当前位置: 首页 > article >正文

H3C-防火墙IPSec配置案例(主模式)

article 2025/1/23 21:03:36

目录

  • 1.IPSec简述:
  • 2.IPSec应用场景:
  • 3.网络拓扑及说明:
  • 4.案例背景:
  • 5.网络配置:
    • 5.1 基础网络配置:
      • 5.1.1 总部防火墙基础配置:
      • 5.1.2 分部防火墙基础配置:
      • 5.1.3 互联网路由器基础配置:
      • 5.1.4 总部服务器基础配置:
      • 5.1.5 总部PC基础配置:
    • 5.2 IPSec配置:
      • 5.2.1 总部防火墙IPSec配置:
        • 5.2.1.1 配置感兴趣流:
        • 5.2.1.2 配置ike提议:
        • 5.2.1.3 配置ike keychain(IKE秘钥):
        • 5.2.1.4 配置ike profile(IKE模板):
        • 5.2.1.5 配置IPsec tranform-set(ipsec转换集/模板):
        • 5.2.1.6 配置ipsec policy(ipsec策略):
        • 5.2.1.7 接口调用ipsec策略:
      • 5.2.2 分部防火墙IPSec配置:
        • 5.2.2.1 配置感兴趣流:
        • 5.2.2.2 配置ike提议:
        • 5.2.2.3 配置ike keychain(IKE秘钥):
        • 5.2.2.4 配置ike profile(IKE模板):
        • 5.2.2.5 配置IPsec tranform-set(ipsec转换集/模板):
        • 5.2.2.6 配置ipsec policy(ipsec策略):
        • 5.2.2.7 接口调用ipsec策略:
      • 5.2.3 IPSec验证:
        • 5.2.3.1 网络联通性验证,分部PC可以正常访问总部服务器:
        • 5.2.3.2 安全联盟及隧道信息验证:
  • 6.小结:

1.IPSec简述:

  • 1.IPSec VPN是采用IPSec协议来实现远程接入的一种VPN技术。IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force(IETF)定义的一套为IP网络提供安全性的协议和服务的集合。
  • 2.随着Internet的迅速发展,越来越多的组织和个人需要在公共网络上安全地传输数据。IPSec VPN应运而生,通过在公共网络上建立加密通道,实现了对远程访问和数据传输的安全保护。

2.IPSec应用场景:

  • 远程办公:员工可以通过IPSec VPN远程访问公司内部网络,实现安全、高效的远程办公。
  • 分支机构互联:企业可以通过IPSec VPN将分布在不同地区的分支机构网络连接起来,形成一个统一的虚拟专用网络,方便管理和资源共享。
  • 移动设备访问:移动设备用户可以通过IPSec VPN安全地访问公司内部资源和数据,实现移动办公和数据传输。
  • 安全数据传输:通过IPSec VPN,企业可以在公共网络上安全地传输敏感数据和重要信息,防止数据泄露和篡改。

3.网络拓扑及说明:

在这里插入图片描述
1.网络设备地址:

序号设备名称接口ip地址/掩码
1总部防火墙g1/0/1201.1.1.1/24
2总部防火墙g1/0/210.1.1.254/24
3分部防火墙g1/0/1201.1.1.1/24
4分部防火墙g1/0/210.1.1.254/24
5总部服务器eth210.1.1.1/24
6分部PCg0/1172.16.1.1/24

4.案例背景:

  • 某企业分部PC需要访问总部服务器业务资源;

5.网络配置:

5.1 基础网络配置:

5.1.1 总部防火墙基础配置:

#
interface GigabitEthernet1/0/1             --防火墙对接互联网接口
 ip address 201.1.1.1 255.255.255.0
 manage ping inbound
 manage ping outbound
 ipsec apply policy 1
#
interface GigabitEthernet1/0/2             --防火墙对接内网接口
 ip address 10.1.1.254 255.255.255.0
 manage ping inbound
 manage ping outbound
#
security-zone name Trust                  --配置trust区域
 import interface GigabitEthernet1/0/2    --把g1/0/2接口加入trust区域
#
security-zone name Untrust                --配置untrust区域
 import interface GigabitEthernet1/0/1    --把g1/0/1接口加入untrust区域
#
 ip route-static 0.0.0.0 0 201.1.1.254     --出口默认路由
#
nat global-policy                          --全局nat策略
 rule name ipsec                           --ipsec流量不做nat转换
  source-zone trust
  destination-zone untrust
  source-ip subnet 10.1.1.0 24
  destination-ip subnet 172.16.1.0 24
  action snat no-nat
 rule name internet                        --正常上网流量做nat转换
  source-zone trust
  destination-zone untrust
  source-ip subnet 10.1.1.0 24
  action snat easy-ip
#
security-policy ip                         --安全域策略
 rule 0 name T_to_U                        --放行ipsec trust到untrust的流量
  action pass
  source-zone trust
  destination-zone untrust                 
  source-ip-subnet 10.1.1.0 255.255.255.0
  service any
 rule 1 name U_T_L                         --放行互联网到防火墙自身的流量
  action pass
  source-zone untrust
  destination-zone local
  service any
 rule 2 name L_T_U                         --放行防火墙自身到互联网的流量
  action pass
  source-zone local
  destination-zone untrust
  service any
 rule 3 name U_to_T                        --放行ipsec untrust到trust的流量
  action pass
  source-zone untrust
  destination-zone trust
  source-ip-subnet 172.16.1.0 255.255.255.0
  service any
#
--安全策略可以根据自己的需求再做细化

