eNSP - 防火墙IPSec技术应用

原创 已于 2025-03-24 10:33:06 修改 · 1.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #运维

于 2024-07-24 23:16:16 首次发布

目录

需求

将FW1和FW2改为主备备份状态

配置IPsec

配置目标NAT

配置安全策略放通IKE协商流量

配置策略路由 

配置安全策略放通IPsec流量

配置源NAT

测试

需求

接eNSP - 防火墙双机热备和带宽管理

将双机热备改成主备模式,通过内网的 VPN 设备构建-条到达分公司的IPSEC  VPN 通道,保证办公区10.0.2.0/24网段可以访问到192.168.1.0/24网段。

给VPN设备配置管理IP地址以及开通Web管理服务:

<USG6000V1>sys
[USG6000V1]sysname VPN
[VPN]int g0/0/0
[VPN-GigabitEthernet0/0/0]ip add 192.168.10.4 24
[VPN-GigabitEthernet0/0/0]service-manage all permit 
[VPN-GigabitEthernet0/0/0]dis ip int b
2024-07-23 09:14:42.850 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(d): Dampening Suppressed
(E): E-Trunk down
The number of interface that is UP in Physical is 4
The number of interface that is DOWN in Physical is 6
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 7

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.10.4/24      up         up        
GigabitEthernet1/0/0              unassigned           up         down      
GigabitEthernet1/0/1              unassigned           down       down      
GigabitEthernet1/0/2              unassigned           down       down      
GigabitEthernet1/0/3              unassigned           down       down      
GigabitEthernet1/0/4              unassigned           down       down      
GigabitEthernet1/0/5              unassigned           down       down      
GigabitEthernet1/0/6              unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Virtual-if0                       unassigned           up         up(s)     

[VPN-GigabitEthernet0/0/0]

将FW1和FW2改为主备备份状态

因为这里使用主备备份,故到公网的虚拟IP地址就只需要移动和电信各一个:

FW1:

 

FW3:

修改服务器映射:

 主备备份修改完成。

配置IPsec

IP配置:

交换机上放通办公区(vlan3)的流量: 

[LSW3]int g0/0/5	
[LSW3-GigabitEthernet0/0/5]port link-type access 
[LSW3-GigabitEthernet0/0/5]port default vlan 3

建立通道:

这里再总公司是内网环境下,所以我们使用ESP协议,IEK协商采用野蛮模式,封装模式采用隧道模式。

新建地址:

添加加密数据流:

IPsec策略: 

FW2:

新建地址:

添加加密数据流:

 IPsec策略:

配置目标NAT

因为在总公司,VPN设备下沉入内网中,故需要在FW1上配置目标NAT打通通向内网VPN设备的通道。

目的地址:

新建自定义服务: 

NAT-T为UDP且目的端口为4500

IKE规定源目端口都为UDP500 

新建NAT策略(两个,一个用于ISAKMP,一个用于NAT-T):

 之前的需求中配置过公网访问HTTP server的目标NAT,但是没有精细化处理。这里将其服务改为HTTP server,这样不会影响IKE的构建:

配置安全策略放通IKE协商流量

FW2:​​​​​​

需要放通公网与防火墙的双向流量。

新建自定义服务:

安全策略:

VPN:

需要放通内网与防火墙的双向流量。

新建自定义服务:

安全策略:

FW1:

需要放通公网电信与内网的双向流量,因为我们只使用了电信链路配置IPSec通道。

安全策略: 

IPsec通道建立完成:

VPN:

FW2:

配置策略路由 

使经过FW1到达分公司的流量转发至VPN设备:

新建策略路由:

 使用PC2ping分公司设备,在VPN设备抓包(因为还没放通IPSec的流量,故ping不通):

可以看到流量都到了VPN设备上: 

配置安全策略放通IPsec流量

这里不指定服务类型,只限制源目网段。

VPN设备:

FW2:

FW1:

