【华为】IPsec VPN 实验配置(地址固定)

这篇具有很好参考价值的文章主要介绍了【华为】IPsec VPN 实验配置(地址固定)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

注意

因为本篇文章,就是IPsec的实验配置的话,它们两端的IP地址是固定
那么就用第一阶段的主模式(Main Mode)
和第二阶段的快速模式(Quick Mode)就好啦
后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。分部子网为202.101.23.0/24,总部子网为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

配置思路

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 第一阶段 IKE SA
    ① 配置IKE安全提议,定义IKE保护数据流方法
    ② 配置IKE对等体,定义对等体间IKE协商时的属性

  3. 第二阶段 IPsec SA
    ① 配置ACL,以定义需要IPSec保护的数据流
    ② 配置IPSec安全提议,定义IPSec的保护方法
    ③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

  4. 在接口上应用安全策略组,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

R1

基础配置

配置R1的基础配置,再用默认路由实现公网可达

[Huawei]sysn R1
[R1]undo info-center enable    ## 关闭CLI系统提示消息

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0/0]qu

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24    
[R1-GigabitEthernet0/0/1]qu

[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 配置R1的IKE安全提议 ,名字为 1
[R1]ike proposal 1
[R1-ike-proposal-1]encryption-algorithm 3des-cbc  ## 加密算法
[R1-ike-proposal-1]authentication-algorithm md5   ## 认证算法
[R1-ike-proposal-1]dh group5                      ## dh组5
[R1-ike-proposal-1]qu

## 配置IKEv1对等体,名字为 1,配置预共享密钥和对端ID
[R1]ike peer 1 v1                            ## 版本要一致
[R1-ike-peer-1]ike-proposal 1                ## 关联IKE的安全提议
[R1-ike-peer-1]pre-shared-key simple 520     ## 预共享密钥也要一致
[R1-ike-peer-1]remote-address 202.101.23.3   ## 配置对端地址
[R1-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

##配置高级ACL,匹配子网192.168.10.0/24去子网192.168.20.0/24的数据
[R1]acl 3000
[R1-acl-adv-3000]rule per ip source 192.168.10.0 0.0.0.255 destination 192.168.2
0.0 0.0.0.255
[R1-acl-adv-3000]qu

## 配置IPSec安全提议,命名为 1
[R1]ipsec proposal 1
[R1-ipsec-proposal-1]esp encryption-algorithm 3des        ## 采用ESP加密封装
[R1-ipsec-proposal-1]esp authentication-algorithm md5     ## 采用ESP认证
[R1-ipsec-proposal-1]encapsulation-mode tunnel            ## 传输模式为隧道模式
[R1-ipsec-proposal-1]qu

## 配置IKE协商方式安全策略,命名为 mypolicy  优先级为 1
[R1]ipsec policy mypolicy 1 isakmp 
[R1-ipsec-policy-isakmp-mypolicy-1]ike-peer 1             ## 关联IKE的对等体
[R1-ipsec-policy-isakmp-mypolicy-1]proposal 1             ## 关联IPsec 安全提议
[R1-ipsec-policy-isakmp-mypolicy-1]security acl 3000      ## 匹配需要保护的ACL数据流
[R1-ipsec-policy-isakmp-mypolicy-1]qu
 
## 接口上调用安全策略组
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy mypolicy             ## 调用策略mypolicy
[R1-GigabitEthernet0/0/0]qu

ISP_R2

基础配置

[Huawei]sysn ISP_R2

[ISP_R2]undo info-center enable
[ISP_R2]int g0/0/0
[ISP_R2-GigabitEthernet0/0/0]ip address 202.101.12.2 24
[ISP_R2-GigabitEthernet0/0/0]qu

[ISP_R2]int g0/0/1
[ISP_R2-GigabitEthernet0/0/1]ip address 202.101.23.2 24
[ISP_R2-GigabitEthernet0/0/1]qu

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达

[Huawei]sysn R3

[R3]undo info-center enable
Info: Information center is disabled.

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0/0]qu

[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/0/1]qu

[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]authentication-algorithm md5 
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu
	
[R3]ike peer 1 v1	 
[R3-ike-peer-1]ike-proposal 1
[R3-ike-peer-1]pre-shared-key simple 520   
[R3-ike-peer-1]remote-address 202.101.12.1
[R3-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.2
55 
[R3-acl-adv-3000]qu

[R3]ipsec proposal 1
[R3-ipsec-proposal-1]encapsulation-mode tunnel 
[R3-ipsec-proposal-1]esp authentication-algorithm md5 
[R3-ipsec-proposal-1]esp encryption-algorithm 3des 
[R3-ipsec-proposal-1]qu

[R3]ipsec policy mypolicy 1 isakmp 
[R3-ipsec-policy-isakmp-mypolicy-1]ike-peer 1
[R3-ipsec-policy-isakmp-mypolicy-1]proposal 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]qu

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy mypolicy
[R3-GigabitEthernet0/0/0]qu

PC

PC1

【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

PC2

【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

检查

抓包查看(华为的IPsec VPN 是自己触发的,可以不用手动去Ping呀)
【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

建立成功

里面主模式交换六个报文,成功协商IKE SA
而快速模式的三个报文,就成功的协商IPsec SA
这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~
【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

查看命令

查看IKE SA的基本信息
[R1]display ike sa
【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全
查看IPsec SA的基本信息
[R1]display ipsec sa

