您当前的位置：首页 > 电脑百科 > 安全防护 > 软件工具

华为防火 Hub Spoke IPsec VdPdNd

时间：2022-09-17 14:12:40 来源：CSDN 作者：COCOgsta

+ 加入收藏

Hub Spke IPSec VPN组网

本组网尝试使用IKE安全策略模板来建立IPSec VPN，策略模板适用于中心站点固定地址，分支站点较多并且使用动态地址的工程环境。

删除S2SVPN环境

FW1和FW2删除IPsec策略。

FW1和FW2删除安全策略。

配置流程图

交换机底层桥接

Hub（FW1）网络配置

修改g0/0/2接口地址

修改默认网关

Spoke1（FW2）网络配置

修改g0/0/2接口地址

修改默认网关

Inte.NET（AR1）网络配置

配置Internet底层网络

Spoke（AR2）网络配置

配置Spoke2底层网络

Hub配置IPsec（Web）

Hub新建IPsec策略

场景为【点到多点】，对端接入类型为【分支网关】，不填写对端IP地址。

配置感兴趣流，接受对方的安全提议。

Hub配置安全策略（Web）

配置地址组，匹配感兴趣的IP地址。

放行安全策略

Hub配置IPsec（CLI）

Hub配置ACL

Hub配置IKE Proposal

Hub配置IKE Peer

Hub配置IPsec proposal

Hub配置IPsec模板

Hub配置IPsec policy

Hub调用IPsec policy

Hub配置地址组

Hub配置安全策略（CLI）

Hub配置安全策略

Spoke1配置IPsec（Web）

Spoke配置IPsec策略方式，和配置点到点场景没有区别。

配置感兴趣流

Spoke1配置安全策略（Web）

放行安全策略

Spoke2配置IPsec

配置ACL

配置IKE proposal

配置IKE peer

配置IPsec proposal

配置IPsec policy

接口下调用ipsec policy

Hub查看IPse状态

在Hub上查看IPsec的状态，和两个Spoke协商成功。

IPsec连通性测试

使用PC1测试到PC2和PC3的连通性。

Hub查看IKE SA

Hub查看IPsec SA

Spoke2查看IPsec SA

实验

SW1

vlan batch 10 11 16 20 30 40 41
interface Ethernet0/0/2
  description Link_Hub_G0/0/2
  port link-type access
  port default vlan 11
interface Ethernet0/0/10
  description Link_Internet_G0/0/0
  port link-type access
  port default vlan 11
interface Ethernet0/0/11
  description Link_Internet_G0/0/1
  port link-type access
  port default vlan 41
interface Ethernet0/0/14
  description Link_Spoke2_G0/0/1
  port link-type access
  port default vlan 41
interface Ethernet0/0/12
  description Link_Internet_G0/0/2
  port link-type access
  port default vlan 40
interface Ethernet0/0/6
  description Link_Spoke1_G0/0/2
  port link-type access
  port default vlan 40
interface Ethernet0/0/13
  description Link_Spoke2_G0/0/0
  port link-type access
  port default vlan 30
interface Ethernet0/0/22
  description Link_HCNP_Spoke(PC3)
  port link-type access
  port default vlan 30
复制代码

FW1(Hub)

interface g0/0/1
  ip address 10.1.1.10 24
interface g0/0/2
  ip address 202.100.10.10 24
undo ip route-static 0.0.0.0 0.0.0.0 202.100.1.11
ip route-static 0.0.0.0 0.0.0.0 202.100.10.254
// 用图形化界面配置后的结果
acl number 3000
  rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
  rule 10 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
ike proposal 1
  authentication-algorithm sha2-256
  integrity-algorithm aes-xcbc-96 hmac-sha2-256
ike peer ike48143238157
  exchange-mode auto
  pre-shared-key Huawei@123
  ike negotiate compatible
  ike-proposal 1
  remote-id-type none
ipsec proposal prop48143238157
  encapsulation-mode auto
  esp authentication-algorithm sha2-256
ipsec policy-template tpl48143238157 1
  security acl 3000
  ike-peer ike48143238157
  alias hub_ipsec
  proposal prop48143238157
  local-address Applied-interface
  sa duration traffic-based 200000000
  sa duration time-based 3600
ipsec policy ipsec4814323820 10000 isakmp template tpl48143238157
interface GigabitEthernet0/0/2
  ipsec policy ipsec4814323820 auto-neg
ip service-set ISAKMP type object
  service 0 protocol udp source-port 0 to 65535 destination-port 5000
security-policy
  rule name ipsec1
    source-zone local
    destination-zone untRust
    source-address 202.100.10.10 mask 255.255.255.255
    service ISAKMP
    service esp
    action permit
  rule name ipsec2
    source-zone untrust
    destination-zone local
    destination-address 202.100.10.10 mask 255.255.255.255
    service ISAKMP
    service esp
    action permit
  rule name ipsec3
    source-zone trust
    source-zone untrust
    destination-zone trust
    destination-zone untrust
    source-address address-set ipsec
    destination-address address-set ipsec
    action permit
复制代码