因为流量到这里已经经过了IPSec转换(已经在通道内传输),故源目IP就是通道两端的IP地址。

配置源NAT

因为有内网向外网访问时,源NAT转换了源IP地址,故需要进行更改。

防止流量进入通道前被NAT策略转换源IP,因为NAT策略的优先级大于IPsec。

FW2新建:

且策略应该放在前面:

FW1新建: 也应该放在转换前面:

测试

使用办公区设备访问分公司:

 抓包:

FW1出口:

VPN设备接口: 至此配置完成。

ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 3367
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙
华为eNSP防火墙 配置使用IPSec隧道
m0_75102488的博客
06-16 2189
华为eNSP防火墙配置
ENSP期末神帖:防火墙GRE/IPSec/GRE over IPSec点对点配置 保姆级实验+避坑指南(附拓扑/配置文档)
最新发布
2301_78202824的博客
06-01 2397
(没有这个策略,在防火墙出口可以接收到GRE报文,虽然防火墙有10网段路由,但是在近PC端的接口是没有icmp包的,这时候会命中default策略拒绝掉。)其中采用的方式是将tunnel划分到untrust ,此时的安全策略(控制普通报文到tunnel接口的策略)是将目的区域dmz改成了untrust。接下来又是重复的操作,这里gre over ipsec是我最开始配置的实验,当时不知道g0/0/0接口的特殊,所以配置放在文档中自行查找。//创建策略规则,越先配置的安全策略规则位置越靠前,优先级越高。
ENSP:防火墙IPSEC XXX
weixin_45921302的博客
11-19 2557
利用防火墙IPSECVPN实现总分部加密通信。值得一瞄。
eNSP防火墙+IPSec 站点到站点的虚拟专用网络
m0_46237205的博客
04-10 6028
4、本IPSec VPN组网的通信网络为192.168.1.0/24和172.16.1.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区到local区双方向的远端加密点到本端加密点的esp和ike流量。#放行untrust区和trust区双方向上通信网络之间的流量。#放行untrust区和trust区双方向上通信网络之间的流量。#配置trust区与untrust区的zone间策略。
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
baimao__Ch的博客
04-19 3618
![image-20230314005459809](https://img- blog.csdnimg.cn/img_convert/ba1cb8bf075d5bd5a1bb67fbf06c7da6.png) 上网需求 服务器发布需求 VPN需求 攻击模拟 实验步骤 1、防火墙web页面管理配置![image-20230314010724217](https://img- blog.csdnimg.cn/img_convert/1110f333e2dbe068793fa2706fc
华为ensp防火墙ipsec-vpn点到多点场景(1总-3分)
白话聊网络的博客
07-02 1779
该场景适用于点到多点的毕设、大作业、课程等场景,该拓扑只不过是把各公司内网简化成一台pc,同学们要有举一反三的能力。需求很简单,中间的R代表互联网(公网),企业场景1总部对三分部,用过防火墙进行ipsec vpn点到多点部署。不要质疑我答案的正确性,我百分百保证,你照着敲大概率也会做不通,要具有排障能力。连通性正常后,ping各个分部的业务,观察ike sa 和ipsec sa。初次完成全补配置后,测试过程中均丢2个包,丢包为arp的过程,真机不会。杜绝拿着配置复制粘贴,不通就来质疑我的答案,真是可笑!
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
weixin_44611826的博客
04-20 4721
eNSP综合实例:防火墙配置GRE over IPSec VPN 网页版
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。 北京总部部署...
H3C防火墙IPSec配置实例解析与详解-确保企业网络安全互通
02-07
内容概要:本文档提供了详细的H3C防火墙IPSec配置指导。首先介绍了IPSec的基本概念以及常见应用场景如远程办公和分布式办公间的互联通信。接下来展示了具体的网络架构图并详细描述了一个企业的实际配置步骤。具体来...
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
weixin_44611826的博客
04-21 1037
eNSP综合实例:防火墙GRE over IPSec配置实例(2)
华为经典实验部分-防火墙加NAT【视频】
11-08
华为经典实验部分,防火墙加NAT,视频讲解。
