IPsec VPN 的基本配置
IPsec VPN 的基本配置
- 网络情况概述
- IPsec 配置思路:
- 基本网络配置
- 点到点IPSec 配置
Ok,终于到了配置了,理论真是太烧脑了,好像理论一共七节课,我听了半个月。
废话不多说,看图开配:
网络情况概述
B公司是A公司的异地分公司,现要求公司内网可以互相通信,并且要保证数据的安全。
R1 模拟公网部分。
网络地址规划如下:
A公司内网为 192.168.10.0/24
B公司内网为 192.168.20.0/24
A公司运营商公网网段 10.8.6.0/30
B公司运营商公网网段 10.8.6.4/30
IPsec 配置思路:
1, 配置感兴趣流:就是需要被IPsec 所保护的数据流量。要求互为镜像,不然会有些麻烦的错误。
·
2,配置Ike 安全提议:即阶段一协商的安全算法,要求双方必须一致。
·
3,配置Ike 对等体:调用Ike安全提议,决定于对端哪台设备建立SA,以及配置认证。
·
4,配置 IPsec 安全提议:即对数据流执行安全保护的协议算法,及封装方式。
·
5,配置 IPsec 安全策略:调用感兴趣流,Ike对等体,IPsec 安全提议。
·
6,在出接口上调用 IPsec 安全策略。
基本网络配置
在配置IPSec 之前要确保,双方防火墙能正常通信。
FW1:<USG6000V1>sys
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0] ip a 10.8.6.2 30
[USG6000V1-GigabitEthernet1/0/0]service-manage all p
[USG6000V1-GigabitEthernet1/0/0]description to_ISP
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip a 192.168.10.1 24
[USG6000V1-GigabitEthernet1/0/1]service-manage all p
[USG6000V1-GigabitEthernet1/0/1]description to_lan
[USG6000V1-GigabitEthernet1/0/1]quit[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
[USG6000V1-zone-trust]undo add interface g0/0/0
[USG6000V1-zone-trust]quit
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/0
[USG6000V1-zone-untrust]quit[USG6000V1]security-policy
[USG6000V1-policy-security]default action permit
[USG6000V1-policy-security]quit[USG6000V1]ip route-static 0.0.0.0 0 10.8.6.1
ISP:
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip a 10.8.6.1 30
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip a 10.8.6.5 30
[Huawei-GigabitEthernet0/0/1]quit
FW2:
<USG6000V1>sys
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip a 10.8.6.6 30
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip a 192.168.20.1 24
[USG6000V1-GigabitEthernet1/0/1]quit[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int GigabitEthernet 1/0/1
[USG6000V1-zone-trust]quit
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/0
[USG6000V1-zone-untrust]quit[USG6000V1]security-policy
[USG6000V1-policy-security]default action permit
[USG6000V1-policy-security]quit[USG6000V1]ip route-static 0.0.0.0 0 10.8.6.5
基础配置这就完事了,记得给PC配IP和网关再测试一下直连的连通性。
注意这里现在PC到ISP是不通的,因为没有配置NAT,先不配,先把最基本的IPSec弄完再说。
点到点IPSec 配置
这里我只贴上FW1的配置,FW1 和 FW2 的配置是互为镜像的,希望你能根据FW1去配出FW2
自己动过脑子,你才能去理解,去记住。
如果配不出来的话,可以去看下一篇文章IPSec点对多点的配置,根据这个去理解FW2 的配置。
匹配感兴趣流:
[USG6000V1]acl 3001
[USG6000V1-acl-adv-3001]rule 5 permit ip source 192.168.10.0 0.0.0.255 destinati
on 192.168.20.0 0.0.0.255 description to_A //匹配源地址 为192.168.10.0/24 到目的地址 192.168.20.0/24
[USG6000V1-acl-adv-3001]quit
配置Ike安全提议:
[USG6000V1]ike proposal 1
[USG6000V1-ike-proposal-1]dis this //当你创建安全提议以后,就可以看见,里面是有默认配置的,如果没有特殊要求,就不要去动了,动了以后一定要记得,两台防火墙使用的协议算法必须一致,不然协商不起来。
2022-09-21 08:26:53.010
#
ike proposal 1encryption-algorithm aes-256 //加密算法 AES-256dh group14 //DH 组长度14,是2048位的DH算法。authentication-algorithm sha2-256 // 认证算法 sha2-256authentication-method pre-share //认证方式 预共享密钥integrity-algorithm hmac-sha2-256 //完整性算法 hmac-sha2-256prf hmac-sha2-256 //配置ikev2协商时所使用的伪随机数产生函数的算法
#
return
[USG6000V1-ike-proposal-1]