【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
提醒一下呀,就是先把自己需要改的东西先改好,然后再刷新一下
因为华为的IPsec是自动建立的

reset ike sa all
reset ipsec sa

【华为】IPsec VPN 实验配置(地址固定),网工 - 华为,华为,网络,智能路由器,运维,安全

配置文档

R1

sys
sysn R1 

undo info-center enable       

int g0/0/0
ip address 202.101.12.1 24
qu
int g0/0/1
ip address 192.168.10.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm md5 
dh group5
qu
	

ike peer 1 v1	 
ike-proposal 1
pre-shared-key simple 520   
remote-address 202.101.23.3
qu

ipsec proposal 1
encapsulation-mode tunnel 
esp authentication-algorithm md5 
esp encryption-algorithm 3des 
qu

acl 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 
qu

ipsec policy mypolicy 1 isakmp 
ike-peer 1
proposal 1
security acl 3000
qu

int g0/0/0
ipsec policy mypolicy
qu


R2

sys
sysn R2
int g0/0/0
ip address 202.101.12.2 24
qu
int g0/0/1
ip address 202.101.23.2 24
qu

R3文章来源地址https://www.toymoban.com/news/detail-818326.html


sys
sysn R3

undo info-center enable

int g0/0/0
ip address 202.101.23.3 24
qu
int g0/0/1
ip address 192.168.20.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm md5 
dh group5
qu
	

ike peer 1 v1	 
ike-proposal 1
pre-shared-key simple 520   
remote-address 202.101.12.1
qu

ipsec proposal 1
encapsulation-mode tunnel 
esp authentication-algorithm md5 
esp encryption-algorithm 3des 
qu

acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
qu

ipsec policy mypolicy 1 isakmp 
ike-peer 1
proposal 1
security acl 3000
qu

int g0/0/0
ipsec policy mypolicy
qu

到了这里,关于【华为】IPsec VPN 实验配置(地址固定)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • IPSEC VPN安全介绍以及相关实验

    目录 一、IPSEC相关的安全服务          二、IPSEC的安全协议 三、实验 IPSEC一组协议集合,用于确保在IP网络上进行通信时的安全性和保密性。它提供了一种标准化的方法,用于对IP数据包进行加密、身份验证和完整性保护。IPSEC通常用于建立虚拟私人网络VPN连接,但也可用

    2024年03月10日
    浏览(35)
  • 安全防御--IPsec VPN点到点的实验

    在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。 数据认证的主要作

    2024年02月04日
    浏览(39)
  • 华为防火墙SSL VPN隧道连接实验配置

    用于远程访问VPN,工作在应用层与传输层之间 SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。 SSL与IPSec、L2TP的区别: 1.IPSec、L2TP缺点:远程用户终端

    2024年02月12日
    浏览(44)
  • 企业网 SSL VPN 史诗级配置-华为ensp毕设实验

    最初的实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通) SSL VPN配置开始 1、桥接虚拟机 在

    2024年02月04日
    浏览(48)
  • IPSec VPN原理与配置

    目录 一、实验原理 ipsec vpn的目的 ipsec vpn的原理 二、  IPSec VPN概念 1、什么是IPSec 2、IPSec架构 3、SA  (Security Association,安全联盟) 4、  IPSec协议封装模式 三、实验操作 四、实验配置 1、项目要求: 一、路由器RTA  1、更改路由器名字,配置端口ip,配置静态路由,实现网络

    2024年02月15日
    浏览(32)
  • 防火墙Ipsec vpn的配置

    拓补图 1.  IP地址的配置,略 2. 路由的配置 [FW1]ip route-static  0.0.0.0 0 100.1.1.1 [FW2]ip route-static 0.0.0.0 0 100.1.2.1 3. 防火墙划分区域 [FW1]firewall zone trust  [FW1-zone-trust]add interface  g1/0/0 [FW1-zone-trust]add interface g1/0/2 [FW1]firewall zone  untrust [FW1-zone-untrust]add interface  g1/0/1 [FW2]firewall zone  

    2024年02月08日
    浏览(36)
  • 【网工】华为设备命令学习(综合实验一)

    实验要求和实验成果如图所示。 LSW2不需要其他配置,其下就一台设备,不需要区分。 LSW3配置如下: Huaweisy     Enter system view, return user view with Ctrl+Z. [Huawei]un in en        //关闭系统提示信息 Info: Information center is disabled. [Huawei]vlan 20        //创建vlan20 [Huawei-vlan20]q [Huaw

    2024年02月20日
    浏览(44)
  • 配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)

    正文共:1444 字 18 图,预估阅读时间:2 分钟 关于IPsec VPN,我们已经有一个合集了 ( IPsec VPN ) 。之前接触比较多的是H3C的IPsec VPN,后来接触的厂家多了,才发现大家的模型或者叫法还是存在一些差异的。比如今天我们要配置的Juniper的IPsec VPN,分为 Policy-Based IPsec VPNs(基于

    2024年02月22日
    浏览(44)
  • 华为网工实验(VRRP多网关负载分担,OSPF基础操作)

    采用VRRP多网关负载分担实现流量的负载均衡 配置思路:首先配置各个接口ip,让设备间能够实现通信,采用OSPF协议实现通信,然后AR2 AR3创建两个备份组,主备不同的两个备份组 三台配置完成后此时可以验证OSPF的配置 三台设备 OSPF配置完成后,然后开始配置备份组 备份组1:

    2024年02月09日
    浏览(42)
  • 【华为_安全】防火墙IPsec双机实验

    学习华为防火墙IPsec双机实验记录 ensp拓扑链接:拓扑 防火墙登录账号都为admin 密码为Huawei@123 总部: 两台防火墙 采用双机部署,分别连接到ISP1、ISP2 总部两台防火墙的 ISP1 出口是 G0/0/3,连接 ISP2 的出口是 G0/0/5,缺省情况下,流量走 FW1 的 G0/0/3 接口 两台防火墙 作为内网用

    2024年02月04日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包