FW2(Spoke1)

interface g0/0/1
  ip address 10.1.2.10 24
interface g0/0/2
  ip address 202.100.1.10 24
undo ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
ip route-static 0.0.0.0 0.0.0.0 202.100.1.254
复制代码

AR1(Internet)

interface g0/0/0
  undo portswitch
  ip address 202.100.10.254 24
interface g0/0/1
  undo portswitch
  ip address 202.100.2.254 24
interface g0/0/2
  undo portswitch
  ip address 202.100.1.254 24
复制代码

AR2(Spoke2)

interface g0/0/1
  undo portswitch
  ip address 202.100.2.10 24
interface g0/0/0
  undo portswitch
  ip address 10.1.3.10 24
ip route-static 0.0.0.0 0.0.0.0 202.100.2.254
ike proposal 10
  encryption-algorithm aes-cbc-128
  authentication-algorithm sha2-256
ike peer hub v1
  exchange-mode mAIn
  pre-shared-key simple Huawei@123
  ike-proposal 10
  remote-address 202.100.10.10
acl 3000
  rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.00.255
ipsec proposal 10
  esp encryption-algorithm aes-128
  esp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmp
  security acl 3000
  ike-peer hub
  proposal 10
interface g0/0/1
  ipsec policy ipsec_policy

Tags：点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

早高峰打“飞的”有多快？半小时车程仅需6分钟

横越珠江，掠过广东省博物馆、花城广场等地标性景观，向着广州塔飞去……近日，小鹏汇天的eVTOL（电动垂直起降飞行器）旅航者X2首次飞跃广州CBD。跨江示范飞行中，半小时车...【详细内容】

2024-04-12　　Search: 点击:(1)　　评论:(0)　　加入收藏

JavaScript的异步编程常见模式

在JavaScript中，异步编程是一种处理长时间运行操作（如网络请求或I/O操作）的常见方式。它允许程序在等待这些操作完成时继续执行其他任务，从而提高应用程序的响应性和性能。JavaS...【详细内容】

2024-04-12　　Search: 点击:(2)　　评论:(0)　　加入收藏

Rust编程语言的内存安全与性能：如何平衡？

Rust编程语言自诞生以来，就以其独特的内存安全特性和高性能而备受瞩目。然而，如何在保证内存安全的同时，实现高效的性能，一直是Rust开发者们面临的挑战。本文将深入探讨Rust的内...【详细内容】

2024-04-12　　Search: 点击:(2)　　评论:(0)　　加入收藏

数字人破解跨境直播难题，打造经济高效运营新路径

在数字化浪潮席卷全球，跨境直播蔚然成风之际，众多企业与品牌纷纷借此渠道掘金国际市场，直面全球消费者。然而，构建一支专业且高能的直播团队并非一日之功，它需耗费大量资源进行人...【详细内容】

2024-04-12　　Search: 点击:(2)　　评论:(0)　　加入收藏

Meta确认5月发布Llama 3，参数量达1400亿

周二，在伦敦的一场活动上，Meta 确认计划在下个月初推出其 LLM 的最新版 Llama 3，这个模型是驱动生成式 AI 助手的核心技术。这一消息证实了《The Information》杂志周一发布的...【详细内容】

2024-04-12　　Search: 点击:(2)　　评论:(0)　　加入收藏

ChatGPT 应用商店？可能是一个万能应用程序！

OpenAI 在去年 11 月召开了一次开发者大会，首席执行官 Sam Altman 希望软件制造商在 ChatGPT 之上进行进一步的构建。OpenAI 表示，它将很快推出一个市场，开发人员和非技术人员...【详细内容】

2024-04-12　　Search: 点击:(2)　　评论:(0)　　加入收藏

社交网络与Web3：数字社交的演进

在数字化时代的浪潮下，社交网络已成为人们日常生活的重要组成部分。从早期的在线论坛到如今的社交媒体平台，社交网络已经成为人们交流、分享和获取信息的主要渠道。然而，随着区...【详细内容】

2024-04-12　　Search: 点击:(2)　　评论:(0)　　加入收藏

速查微信聊天最频繁对象，情侣必备！

在如今数字化交流的时代，微信无疑是我们日常生活中使用最频繁的工具之一。无论是工作、学习还是娱乐，微信都陪伴在我们身边，成为我们沟通的重要桥梁。而在微信的众多功能中，聊天...【详细内容】

2024-04-12　　Search: 点击:(1)　　评论:(0)　　加入收藏

女人在微信上给你发这两个字，其实是想你了

情感的表达需借助书信，那一份份缓慢穿越时空的纸张，承载着承诺与深情，往往能够维系一段白头偕老的姻缘。而如今，随着科技的进步，爱情已不再依赖书信这种传统的沟通方式。我们有了...【详细内容】

