华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)

糜烂的气息

收藏 分享

随着企业信息化发展,ERP、OA、DB等大规模应用,分部与总部之间内网安全的互联的需求越来越强烈。专线是最安全的选择,但价格昂贵,一般企业难以承受其成本;实际工作中各种基于互联网的VPN则是最常见的选择。这里以华为防火墙为例,介绍IPSEC VPN的相关配置,用以在保证企业数据安全的前提下,内网互通。

IPSec VPN就是指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。

华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)(1)

实验拓扑

实验要求

总部内网与分部内网通过IPSEC VPN互通

实验拓扑说明

AR1模拟总部内部设备 FW1作为总部的网关接入ISP

AR2模拟分部内部设备 FW2作为分部的网关接入ISP

ISP模拟互联网

实验基础配置

ISP部分

sysname ISP

interface GigabitEthernet0/0/0

ip address 10.1.12.1 255.255.255.0

interface GigabitEthernet0/0/1

ip address 10.1.23.1 255.255.255.0

总部AR1配置

sysname ar1

interface GigabitEthernet0/0/0

ip address 192.168.1.100 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.1.254

分部AR2配置

sysname AR2

interface GigabitEthernet0/0/0

ip address 192.168.2.100 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.2.254

总部与分部的防火墙IPSEC VPN配置

总部防火墙FW1配置

sysname FW1

acl number 3000

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

//配置感兴趣流,匹配从总部到分部的流量

IKE proposal 10

ike peer 2_FW2

pre-shared-key Huawei@123

ike-proposal 10

remote-address 10.1.23.254

//配置IKE参数,提议默认,预共享密钥和对端地址

ipsec proposal 10

ipsec policy ipsec 10 isakmp

security acl 3000

ike-peer 2_FW2

proposal 10

//配置IPSEC参数,提议默认,匹配感兴趣流和邻居

interface GigabitEthernet1/0/0

ip address 192.168.1.254 255.255.255.0

interface GigabitEthernet1/0/1

ip address 10.1.12.254 255.255.255.0

ipsec policy ipsec

//接口应用IPSEC策略

firewall zone trust

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/1

//接口加入对应的安全区域

ip route-static 0.0.0.0 0.0.0.0  10.1.12.1

ip route-static 192.168.2.0 255.255.255.0 10.1.23.254

     //配置默认路由和分部内网的明细路由,分部内网路由下一跳指向FW2的应用IPSEC VPN策略的互联接口

security-policy

default action permit

//放通安全策略,根据需要设置,这里为了式样放通所有

分部防火墙FW2设置与总一致

sysname FW2

acl number 3000

rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

ike proposal 10

ike peer 2_FW1

pre-shared-key Huawei@123

ike-proposal 10

remote-address 10.1.12.254

ipsec proposal 10

ipsec policy ipsec 10 isakmp

security acl 3000

ike-peer 2_FW1

proposal 10

interface GigabitEthernet1/0/0

ip address 192.168.2.254 255.255.255.0

interface GigabitEthernet1/0/1

ip address 10.1.23.254 255.255.255.0

ipsec policy ipsec

firewall zone trust

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/1

ip route-static 0.0.0.0 0.0.0.0 10.1.23.1

ip route-static 192.168.1.0 255.255.255.0 10.1.12.254

security-policy

default action permit

实验结果验证

从AR1和AR2互ping对方私网地址,可以看到互通正常,查看防火墙的会话表,可以看到互联应用采用的协议和端口,后期可根据此表项设置明细安全策略。

华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)(2)

华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)(3)

华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)(4)

在总部防火墙上查看IKE SA 和IPSEC SA的信息,可以看到IPSEC VPN保护的数据详细信息

华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)(5)

华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)(6)

华为防火墙带宽保证(总部与分部内网安全互联--HUAWEI防火墙IPSEC配置一)(7)

至此,实验成功。

本实验环境为华为ENSP模拟器。

,
展开全文

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

猜您喜欢

    热门推荐

    Copyright © 2013-2024 秒懂生活 站务投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页