eNSP-在USG5500防火墙上配置IPsec虚拟专用网
2302_76629181的博客
03-22 1397
在华为eNSP防火墙上配置网关到网关的IPsecVPN以实现数据安全通信
华为防火墙实验
weixin_47498728的博客
01-05 1733
华为防火墙实验
安全防御——二、ENSP防火墙实验学习
zzz6583zz的博客
08-14 3665
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
华为ENSP实验之防火墙基础配置与安全区域配置(保姆级教程)
热门推荐
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置等
eNSP防火墙简单实验(一)
Shass的博客
11-10 1万+
eNSP防火墙简单实验(一) 实验拓扑 图中,FW与ISP连接的网段仅仅是互联的作用,所以用私有地址段,而内部流量经过防火墙的G1/0/2访问外部流量时使用向运营商申请的公有地址段200.8.8.0/29。最后会针对这部分做一个扩展。 实验步骤 1、基础信息配置 将基础的IP地址配置 2、划分防火墙区域 1)代码配置方法 [FW]firewall zone trust [FW-zone-trust]add int g1/0/1 [FW]firewall zone dmz [FW-zone-dmz]add
ensp防火墙IPSec双链路
01-25
### 如何在ENSP防火墙上配置IPSec实现双链路冗余 为了实现在ENSP防火墙上的IPSec配置并确保双链路冗余,需考虑多个方面。首先,由于IPSec仅支持单播报文[^1],这意味着对于大型网络而言,直接利用IPSec进行通信可能会遇到挑战,特别是涉及到动态路由更新时。 #### 解决方案概述 通过引入GRE隧道技术,可以在现有基础上增强功能。GRE不仅能够承载单播报文,还兼容组播和广播报文,这使得即使是在启用IPSec的情况下也能顺利运用诸如OSPF这样的动态路由协议。具体来说: - **建立GRE Tunnel**:创建两个GRE隧道分别对应两条物理路径。 - **配置IPSec保护这些Tunnel**:为每一个GRE隧道设置相应的安全策略以保障数据传输的安全性。 - **部署VRRP机制**:用于提供高可用性和负载均衡能力,确保当某一路由失效时另一条线路可立即接管服务而不影响整体性能[^3]。 #### 实际操作指南 以下是具体的命令行配置实例,假设环境中有两台防火墙FW1和FW2以及对应的路由器R1和R2。 ##### 步骤一:定义接口参数 ```shell // 在FW1上执行如下指令 interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 exit ``` ##### 步骤二:构建GRE Tunnels ```shell // 创建第一个GRE tunnel (towards R1) interface Tunnel0 source GigabitEthernet0/0/1 destination 192.168.1.2 // 对端地址应指向R1的实际公网IP ip address 10.0.0.1 255.255.255.252 exit // 创建第二个GRE tunnel (towards R2), 类似于上面的操作但是更改目标地址到R2. ``` ##### 步骤三:设定IPSec Policy ```shell crypto isakmp policy 10 encr aes 256 authentication pre-share group 5 crypto isakmp key CISCOpw address 0.0.0.0 0.0.0.0 crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac crypto map MY_MAP 10 ipsec-isakmp set peer 192.168.1.x // 这里的X取决于你要连接的是哪个远程节点(R1 or R2). set transform-set MY_TRANSFORM_SET match address ACL_IPSEC access-list ACL_IPSEC extended permit ip any host 10.0.0.2 // 修改此ACL匹配实际需求 ``` ##### 步骤四:激活VRRP ```shell // 应用至内部局域网侧的接口 interface Vlanif100 vrrp vrid 1 virtual-ip 172.16.200.254 priority 150 // 设置较高优先级使当前设备成为master, 默认值为100 preempt mode timer delay 60 // 启动抢占模式,并延迟一定时间再切换状态以防频繁变动 exit ``` 以上步骤完成后,还需重复上述过程针对第二条链路上的相关组件完成相同配置,以此达到真正的双活效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值