2024-04-12　　Search: 点击:(2)　　评论:(0)　　加入收藏

Qt与Flutter：在跨平台UI框架中哪个更受欢迎？

在跨平台UI框架领域，Qt和Flutter是两个备受瞩目的选择。它们各自具有独特的优势，也各自有着广泛的应用场景。本文将对Qt和Flutter进行详细的比较，以探讨在跨平台UI框架中哪个更...【详细内容】

2024-04-12　　Search: 点击:(1)　　评论:(0)　　加入收藏

▌简易百科推荐

如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件？

译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗？Canary Tokens是一款免费且易于使用的工具，可以快速部署。如果黑客打开您的文件，它就会通知您。什么是Canary Tokens？Ca...【详细内容】

2024-03-26　　　　51CTO　　Tags:Canary Tokens 　点击:(13)　　评论:(0)　　加入收藏

如何用ChatGPT分析恶意软件

译者 | 陈峻审校 | 重楼自从我们进入数字化时代以来，恶意软件就一直是计算机应用系统的“心腹大患”。事实上，每一次技术进步都会为恶意行为者提供更多的工具，使得他们的攻击行...【详细内容】

2023-12-12　　　　51CTO　　Tags:恶意软件　点击:(201)　　评论:(0)　　加入收藏

NGFW：网络工程师必备防火墙

在网络技术飞速发展的今天，防火墙已成为网络工程师必备的防御工具之一。而其中，下一代防火墙（NGFW）凭借其高效、智能的防护特点，更是成为了业界的明星产品。本文将详细介绍NGFW的...【详细内容】

2023-12-12　　　　历史痕迹　　Tags:防火墙　点击:(132)　　评论:(0)　　加入收藏

如何保护应用？Web应用防火墙详细解读

如今，多云环境、API安全功能扩展、合作伙伴集成即时可用、可用性和可视化增强以及提高自动化程度已经成为基本要求。伴随企业应用架构的迁移，在用户端，需要在部署环境不断扩展...【详细内容】

2023-12-06　　科技信息分析者　　　　Tags:防火墙　点击:(135)　　评论:(0)　　加入收藏

八个优秀开源内网穿透工具

内网穿透（NAT穿透）是一种将本地网络服务暴露给互联网的一种技术。这种技术可以很好地解决许多局域网内的资源共享。采用路由的方式将一台计算机变成一个“路由器”，将公共的网...【详细内容】

2023-11-29　　andflow　　微信公众号　　Tags:内网穿透　点击:(213)　　评论:(0)　　加入收藏

十个最佳免费 Linux 防火墙工具

概述防火墙是保护网络边界的关键。防火墙会阻止敏感端口并过滤传入和传出流量，以阻止恶意连接并确保不会发生未经请求的数据交换。在自由开源软件的世界里，有很多防火墙解决方...【详细内容】

2023-11-28　　雪竹聊技术　　今日头条　　Tags:防火墙　点击:(173)　　评论:(0)　　加入收藏

防火墙与杀毒软件有什么区别？

硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯...【详细内容】

2023-11-16　　　　天铭互联网　　Tags:防火墙　点击:(215)　　评论:(0)　　加入收藏

ngrok-内网穿透神器，开发人员必备

概述ngrok是一款开源的网络服务，能够为在本地运行的网络应用提供公开的、基于互联网的URL。这使得网络开发人员可以将自己正在开发的网页或者API暴露到互联网上，方便进行演示...【详细内容】

2023-10-07　　阿拉尔的阳光　　今日头条　　Tags:内网穿透　点击:(102)　　评论:(0)　　加入收藏

“二次约会”间谍软件分析报告：网络攻击西北工业大学美国相关人员真实身份被锁定

近日，国家计算机病毒应急处理中心和360公司对名为“二次约会”（SecondDate）的“间谍”软件进行了技术分析，该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS...【详细内容】

2023-09-14　　　　央视新闻客户端　　Tags:间谍软件　点击:(302)　　评论:(0)　　加入收藏

DNSBin：一款功能强大的DNS与服务器安全测试工具

关于DNSBinDNSBin是一款功能强大的DNS与服务器安全测试工具，该工具可以通过DNS来测试数据泄露，并在目标环境部署了严苛网络安全限制的场景下帮助广大研究人员测试远程代码执...【详细内容】

2023-09-08　　　　FreeBuf.COM　　Tags:DNSBin 　点击:(245)　　评论:(0)　　加入收藏

推荐资讯

早高峰打“飞的”有多	JavaScript的异步编程
Rust编程语言的内存安	数字人破解跨境直播难
Meta确认5月发布Llama	ChatGPT 应用商店？可能
社交网络与Web3：数字社	速查微信聊天最频繁对