H3C防火墙及IPsec综合实验
2024-04-14 08:08:21
文章目录
- H3C防火墙以及IPsec综合实验
- 1 实验拓扑和需求
- 1.1 网络拓扑
- 1.2 实验需求
- 1.3 实验思路
- 1.4 实验环境
- 2 实验配置
- 2.1 设备IP地址配置
- 2.2 OSPF配置
- 2.2.1 SW1 OSPF配置
- 2.2.2 SW2 OSPF配置
- 2.2.3 Master OSPF配置
- 2.2.4 防火墙OSPF配置
- 2.3 防火墙区域和策略配置
- 2.3.1 防火墙安全区域配置
- 2.3.1 放行总部所有业务网段到Internet的流量
- 2.3.2 放行总部业务网段之间的流量
- 2.3.3 放行总部与分部之间的流量
- 2.3.4 放行OSPF报文
- 2.4 Easy-ip配置
- 2.4.1 总部出口路由配置
- 2.4.2 分部出口路由器的配置
- 2.4.3 NAT配置注意事项
- 2.5 IPsec配置
- 2.5.1 Master路由器配置
- 2.5.2 Branch路由器配置
- 3 实验结果
- 3.1 连通性测试
- 3.2 信息显示
H3C防火墙以及IPsec综合实验
1 实验拓扑和需求
1.1 网络拓扑
实验中所有设备的地址配置都如图上标注。
设备名称对应表
| 设备名称 | 对应设备 |
|---|---|
| F1000_1 | FW |
| S5820V2-54QS-GE_2 | SW1 |
| S5820V2-54QS-GE_3 | SW2 |
| MSR36-20_4 | Master |
| MSR36-20_5 | ISP |
| MSR36-20_6 | Branch |
1.2 实验需求
- 总部所有业务网段之间都能正常互访
- 总部所有业务网段都能访问internet,但是Internet不能访问业务网段
- 总部和分部之间的业务网段能进行互访
1.3 实验思路
- 总部内网通过ospf实现网络路由,以使总部业务网段能互通。
- 总部和分部之间的出口路由器都配置easy-ip使业务网段能正常上网。
- 由于业务交换机和出口路由以及分部之间做了防火墙隔离,因此实现上面这些需求需要在防火墙上配置相应策略放行相关流量。
- 部署IPsec VPN使总部与分部之间实现互访。
1.4 实验环境
软件为HCL v5.7.1模拟器
交换设备为S5820V2-54QS
路由设备为MSR36_20
防火墙为F1060
2 实验配置
2.1 设备IP地址配置
按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
2.2 OSPF配置
OSPF的区域划分为,和防火墙直连的网段全部选告进area 0,业务交换机上的业务网段宣告进area 1。
2.2.1 SW1 OSPF配置
[SW1-ospf-1]dis th
ospf 1 router-id 2.2.2.2area 0.0.0.0network 192.168.1.0 0.0.0.255area 0.0.0.1network 172.16.0.0 0.0.0.255network 172.16.1.0 0.0.0.255network 172.16.2.0 0.0.0.255network 172.16.3.0 0.0.0.255
2.2.2 SW2 OSPF配置
[SW2-ospf-1]dis th
#
ospf 1 router-id 3.3.3.3area 0.0.0.0network 192.168.2.0 0.0.0.255area 0.0.0.1network 172.16.4.0 0.0.3.255 #可以直接聚合这四个业务网段
2.2.3 Master OSPF配置
<Master>dis cu | be ospf
ospf 1 router-id 4.4.4.4default-route-advertise always #引入默认路由进OSPFarea 0.0.0.0network 192.168.3.0 0.0.0.255
2.2.4 防火墙OSPF配置
HCL模拟器中防火墙的账号密码为admin
<FW>dis cu | be ospf
ospf 1 router-id 1.1.1.1area 0.0.0.0network 192.168.1.0 0.0.0.255network 192.168.2.0 0.0.0.255network 192.168.3.0 0.0.0.2552.3 防火墙区域和策略配置
2.3.1 防火墙安全区域配置
将接口加入到对应的安全区域
[FW]security-zone name Trust
[FW-security-zone-Trust] import interface GigabitEthernet1/0/0
[FW-security-zone-Trust] import interface GigabitEthernet1/0/1
[FW-security-zone-Trust]
[FW]security-zone name Untrust
[FW-security-zone-Untrust] import interface GigabitEthernet1/0/2
2.3.1 放行总部所有业务网段到Internet的流量
采用security-policy进行访问控制
# 进入到安全策略视图
[FW]security-policy ip
# 设置业务到internet的规则名字
[FW-security-policy-ip]rule name yewu_untrust
# 设置源安全区域为trust,指向业务网段所造区域
[FW-security-policy-ip-4-yewu_untrust] source-zone trust