5.1.2 分部防火墙基础配置:

#
interface GigabitEthernet1/0/1             --防火墙对接互联网接口
 ip address 202.1.1.1 255.255.255.0
 manage ping inbound
 manage ping outbound
 ipsec apply policy 1
#
interface GigabitEthernet1/0/2             --防火墙对接内网接口
 ip address 172.16.1.254 255.255.255.0
 manage ping inbound
 manage ping outbound
#
security-zone name Trust                  --配置trust区域
 import interface GigabitEthernet1/0/2    --把g1/0/2接口加入trust区域
#
security-zone name Untrust                --配置untrust区域
 import interface GigabitEthernet1/0/1    --把g1/0/1接口加入untrust区域
#
 ip route-static 0.0.0.0 0 202.1.1.254     --出口默认路由
#
nat global-policy                          --全局nat策略
 rule name ipsec                           --ipsec流量不做nat转换
  source-zone trust
  destination-zone untrust
  source-ip subnet 172.16.1.0 24
  destination-ip subnet 10.1.1.0 24
  action snat no-nat
 rule name internet                        --正常上网流量做nat转换
  source-zone trust
  destination-zone untrust
  source-ip subnet 172.16.1.0 24
  action snat easy-ip
#
security-policy ip                         --安全域策略
 rule 0 name T_to_U                        --放行ipsec trust到untrust的流量
  action pass
  source-zone trust
  destination-zone untrust                 
  source-ip-subnet 172.16.1.0 255.255.255.0
  service any
 rule 1 name U_T_L                         --放行互联网到防火墙自身的流量
  action pass
  source-zone untrust
  destination-zone local
  service any
 rule 2 name L_T_U                         --放行防火墙自身到互联网的流量
  action pass
  source-zone local
  destination-zone untrust
  service any
 rule 3 name U_to_T                        --放行ipsec untrust到trust的流量
  action pass
  source-zone untrust
  destination-zone trust
  source-ip-subnet 10.1.1.0 255.255.255.0
  service any
#
--安全策略可以根据自己的需求做细化

5.1.3 互联网路由器基础配置:

#
interface GigabitEthernet0/1                    --对接总部防火墙
 port link-mode route
 combo enable copper
 ip address 201.1.1.254 255.255.255.0
#
interface GigabitEthernet0/2                    --对接分部防火墙
 port link-mode route
 combo enable copper
 ip address 202.1.1.254 255.255.255.0
#

5.1.4 总部服务器基础配置:

在这里插入图片描述在这里插入图片描述

5.1.5 总部PC基础配置:

在这里插入图片描述

5.2 IPSec配置:

5.2.1 总部防火墙IPSec配置:

5.2.1.1 配置感兴趣流:
#
acl advanced 3000
 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255  
#
5.2.1.2 配置ike提议:
#
ike proposal 1                      --创建ike proposal 1
  encryption-algorithm aes-cbc-128  --加密算法为aes-cbc-128
  authentication-method pre-share   --认证方法为预共享秘钥
  authentication-algorithm sha      --认证算法为sha
#
5.2.1.3 配置ike keychain(IKE秘钥):
#
ike keychain test                  -- 创建预共享秘钥
 pre-shared-key address 202.1.1.1 255.255.255.255 key simple asd12345678  -- 指定对端地址202.1.1.1/32,设置秘钥为asd12345678
#
5.2.1.4 配置ike profile(IKE模板):
#
ike profile test                                          -- 创建模板test
 keychain test                                            -- 指定使用的秘钥 test
 local-identity address 201.1.1.1                         -- 指定使用IP地址标识本端身份
 match remote identity address 202.1.1.1 255.255.255.255  -- 指定匹配对端的身份类型为ip地址
 proposal 1                                               -- 指定使用的提议 proposal 1
#
5.2.1.5 配置IPsec tranform-set(ipsec转换集/模板):
#
ipsec transform-set test                    -- 创建ipsec转换集test 
  esp encryption-algorithm aes-cbc-128      -- 指定esp加密算法
  esp authentication-algorithm sha1         -- 指定esp认证算法
  protocol esp                              -- 指定安全协议为esp   
  encapsulation-mode tunnel                 -- 指定封装模式为隧道模式
#
5.2.1.6 配置ipsec policy(ipsec策略):
#
ipsec policy 1 10 isakmp      -- 创建ipsec安全策略
 transform-set test           -- 指定ipsec转换集
 security acl 3000            -- 调用感兴趣流
 local-address 201.1.1.1      -- 指定隧道的本端地址
 remote-address 202.1.1.1     -- 指定隧道的对端地址
 ike-profile test             -- 指定IPsec安全策略模板引用的IKE模板
#
5.2.1.7 接口调用ipsec策略:
#
interface GigabitEthernet1/0/1
 ipsec apply policy 1
#

