华为防火墙 IPsec VPN的详细配置

华为防火墙 IPsec VPN的详细配置

本实验使用华为eNSP模拟器，采用了IPSec ×××技术、NAT等技术，搭建了一个简单的总公司与分公司的网络环境，实现总公司与分公司的正常访问

实验需求

FW1和FW2模拟企业边缘设备，分别在2台设备上配置NAT和IPsec ×××实现2边私网可以通过×××互相通信

实验配置

1、ISP配置

[ISP]int g0/0/0 [ISP-GigabitEthernet0/0/1]ip add 100.0.0.2 30 [ISP-GigabitEthernet0/0/1]int g0/0/1 [ISP-GigabitEthernet0/0/0]ip add 200.0.0.2 30

2、FW1配置

[FW1]firewall zone trust          //配置trust区域 [FW1-zone-trust]add interface g0/0/0    //将接口加入trust区域 [FW1-zone-trust]quit [FW1]firewall zone untrust           //配置untrust区域 [FW1-zone-untrust]add int g0/0/1          //将接口加入untrust区域 [FW1-zone-untrust]quit [FW1]int g0/0/0 [FW1-GigabitEthernet0/0/0]ip add 10.0.0.254 8 [FW1-GigabitEthernet0/0/0]int g0/0/1 [FW1-GigabitEthernet0/0/1]ip add 100.0.0.1 30 [FW1-GigabitEthernet0/0/1]quit #配置NAT [FW1]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2   //配置默认路由上公网 [FW1]nat-policy interzone trust untrust outbound  //进入trust到untrust区域out方向的策略视图 [FW1-nat-policy-interzone-trust-untrust-outbound]policy 1     //创建一个策略 [FW1-nat-policy-interzone-trust-untrust-outbound-1]policy source 10.0.0.0 0.255.255.255 [FW1-nat-policy-interzone-trust-untrust-outbound-1]policy destination 192.168.1.0 0.0.0.255 [FW1-nat-policy-interzone-trust-untrust-outbound-1]action no-nat  //以上三条命令意思是不允许将源为10.0.0.0/8网段目标为192.168.1.0/24网段的数据包进行NAT [FW1-nat-policy-interzone-trust-untrust-outbound-1]quit [FW1-nat-policy-interzone-trust-untrust-outbound]policy 2  //创建策略2 [FW1-nat-policy-interzone-trust-untrust-outbound-2]action source-nat //允许对源IP进行NAT [FW1-nat-policy-interzone-trust-untrust-outbound-2]easy-ip g0/0/1 //对接口G0/0/1地址复用 [FW1-nat-policy-interzone-trust-untrust-outbound-2]quit [FW1-nat-policy-interzone-trust-untrust-outbound]quit #配置IPSec ××× 阶段一 [FW1]ike proposal 1     //配置一个安全提议 [FW1-ike-proposal-1]authentication-method pre-share   //配置IKE认证方式为预共享密钥 [FW-ike-proposal-1]authentication-algorithm sha1   //配置IKE认证算法为sha1 [FW1-ike-proposal-1]integrity-algorithm aes-xcbc-96  //配置IKE完整性算法 [FW1-ike-proposal-1]dh group2  //配置IKE密钥协商DH组 [FW1-ike-proposal-1]quit [FW]ike peer FW2             //创建一个IKE对等体名字为FW2 [FW1-ike-peer-usg-2]pre-shared-key 123.abc    //配置预共享密钥 [FW1-ike-peer-usg-2]remote-address 200.0.0.1  //配置对等体IP地址 [FW1-ike-peer-usg-2]ike-proposal 1       //调用ike安全提议 [FW1-ike-peer-usg-2]quit 阶段二 [FW1]ipsec proposal test        //配置一个ipsec安全提议 [FW1-ipsec-proposal-test]encapsulation-mode tunnel    //封装方式采用隧道 [FW1-ipsec-proposal-test]transform esp    //配置IPSEC安全协议为ESP [FW1-ipsec-proposal-test]esp encryption-algorithm aes   //配置ESP协议加密算法为aes [FW1-ipsec-proposal-test]esp authentication-algorithm sha1  //配置ESP协议认证算法 [FW1-ipsec-proposal-test]quit [FW1]acl 3000         //创建一个ACL定义感兴趣流 [FW1-acl-adv-3000]rule permit ip source 10.0.0.0 0.255.255.255 destination 192.168.1.0 0.0.0.255 [FW1]ipsec policy map 1 isakmp    //创建一个安全策略，名称为map [FW1-ipsec-policy-isakmp-map-1]ike-peer FW2    //调用ike对等体 [FW1-ipsec-policy-isakmp-map-1]proposal test     //调用IPsec安全提议 [FW1-ipsec-policy-isakmp-map-1]security acl 3000   //配置感兴趣流 [FW1-ipsec-policy-isakmp-map-1]quit [FW1]int g0/0/1 [FW1-GigabitEthernet0/0/1]ipsec policy map     //在外网口上调用安全策略 #区域间策略配置 [FW1]policy interzone trust untrust outbound . //进入trust到untrust区域out方向策略视图 [FW1-policy-interzone-trust-untrust-outbound]policy 1    //创建策略 [FW1-policy-interzone-trust-untrust-outbound-1]action permit   //允许trust区域所有主机访问untrust区域  [FW1-policy-interzone-trust-untrust-outbound-1]quit [FW1-policy-interzone-trust-untrust-outbound]quit [FW1]policy interzone trust untrust inbound  //进入trust区域到untrust区域的in方向策略视图 [FW1-policy-interzone-trust-untrust-inbound]policy 1 [FW1-policy-interzone-trust-untrust-inbound-1]policy source 192.168.1.0 0.0.0.255 [FW1-policy-interzone-trust-untrust-inbound-1]policy destination 10.0.0.0 0.255.255.255 [FW1-policy-interzone-trust-untrust-inbound-1]action permit  //以上命令为允许数据包源地址为192.168.1.0/24网段和目标地址为10.0.0.0/8网段的流量过 [FW1-policy-interzone-trust-untrust-inbound-1]quit [FW1-policy-interzone-trust-untrust-inbound]quit [FW1]policy interzone local untrust inbound //进入local区域到untrust区域的in方向策略视图 [FW1-policy-interzone-local-untrust-inbound]policy 1 [FW1-policy-interzone-local-untrust-inbound-1]policy source 200.0.0.1 0 [FW1-policy-interzone-local-untrust-inbound-1]policy destination 100.0.0.1 0 [FW1-policy-interzone-local-untrust-inbound-1]action permit  //允许源地址是200.0.0.1目标地址是100.0.0.1的数据包访问

3、FW2配置和FW1相同，只需调整源IP和目标IP即可，就不在赘述了

4、配置总公司和分公司客户端的IP地址

在总公司访问分公司的私网IP地址，验证

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。