# 设置目的安全区域为untrust,指向Internet所在区域
[FW-security-policy-ip-4-yewu_untrust] destination-zone untrust
# 设置源IP子网为业务网段,这里为了方面配置进行了聚合
[FW-security-policy-ip-4-yewu_untrust] source-ip-subnet 172.16.0.0 255.255.248.0
# 设置目的地址为任意,因为Internet地址繁多
[FW-security-policy-ip-4-yewu_untrust] destination-ip-subnet 0.0.0.0 0.0.0.0
# 动作为pass,即允许通过
[FW-security-policy-ip-4-yewu_untrust] action pass
2.3.2 放行总部业务网段之间的流量
[FW-security-policy-ip]rule name yewu_yewu
# 因为这两个业务网段都属于trust区域,所以源目区域都指向trust
[FW-security-policy-ip-7-yewu_yewu]source-zone trust
[FW-security-policy-ip-7-yewu_yewu]destination-zone trust
[FW-security-policy-ip-7-yewu_yewu]source-ip-subnet 172.16.0.0 22
[FW-security-policy-ip-7-yewu_yewu]destination-ip-subnet 172.16.4.0 22
[FW-security-policy-ip-7-yewu_yewu]action pass2.3.3 放行总部与分部之间的流量
1.放行总部去往分部的流量
[FW-security-policy-ip] rule name m2b
[FW-security-policy-ip-5-m2b] source-zone trust
[FW-security-policy-ip-5-m2b] destination-zone untrust
[FW-security-policy-ip-5-m2b] source-ip-subnet 172.16.0.0 255.255.248.0
[FW-security-policy-ip-5-m2b] destination-ip-subnet 172.16.8.0 255.255.252.0
[FW-security-policy-ip-5-m2b] action pass
2.放行分部去往总部的流量
[FW-security-policy-ip] rule name b2m
[FW-security-policy-ip-6-b2m] source-zone untrust
[FW-security-policy-ip-6-b2m] destination-zone trust
[FW-security-policy-ip-6-b2m] source-ip-subnet 172.16.8.0 255.255.252.0
[FW-security-policy-ip-6-b2m] destination-ip-subnet 172.16.0.0 255.255.248.0
[FW-security-policy-ip-6-b2m] action pass
2.3.4 放行OSPF报文
1.放行外部区域进入防火墙的流量,使其他设备可以和防火墙进行ospf报文交换
[FW-security-policy-ip]rule name ospfinlocal
# 指定源区域为与防火墙相连的区域
[FW-security-policy-ip-0-ospfinlocal] source-zone trust
[FW-security-policy-ip-0-ospfinlocal] source-zone untrust
# 目的区域为防火墙所在的Local区域
[FW-security-policy-ip-0-ospfinlocal] destination-zone local
# 指定应用的服务
[FW-security-policy-ip-0-ospfinlocal] service ospf
[FW-security-policy-ip-0-ospfinlocal] action pass2.放行防火墙出去的流量,使其他设备可以和防火墙进行ospf报文交换
[FW-security-policy-ip] rule name ospfoutlocal
[FW-security-policy-ip-3-ospfoutlocal] source-zone local
[FW-security-policy-ip-3-ospfoutlocal] destination-zone untrust
[FW-security-policy-ip-3-ospfoutlocal] destination-zone trust
[FW-security-policy-ip-3-ospfoutlocal] service ospf
[FW-security-policy-ip-3-ospfoutlocal] action pass
3.放行untrust到trunst区域的流量,使trust到untrust之间的报文可通
[FW-security-policy-ip] rule name u2t
[FW-security-policy-ip-1-u2t] source-zone untrust
[FW-security-policy-ip-1-u2t] destination-zone trust
# 源目子网为和防火墙直连的,分别位于untrust和trust的网段
[FW-security-policy-ip-1-u2t] source-ip-subnet 192.168.3.0 255.255.255.0
