视频来源:B站《乾颐堂HCIP-HCIE-security安全 2019年录制》

一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客

Hub Spke IPSec VPN组网

本组网尝试使用IKE安全策略模板来建立IPSec VPN,策略模板适用于中心站点固定地址,分支站点较多并且使用动态地址的工程环境。

删除S2SVPN环境

FW1和FW2删除IPsec策略。

FW1和FW2删除安全策略。

配置流程图

交换机底层桥接

Hub(FW1)网络配置

修改g0/0/2接口地址

修改默认网关

Spoke1(FW2)网络配置

修改g0/0/2接口地址

修改默认网关

Internet(AR1)网络配置

配置Internet底层网络

Spoke(AR2)网络配置

配置Spoke2底层网络

Hub配置IPsec(Web)

Hub新建IPsec策略

场景为【点到多点】,对端接入类型为【分支网关】,不填写对端IP地址。

配置感兴趣流,接受对方的安全提议。

Hub配置安全策略(Web)

配置地址组,匹配感兴趣的IP地址。

放行安全策略

Hub配置IPsec(CLI)

Hub配置ACL

Hub配置IKE Proposal

Hub配置IKE Peer

Hub配置IPsec proposal

Hub配置IPsec模板

Hub配置IPsec policy

Hub调用IPsec policy

Hub配置地址组

Hub配置安全策略(CLI)

Hub配置安全策略

Spoke1配置IPsec(Web)

Spoke配置IPsec策略方式,和配置点到点场景没有区别。

配置感兴趣流

Spoke1配置安全策略(Web)

放行安全策略

Spoke2配置IPsec

配置ACL

配置IKE proposal

配置IKE peer

配置IPsec proposal

配置IPsec policy

接口下调用ipsec policy

Hub查看IPse状态

在Hub上查看IPsec的状态,和两个Spoke协商成功。

IPsec连通性测试

使用PC1测试到PC2和PC3的连通性。

Hub查看IKE SA

Hub查看IPsec SA

Spoke2查看IPsec SA

实验

SW1

vlan batch 10 11 16 20 30 40 41
interface Ethernet0/0/2description Link_Hub_G0/0/2port link-type accessport default vlan 11
interface Ethernet0/0/10description Link_Internet_G0/0/0port link-type accessport default vlan 11
interface Ethernet0/0/11description Link_Internet_G0/0/1port link-type accessport default vlan 41
interface Ethernet0/0/14description Link_Spoke2_G0/0/1port link-type accessport default vlan 41
interface Ethernet0/0/12description Link_Internet_G0/0/2port link-type accessport default vlan 40
interface Ethernet0/0/6description Link_Spoke1_G0/0/2port link-type accessport default vlan 40
interface Ethernet0/0/13description Link_Spoke2_G0/0/0port link-type accessport default vlan 30
interface Ethernet0/0/22description Link_HCNP_Spoke(PC3)port link-type accessport default vlan 30
复制代码

FW1(Hub)

interface g0/0/1ip address 10.1.1.10 24
interface g0/0/2ip address 202.100.10.10 24
undo ip route-static 0.0.0.0 0.0.0.0 202.100.1.11
ip route-static 0.0.0.0 0.0.0.0 202.100.10.254
// 用图形化界面配置后的结果
acl number 3000rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255rule 10 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
ike proposal 1authentication-algorithm sha2-256integrity-algorithm aes-xcbc-96 hmac-sha2-256
ike peer ike48143238157exchange-mode autopre-shared-key Huawei@123ike negotiate compatibleike-proposal 1remote-id-type none
ipsec proposal prop48143238157encapsulation-mode autoesp authentication-algorithm sha2-256
ipsec policy-template tpl48143238157 1security acl 3000ike-peer ike48143238157alias hub_ipsecproposal prop48143238157local-address applied-interfacesa duration traffic-based 200000000sa duration time-based 3600
ipsec policy ipsec4814323820 10000 isakmp template tpl48143238157
interface GigabitEthernet0/0/2ipsec policy ipsec4814323820 auto-neg
ip service-set ISAKMP type objectservice 0 protocol udp source-port 0 to 65535 destination-port 5000
security-policyrule name ipsec1source-zone localdestination-zone untrustsource-address 202.100.10.10 mask 255.255.255.255service ISAKMPservice espaction permitrule name ipsec2source-zone untrustdestination-zone localdestination-address 202.100.10.10 mask 255.255.255.255service ISAKMPservice espaction permitrule name ipsec3source-zone trustsource-zone untrustdestination-zone trustdestination-zone untrustsource-address address-set ipsecdestination-address address-set ipsecaction permit
复制代码

