未支持新的 Internet Explorer,这也成为使用者对某项功能或某种方 ...
- 计算机网络实验(思科模拟器Cisco Packet Tracer)配置静态路由使三台pc机网络互通
如何配置静态路由? 设备: 三台路由器.三台交换机.三台pc机 要求: 任意两台pc机之间都能ping通 拓扑图如下 pc机配置 pc1 IP:192.168.10.1 Mask:255.255.25 ...
- virtualbox 创建桥接网络_VirtualBox 配置虚拟网卡(桥接),实现主机-虚拟机网络互通(图文教程)...
网上搜出来的比较乱,讲的不明不白,因此根据自己弄过一次,确认可行的方式,做个备份,方便日后查阅. 环境: 在Oracle VM VirtualBox中安装的Ubuntu,具体版本名是:ubuntu-1 ...
- 使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec ***
一.背景 1.需求 因为为了安全的考虑,之前我们的服务都是映射到远程的端口,这样安全隐患比较大,虽然一些端口是不常见的端口,但是离职的人员还是可以知道的,我们需要设置成只能在办公室内才可以连接我们内部 ...
- 华为防火墙ipsec vp*实例配置
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现双方内网互通 配置思路 1.预配底层,VLAN10与VLAN20网关起在FW1与FW2上:F ...
- 华为防火墙基础自学系列 | Site to Site IPSec VdPdNd
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- 华为防火墙配置(防火墙NAT)
目录 前言 一.防火墙NAT概述 1.防火墙NAT策略介绍 2.NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3.NA ...
- 华为防火墙SSL VPN隧道连接实验配置
远程拨号用户发起SSL VPN隧道连接实验配置 文章目录 远程拨号用户发起SSL VPN隧道连接实验配置 前言 一.实验拓扑 二.实验步骤: 1.AR1 2.LNS 三.Web登录防火墙配置 总结测试 ...
最新文章
- 小程序 按需_小程序后台操作,新手需知道的几个要点
- inrange函数 python_为什么OpenCV的inRange函数不将我的HSV图像转换成二进制?
- Proe5.0导出PDF至配置文件的相关方法,VC++
- 数据结构和算法分析学习笔记(三)--二叉查找树的懒惰删除(lazy deletion)
- css-6 df15,webpack 样式文件的代码分割(15)
- 微云存照片会变模糊吗_手机自带微云台防抖,VivoX50系列不一般
- mysql5.6 in走索引吗_MySQL5.6 单列、多列索引以及IN语句的优化(翻译)
- hand keypoint detection in single images using multiview bootstrapping
- 如何杀死一个已经detached的screen会话?
- 【最小生成树】还是畅通工程
- 04.spring boot配置文件--yml
- TwinCAT 3 EtherCAT控制伺服
- 12.15 小程序验证码点击刷新
- 商品库存清单案例(Java)
- matlab 信道容量的迭代算法,实验二一般信道容量迭代算法详解.ppt
- 女巫攻击Sybil Attack 笔记
- LBS 是什么服务?
- Rime常用配置||输入默认英文
- TestBird成为全球最大手游测试平台
- 沈剑架构师训练营,最新金九银十JAVA面试合集