[FW-security-policy-ip-1-u2t] destination-ip-subnet 192.168.1.0 255.255.255.0
[FW-security-policy-ip-1-u2t] destination-ip-subnet 192.168.2.0 255.255.255.0
[FW-security-policy-ip-1-u2t] action pass
4.放行trust到untrunst区域的流量,使untrust到trust之间的报文可通
[FW-security-policy-ip] rule name t2u
[FW-security-policy-ip-2-t2u] source-zone trust
[FW-security-policy-ip-2-t2u] destination-zone untrust
# 源目子网为和防火墙直连的,分别位于trust和untrust的网段
[FW-security-policy-ip] source-ip-subnet 192.168.1.0 255.255.255.0
[FW-security-policy-ip-2-t2u] source-ip-subnet 192.168.2.0 255.255.255.0
[FW-security-policy-ip-2-t2u] destination-ip-subnet 192.168.3.0 255.255.255.0
[FW-security-policy-ip-2-t2u] action pass
2.4 Easy-ip配置
2.4.1 总部出口路由配置
# 使用acl抓取总部业务网段流量
[Master]acl advanced 3000
[Master-acl-ipv4-adv-3000] rule 0 deny ip source 172.16.0.0 0.0.7.255 destination 172.16.8.0 0.0.3.255
[Master-acl-ipv4-adv-3000] rule 5 permit ip source 172.16.0.0 0.0.7.255# 在接入internet的接口上应用端口转换
[Master]interface GigabitEthernet0/1
[Master-GigabitEthernet0/1] nat outbound 3000
2.4.2 分部出口路由器的配置
# 使用acl抓取分部业务网段流量
[Branch]acl advanced 3000
[Branch-acl-ipv4-adv-3000] rule 0 deny ip source 172.16.8.0 0.0.3.255 destination 172.16.0.0 0.0.7.255
[Branch-acl-ipv4-adv-3000] rule 5 permit ip source 172.16.8.0 0.0.3.255# 在接入internet的接口上应用端口转换
[Branch]interface GigabitEthernet0/0
[Branch-GigabitEthernet0/0] nat outbound 3000
2.4.3 NAT配置注意事项
在这一步可能有人会提出问题为什么配置了两条ACL,而且第一条还要拒绝?
这是一个很值得思考的问题,单独做NAT的话,第一条策略确实显得多余了,但是在这里出口路由器不仅仅用于NAT,还被用做IPsec VPN。我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。
所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。
2.5 IPsec配置
本配置通过IKE自动协商IPsec SA,工作模式采用主模式、安全协议采用ESP、封装方式采用隧道封装
2.5.1 Master路由器配置
- 配置感兴趣流
[Master-acl-ipv4-adv-3001]acl advanced 3001
[Master-acl-ipv4-adv-3001] rule 0 permit ip source 172.16.0.0 0.0.7.255 destination 172.16.8.0 0.0.3.255
- 创建ike proposal(IKE提议)
# 创建ike proposal 1
[Master]ike proposal 1
# 加密算法为aes-cbc-128
[Master-ike-proposal-1]encryption-algorithm aes-cbc-128
# 认证方法为预共享秘钥
[Master-ike-proposal-1]authentication-method pre-share
# 认证算法为sha
[Master-ike-proposal-1]authentication-algorithm sha
- 创建ike keychain(IKE秘钥)
# 创建预共享秘钥
[Master]ike keychain key1
# 指定对端地址,设置秘钥为123456
[Master-ike-keychain-key1]pre-shared-key address 100.2.2.2 255.255.255.0 key simple 123456
- 创建ike profile(IKE模板)
# 创建模板p1
[Master]ike profile p1
# 指定使用的秘钥
[Master-ike-profile-p1] keychain key1
# 指定使用IP地址标识本端身份
[Master-ike-profile-p1] local-identity address 100.1.1.1
# 指定匹配对端的身份类型为ip地址
[Master-ike-profile-p1] match remote identity address 100.2.2.2 255.255.255.0