FW2(Spoke1)

interface g0/0/1ip address 10.1.2.10 24
interface g0/0/2ip address 202.100.1.10 24
undo ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
ip route-static 0.0.0.0 0.0.0.0 202.100.1.254
复制代码

AR1(Internet)

interface g0/0/0undo portswitchip address 202.100.10.254 24
interface g0/0/1undo portswitchip address 202.100.2.254 24
interface g0/0/2undo portswitchip address 202.100.1.254 24
复制代码

AR2(Spoke2)

interface g0/0/1undo portswitchip address 202.100.2.10 24
interface g0/0/0undo portswitchip address 10.1.3.10 24
ip route-static 0.0.0.0 0.0.0.0 202.100.2.254
ike proposal 10encryption-algorithm aes-cbc-128authentication-algorithm sha2-256
ike peer hub v1exchange-mode mainpre-shared-key simple Huawei@123ike-proposal 10remote-address 202.100.10.10
acl 3000rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.00.255
ipsec proposal 10esp encryption-algorithm aes-128esp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmpsecurity acl 3000ike-peer hubproposal 10
interface g0/0/1ipsec policy ipsec_policy

华为防火墙基础自学系列 | Hub Spoke IPsec VdPdNd相关推荐

  1. 华为防火墙基础自学系列 | Site to Site IPSec VdPdNd

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  2. 华为防火墙基础自学系列 | IKE介绍

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  3. 华为防火墙基础自学系列 | 证书申请方式

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  4. 华为防火墙基础自学系列 | PKI核心部分CA

    视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...

  5. 数据中心交换机基础自学系列 | MAC简介

    素材来源:华为数据中心交换机配置指南 一边学习一边整理,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:数据中心交换机基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 MAC简介 MAC( ...

  6. 数据中心交换机基础自学系列 | 汇总

    素材来源:华为数据中心交换机配置指南 一边学习一边整理,并与大家分享,侵权即删,谢谢支持! 以太网交换技术 MAC技术 数据中心交换机基础自学系列 | MAC简介 以太网链路聚合技术 M-LAG(跨设 ...

  7. 5G无线技术基础自学系列 | 双工技术

    素材来源:<一本读懂5G技术> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G无线技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 双工(Dup ...

  8. 5G核心网技术基础自学系列 | 消息业务

    书籍来源:<5G核心网 赋能数字化时代> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G核心网技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 ...

  9. 5G无线技术基础自学系列 | 基础参数及帧结构

    素材来源:<5G无线网络规划与优化> 一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:5G无线技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客 5G在 ...

最新文章

  1. python_web框架
  2. 机器学习、深度学习所需掌握的数学知识全都在这里了!
  3. 趋势修改服务器地址,趋势客户端修改连接服务器
  4. SQL Server中DateTime格式转换
  5. Android studio | From Zero To One ——安装教程及前期学习总结
  6. 2月份Web服务器份额:排名不变 仅Microsoft份额上扬
  7. mysql无法添加或更新子行_违反完整性约束:1452无法添加或更新子行:
  8. mysql 视图 教程_MySQL视图简介及基本操作教程
  9. 【数据结构和算法笔记】哈夫曼树的概念,构造和应用(利用哈夫曼编码压缩文本)
  10. opencv外接矩形矫正
  11. 使用Microsoft Network Monitor分析Wireshark无法解析的SSL流量包
  12. vue+jsonp跨域
  13. Android TextView 字体颜色渐变
  14. mac数字键盘错乱_苹果本键盘按键错位错乱是为什么?
  15. Python 创作音乐: 计算机创作,计算音乐
  16. Python的scrapy之爬取6毛小说网
  17. java导出excel 边框不全_POI导出excel,合并单元格后没有边框
  18. HDU - 2072 -- 单词数【set or 字典树】
  19. Tektronix泰克DPO4054示波器
  20. docker删除镜像及容器

热门文章

  1. 四级真题图表作文计算机,图表作文:大学生使用电脑情况(02年四级真题)
  2. Nginx介绍和原理
  3. 使用OneDrive同步盘,并挂载为本地文件夹
  4. 【2022寒假基础集训】第二场 -L/M.小沙的remake【BIT+DP】
  5. 对讲机c语言程序,摩托罗拉C2660 CPS编程软件
  6. 计算机组成原理【1】
  7. 阿里云短信验证-PHP
  8. 智慧社区智能化安防管理系统的解决方案
  9. [IMX6Q]flash_header.S分析
  10. 走进区块链(一):用Python实现第一个区块链小程序