5.2.2 分部防火墙IPSec配置:

5.2.2.1 配置感兴趣流:
#
acl advanced 3000
 rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
5.2.2.2 配置ike提议:
#
ike proposal 1                      --创建ike proposal 1
  encryption-algorithm aes-cbc-128  --加密算法为aes-cbc-128
  authentication-method pre-share   --认证方法为预共享秘钥
  authentication-algorithm sha      --认证算法为sha
#
5.2.2.3 配置ike keychain(IKE秘钥):
#
ike keychain test                  -- 创建预共享秘钥
 pre-shared-key address 201.1.1.1 255.255.255.255 key simple asd12345678  -- 指定对端地址201.1.1.1/32,设置秘钥为asd12345678
#
5.2.2.4 配置ike profile(IKE模板):
#
ike profile test                                          -- 创建模板test
 keychain test                                            -- 指定使用的秘钥 test
 local-identity address 202.1.1.1                         -- 指定使用IP地址标识本端身份
 match remote identity address 201.1.1.1 255.255.255.255  -- 指定匹配对端的身份类型为ip地址
 proposal 1                                               -- 指定使用的提议 proposal 1
#
5.2.2.5 配置IPsec tranform-set(ipsec转换集/模板):
#
ipsec transform-set test                    -- 创建ipsec转换集test 
  esp encryption-algorithm aes-cbc-128      -- 指定esp加密算法
  esp authentication-algorithm sha1         -- 指定esp认证算法
  protocol esp                              -- 指定安全协议为esp   
  encapsulation-mode tunnel                 -- 指定封装模式为隧道模式
#
5.2.2.6 配置ipsec policy(ipsec策略):
#
ipsec policy 1 10 isakmp      -- 创建ipsec安全策略
 transform-set test           -- 指定ipsec转换集
 security acl 3000            -- 调用感兴趣流
 local-address 202.1.1.1      -- 指定隧道的本端地址
 remote-address 201.1.1.1     -- 指定隧道的对端地址
 ike-profile test             -- 指定IPsec安全策略模板引用的IKE模板
#
5.2.2.7 接口调用ipsec策略:
#
interface GigabitEthernet1/0/1
 ipsec apply policy 1
#

5.2.3 IPSec验证:

5.2.3.1 网络联通性验证,分部PC可以正常访问总部服务器:

在这里插入图片描述

5.2.3.2 安全联盟及隧道信息验证:

在这里插入图片描述在这里插入图片描述在这里插入图片描述

6.小结:

  • IPSec VPN是一种高效、安全、通用的VPN技术,广泛应用于远程办公、分支机构互联、移动设备访问和安全数据传输等场景。

http://www.kler.cn/a/515390.html

相关文章:

  • WPF 引发类型为“System.Windows.Forms.AxHost+InvalidActiveXStateException”的异常 解决办法
  • 简识JVM私有内存区域栈、数据结构
  • 差分轮算法-两个轮子计算速度的方法-阿克曼四轮小车计算方法
  • 网络(一)
  • 一文大白话讲清楚webpack基本使用——11——chunkIds和runtimeChunk
  • 第11篇:vue3 中 props 的使用
  • 监控与调试:性能优化的利器 — ShardingSphere
  • JavaScript系列(40)--虚拟DOM实现详解
  • FPGA中场战事
  • Mac下安装ADB环境的三种方式
  • 光谱相机在智能冰箱的应用原理与优势
  • 【嵌入式开发】stm32 st-link 烧录
  • 详细介绍:云原生技术细节(关键组成部分、优势和挑战、常用云原生工具)
  • Web 音视频(三)在浏览器中创建视频
  • 4K大视频浏览器无法正常播放解决方案
  • 【超详细】ELK实现日志采集(日志文件、springboot服务项目)进行实时日志采集上报
  • #2 js中number类型计算精度问题解决
  • Docker Compose创建镜像服务
  • Android Studio常用操作备忘录
  • 设计模式详解
  • python 关闭 sagemaker 日志美化
  • Android SystemUI——最近任务应用列表(十七)
  • Postgresql源码(140)理解PG的编译流程(make、Makefile、Makefile.global.in)
  • 21. C语言 `typedef`:类型重命名
  • python中如何将文件写出
  • 关于扫雷的自动补空实现C语言