# 指定使用的提议
[Master-ike-profile-p1] proposal 1
[Master-ike-profile-p1]
- 创建IPsec tranform-set(ipsec转换集/模板)
# 创建ipsec转换集tran1
[Master]ipsec transform-set tran1
# 指定esp加密算法
[Master-ipsec-transform-set-tran1]esp encryption-algorithm aes-cbc-128
# 指定esp认证算法
[Master-ipsec-transform-set-tran1] esp authentication-algorithm sha1
# 指定安全协议为esp
[Master-ipsec-transform-set-tran1]protocol esp
# 指定封装模式为隧道模式
[Master-ipsec-transform-set-tran1]encapsulation-mode tunnel
- 创建ipsec policy(ipsec策略)
# 创建ipsec安全策略
[Master]ipsec policy policy1 1 isakmp
# 指定ipsec转换集
[Master-ipsec-policy-isakmp-policy1-1] transform-set tran1
# 指定感兴趣流
[Master-ipsec-policy-isakmp-policy1-1] security acl 3001
# 指定隧道的本端地址
[Master-ipsec-policy-isakmp-policy1-1] local-address 100.1.1.1
# 指定隧道的对端地址
[Master-ipsec-policy-isakmp-policy1-1] remote-address 100.2.2.2
# 指定IPsec安全策略模板引用的IKE模板
[Master-ipsec-policy-isakmp-policy1-1] ike-profile p1
- 在接口应用ipsec策略
[Master]interface GigabitEthernet0/1# 应用ipsec安全策略[Master-GigabitEthernet0/1]ipsec apply policy policy1
2.5.2 Branch路由器配置
# 配置感兴趣流
acl advanced 3001rule 0 permit ip source 172.16.8.0 0.0.3.255 destination 172.16.0.0 0.0.7.255# 创建ike proposal(IKE提议)
ike proposal 1encryption-algorithm aes-cbc-128authentication-method pre-share authentication-algorithm sha# 创建IKE秘钥
ike keychain key1pre-shared-key address 100.1.1.1 255.255.255.0 key simple 123456# 创建IKE模板
ike profile p1keychain key1local-identity address 100.2.2.2match remote identity address 100.1.1.1 255.255.255.255# 创建ipsec转换集
ipsec transform-set tran1esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1protocol espencapsulation-mode tunnel # 创建ipsec安全策略
ipsec policy policy1 1 isakmptransform-set tran1 security acl 3001 local-address 100.2.2.2remote-address 100.1.1.1ike-profile p1# 下发安全策略到相应端口
interface GigabitEthernet0/0ipsec apply policy policy1
#
3 实验结果
3.1 连通性测试
注意点:由于路由器和交换机默认会使用包的出接口地址作为源地址发起请求,因此测试需要使用-a参数带源地址发起ping请求。
SW1上的总部业务网段能访问ISP
SW2上的总部业务网段同样能访问ISP
分部上的业务网段也能访问ISP
SW1业务网段和SW2业务网段能互访
SW1的业务网段和SW2的业务网段能和分部实现互访
SW1业务网段<—>分部业务网段
SW2业务网段<—>分部业务网段
3.2 信息显示
IKE SA信息
IPsec SA信息
防火墙上的OSPF邻居信息
wireshark抓包信息
下面是在Master的公网口进行抓包,。该包是172.16.0.1发给100.3.3.1的ping包,从包中信息可以看到源地址转换成了公网口IP地址。
下面这个包是在Master的公网口抓取的发给分部的包,可以看到其安全协议是ESP,源目IP地址分别为隧道两端的地址。
H3C防火墙及IPsec综合实验相关推荐
- 防火墙之ipsec vpn实验
防火墙之ipsec vpn命令行配置 项目介绍 项目拓扑 项目需求 配置命令 isp路由器配置: 分公司防火墙(FW1)配置: 接口配置ip和接口划入区域的配置: ipsec相关配置: 安全策略的配置 ...
- H3C 防火墙混合实验 新华三杯拆解
H3C 防火墙混合实验 一.项目拓扑 二.项目需求 三.配置步骤 1. 配置IP地址 2. FW默认路由,FW指向internet 3. 绑定防火墙安全域端口 4. 配置防火墙安全策略 5. OSPF ...