[USG6000V1-ike-proposal-1]quit
[USG6000V1]dis ike proposal number 1 //进行验证查看
配置IKE对等体:
[USG6000V1]ike peer to_A
[USG6000V1-ike-peer-to_A]undo version 2
[USG6000V1-ike-peer-to_A]ike-proposal 1
[USG6000V1-ike-peer-to_A]pre-shared-key huawei123 //配置预共享密钥
[USG6000V1-ike-peer-to_A]remote-address 10.8.6.6 //配置远端防火墙公网IP
[USG6000V1-ike-peer-to_A]quit
配置IPsec 安全提议:
[USG6000V1]ipsec proposal 1
[USG6000V1-ipsec-proposal-1]dis this // 里面也是有默认配置的
2022-09-21 08:41:28.500
#
ipsec proposal 1esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256
#
return
[USG6000V1-ipsec-proposal-1]quit
配置IIPsec 安全策略:
[USG6000V1]ipsec policy POLICY_1 1 isakmp //使用哪种方式建立VPN,一共就两种,IKE和手工,这里我们选择IKE,isakmp 是 IKE的子协议。
[USG6000V1-ipsec-policy-isakmp-POLICY_1-1]security acl 3000 // 关联感兴趣流
[USG6000V1-ipsec-policy-isakmp-POLICY_1-1]ike-peer to_A //关联IKE对等体
[USG6000V1-ipsec-policy-isakmp-POLICY_1-1]proposal 1 //关联IPsec 安全提议
接口上应用安全策略
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ipsec policy POLICY_1
OK,这就配完了,FW2的照葫芦画瓢配吧,然后直接用PC互ping 验证通不通就行了,也可以在触发以后抓包看一下他的建立过程。
查看建立情况
<USG6000V1>dis ike sa
<USG6000V1>dis ipsec sa
IPsec VPN 的基本配置相关推荐
- IPSec VPN原理与配置
目录 一.实验原理 ipsec vpn的目的 ipsec vpn的原理 二. IPSec VPN概念 1.什么是IPSec 2.IPSec架构 3.SA (Security Association ...
- 基于华三HCL模拟器IPSec VPN组网与配置
一.实验原理 IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据.IPsec是一个框架协议,包括AH.ESP.SA.IKE等协议.IPsec可以采用直接传输 ...
- Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置
Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN.基于路由的 VPN.集中星形 VPN 和背靠背 VPN 等.在这里,我们主要介 ...
- 防火墙之ipsec vpn实验
防火墙之ipsec vpn命令行配置 项目介绍 项目拓扑 项目需求 配置命令 isp路由器配置: 分公司防火墙(FW1)配置: 接口配置ip和接口划入区域的配置: ipsec相关配置: 安全策略的配置 ...
- 安全防御 IPsec VPN
目录 1.什么是数据认证,有什么用,有哪些实现的技术手段? 2.什么是身份认证,有什么用,有哪些实现的技术手段? 3.什么是VPN技术? 4.VPN技术有哪些分类? 5.IPsec技术能够提供哪些安全 ...
- 【安全防御】IPsec VPN
目录 1.什么是数据认证,有什么用,有哪些实现的技术手段? 2.什么是身份认证,有什么用,有哪些实现的技术手段? 3.什么是VPN技术? 5.IPsec技术能够提供哪些安全服务? 6.IPsec的技术 ...
- 安全防御之IPsec VPN篇
目录 1.什么是数据认证,有什么用,有哪些实现的技术手段? 2.什么是身份认证,有什么用,有哪些实现的技术手段? 3.什么是VPN技术? 4.VPN技术有哪些分类? 5.IPsec技术能够提供哪些安全 ...
- 安全防御--IPsec VPN点到点的实验
1,什么是数据认证 ,有什么作用,有哪些实现的技术手段? 在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性.真实性和合法性的过程.数据在传输和存储过程中容易受到数据篡改.损坏或 ...
- 华为路由器 IPSec VPN 配置
需求: 通过 IPSecVPN 实现上海与成都内网互通 拓扑图如下: 一.首先完成网络配置 1.R1 路由器设置 <Huawei>sys [Huawei]sys R1 [R1]un in ...
最新文章
- Linux命令行文本处理工具
- Python使用sklearn构建广义线性模型:泊松回归(Poisson regression)实战
- MySQL数据备份方式,及热备与冷备的优缺点
- Android中实现Launcher功能之四---滑屏初探 scrollTo 以及 scrollBy方法使用说明
- 软件测试和系统试验,实验四 软件系统性测试
- 给一个整数数组,找到两个数使得他们的和等于一个给定的数 target。
- java多态的理解(运行时多态)_Java多态的理解
- Largest Rectangle in a Histogram (动态规划+奇思妙想单调栈)求最大矩状图面积
- 时序数据库技术体系 – InfluxDB TSM存储引擎之数据读取
- avs3 ts格式封装 标准_超能课堂(204):多媒体容器格式变迁录
- 【BZOJ2095】[Poi2010]Bridges 动态加边网络流
- 兼容性问题总结(转)
- Ext JS 6应用程序Build后出现“c is not a constructor return new c(a[0])”的处理
- 破解,汉化,越狱,解锁,为什么中国的大神总是“昙花一现”?
- 【历史上的今天】2 月 4 日:Unix 之父诞生;Facebook 上线;微软大洗牌
- 环绕声混响效果器-Acon Digital Verberate Immersive 2.2.1 WiN-MAC
- 福建将全面实现各市县政府机关软件正版化
- [学习]18 SMART原则 如何科学的制定计划
- Customers带出功能JS
- python用matplotlib画五角星_3.用Python画五角星