- H3C GRE over IPsec实验
GRE over IPsec VPN实验 一.拓扑图 二.组网需求 三.配置步骤 1.配置各设备IP地址 2.配置默认路由 3.配置DHCP 4.配置 GRE over IPsec VPN (1)在 ...
- 基于eNSP中大型校园/企业网络规划与设计_ensp综合大作业(ensp综合实验)
作者:BSXY_19计科_陈永跃 BSXY_信息学院 注:未经允许禁止转发任何内容 基于eNSP中大型校园/企业网络规划与设计_综合大作业(ensp综合实验) 前言及技术/资源下载说明( **未经允许 ...
- 基于eNSP的IPv6校园网络规划与设计_综合实验
作者:BSXY_19计科_陈永跃 BSXY_信息学院 注:未经允许禁止转发任何内容 基于eNSP的IPv6校园网络规划与设计(综合实验) 前言及技术/资源下载说明( **未经允许禁止转发任何内容** ...
- 基于eNSP的IPv4加IPv6的企业/校园网络规划设计(综合实验/大作业)
作者:BSXY_19计科_陈永跃 BSXY_信息学院_名片v位于结尾处 注:未经允许禁止转发任何内容 基于eNSP的IPv4加IPv6的企业/校园网络规划设计_综合实验/大作业 前言及技术/资源下载说 ...
- eNSP综合实验合集(eNSP综合大作业合集)_可先收藏
作者:BSXY_19计科_陈永跃 BSXY_信息学院 注:未经允许禁止转发任何内容 **注:在该文章中就只对ensp综合实验做一个总结和归纳,只给出相应的topo图和需求说明和对应的文章的连接.有什么 ...
- SSLGET ×××综合实验题
SSL&GET ×××综合实验题 1.网络拓扑 2.网络需求 KS与Inside1.Inside2.DMZ2建立GET ×××,ASA对外提供SSL ×××. 3.具体配置 KS: ip do ...
- H3C防火墙实现NAT+DHCP
实验要求:使用防火墙,使内网中的PC自动获得IP地址,而且经过NAT转换,使内网内的主机能够正常访问因特网. 实验设备:H3C防火墙 拓扑图: 由于网络环境是处于局域网(192.168.102.0/2 ...
最新文章
- 2021年大数据常用语言Scala(二):Scala开发环境安装
- linux-java
- ssh客户端_Mobaxterm-不止是一款好用的SSH客户端软件
- Java入门算法(排序篇)丨蓄力计划
- 渗透测试小马(一句话)篇
- Spring Boot数据持久化之NamedParameterJdbcTemplate
- mysql如何将多条返回结果的一个字段合并成一条
- 你绝对想不到,会Linux的程序员,到底有多吃香!
- 安全加固脚本及解析等保2.0(仅供参考)
- 中间件学习——J2EE中间件四步曲
- 格力空调售后服务管理系统
- AntennaHome Launch 5G Combo Internal PCB Antenna /5G 全频 PCB天线
- [AHK]提取Win10聚焦的锁屏壁纸
- KMP复习之poj 3461 Oulipo
- 基于SpringBoot+Vue打造实验报告提交审核系统
- .Net 互联网技术(一)分布式ID生成方法生成演变
- bzoj-1031 字符加密Cipher
- BugKu:WEB——gam1
- conda env create -f conda.yml出错
- 弥漫的烟圈-Abaqus涡环仿真与空气大炮
热门文章
- 阿里P8面试扯了半小时:Java的Lock接口到底有什么用?
- 社交媒体充满谎言,搜索引擎撕开真相
- 2015计算机职称水平考试,2015年计算机职称考试高分过关秘籍
- Windows 任务管理器 PF使用率 总数 核心内存 物理内存
- Scrapy爬虫,华为商城商品数据爬虫demo
- 5分钟上手Spock
- css h英文命名站内最全css命名单词 提高英语单词技能 不在使用拼音 高大上起来 宝贝 记得收藏 一键三连
- FISCO BCOS 生态中的数字身份组件 WeIdentity 用 Sqlite 存储 WeId | Rust 学习
- 转转二手助力交易市场加速流转
- 利用 CSS 的 clip-path 属性快速画三角形