华为IPsec VPN基本配置

时间：2022-10-29 13:37:01 来源：作者：和大家一起学路由交换

实验拓扑

实验拓步

环境说明

某企业北京办公区和上海办公区实现京沪FTP_Server数据互通，作为企业网络管理员考虑IT部成本，使用互联网走企业内部数据，保证数据完整性、机密性；需要在北京边缘路由器BJ_AR1和上海边缘路由器SH_AR1之间配置IPsec VPN解决方案，建立IPsec隧道用于某个部门数据互通。

配置设备IP

inte.NET路由设备接口地址

[internet]interface g0/0/1
[internet-GigabitEthernet0/0/1]ip address 58.58.58.1 24
[internet]interface g0/0/2
[internet-GigabitEthernet0/0/2]ip address 102.35.35.1 24
[internet]inter LoopBack 0
[internet-LoopBack0]ip address 100.25.25.25 32

BJ_AR1边界路由接口地址

[BJ_AR1]interface g0/0/0
[BJ_AR1-GigabitEthernet0/0/0]ip address 58.58.58.2 24
[BJ_AR1]interface g0/0/1
[BJ_AR1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[BJ_AR1]interface LoopBack 0
[BJ_AR1-LoopBack0]ip address 10.10.10.10 32

BJ_Core交换机接口地址

Interface                         IP Address/Mask      Physical   Protocol  
LoopBack0                         5.5.5.5/32              up         up(s)     
MEth0/0/1                          unassigned          down       down      
NULL0                                 unassigned           up         up(s)     
Vlanif1                                 unassigned          up         down      
Vlanif100                         192.168.1.254/24     up         up        
Vlanif200                         192.168.2.254/24     up         up        
Vlanif300                         192.168.3.254/24     up         up        
Vlanif400                         192.168.4.254/24     up         up

SH_AR1边界路由接口地址

[SH_AR1]interface g0/0/0
[SH_AR1-GigabitEthernet0/0/0]ip address 102.35.35.2 24
[SH_AR1]interface g0/0/1
[SH_AR1-GigabitEthernet0/0/1]ip address 172.16.30.1 24
[SH_AR1]interface LoopBack 0
[SH_AR1-LoopBack0]ip address 9.9.9.9 32

SH_Core交换机接口地址

Interface                         IP Address/Mask      Physical   Protocol  
LoopBack0                            4.4.4.4/32           up         up(s)     
MEth0/0/1                          unassigned           down       down      
NULL0                                 unassigned           up         up(s)     
Vlanif1                                unassigned           up         down      
Vlanif100                         172.16.30.254/24     up         up        
Vlanif200                         172.16.31.254/24     up         up        
Vlanif300                         172.16.32.254/24     up         up        
Vlanif400                         172.16.33.254/24     up         up

配置OSPF路由协议（实现内网互通）

BJ_AR1路由表（配置步骤略过）

Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 16       Routes : 16       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   Static  60   0          RD   58.58.58.1      GigabitEthernet0/0/0
        5.5.5.5/32  OSPF    10   1           D   192.168.1.254   GigabitEthernet0/0/1
    10.10.10.10/32  Direct  0    0           D   127.0.0.1       LoopBack0
     58.58.58.0/24  Direct  0    0           D   58.58.58.2      GigabitEthernet0/0/0
     58.58.58.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
   58.58.58.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    192.168.1.0/24  Direct  0    0           D   192.168.1.1     GigabitEthernet0/0/1
    192.168.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
    192.168.2.0/24  OSPF    10   2           D   192.168.1.254   GigabitEthernet0/0/1
    192.168.3.0/24  OSPF    10   2           D   192.168.1.254   GigabitEthernet0/0/1
    192.168.4.0/24  OSPF    10   2           D   192.168.1.254   GigabitEthernet0/0/1
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

BJ_Core路由表（配置步骤略过）

Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 13       Routes : 13       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   Static  60   0          RD   192.168.1.1     Vlanif100
        5.5.5.5/32  Direct  0    0           D   127.0.0.1       LoopBack0
    10.10.10.10/32  OSPF    10   1           D   192.168.1.1     Vlanif100
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    192.168.1.0/24  Direct  0    0           D   192.168.1.254   Vlanif100
  192.168.1.254/32  Direct  0    0           D   127.0.0.1       Vlanif100
    192.168.2.0/24  Direct  0    0           D   192.168.2.254   Vlanif200
  192.168.2.254/32  Direct  0    0           D   127.0.0.1       Vlanif200
    192.168.3.0/24  Direct  0    0           D   192.168.3.254   Vlanif300
  192.168.3.254/32  Direct  0    0           D   127.0.0.1       Vlanif300
    192.168.4.0/24  Direct  0    0           D   192.168.4.254   Vlanif400
  192.168.4.254/32  Direct  0    0           D   127.0.0.1       Vlanif400

SH_AR1路由表（配置步骤略过）

Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 16       Routes : 16       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   Static  60   0          RD   102.35.35.1     GigabitEthernet0/0/0
        4.4.4.4/32  OSPF    10   1           D   172.16.30.254   GigabitEthernet0/0/1
        9.9.9.9/32  Direct  0    0           D   127.0.0.1       LoopBack0
    102.35.35.0/24  Direct  0    0           D   102.35.35.2     GigabitEthernet0/0/0
    102.35.35.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  102.35.35.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.30.0/24  Direct  0    0           D   172.16.30.1     GigabitEthernet0/0/1
    172.16.30.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  172.16.30.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
    172.16.31.0/24  OSPF    10   2           D   172.16.30.254   GigabitEthernet0/0/1
    172.16.32.0/24  OSPF    10   2           D   172.16.30.254   GigabitEthernet0/0/1
    172.16.33.0/24  OSPF    10   2           D   172.16.30.254   GigabitEthernet0/0/1
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

配置Easy IP在接口上实用

BJ_AR1边界路由

[BJ_AR1]acl 3000
[BJ_AR1-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255
[BJ_AR1-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255
[BJ_AR1-acl-adv-3000]rule 15 permit ip source 192.168.3.0 0.0.0.255
[BJ_AR1-acl-adv-3000]rule 20 permit ip source 192.168.4.0 0.0.0.255
[BJ_AR1]interface g0/0/0
[BJ_AR1-GigabitEthernet0/0/0]nat outbound 3000

北京PC1可以上外网

北京办公区PC1可以ping通外网

SH_AR1边界路由

[SH_AR1]acl 3000
[SH_AR1-acl-adv-3000]rule 5 permit ip source 172.16.30.0 0.0.0.255
[SH_AR1-acl-adv-3000]rule 10 permit ip source 172.16.31.0 0.0.0.255
[SH_AR1-acl-adv-3000]rule 15 permit ip source 172.16.32.0 0.0.0.255
[SH_AR1-acl-adv-3000]rule 20 permit ip source 172.16.33.0 0.0.0.255
[SH_AR1]interface g0/0/0
[SH_AR1-GigabitEthernet0/0/0]nat outbound 3000

上海PC5可以上外网

上海办公区PC5可以ping通外网

配置IPsec VPN

BJ_AR1边界路由

创建高级ACL；定义保护数据流-感兴趣流
[BJ_AR1]acl 3100
[BJ_AR1-acl-adv-3100] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.30.0 0.0.0.255
创建IPsec安全提议
[BJ_AR1]ipsec proposal BJ                                                             #创建名为BJ的IPsec安全提议
[BJ_AR1-ipsec-proposal-BJ]encapsulation-mode tunnel              #定义报文封装模式为隧道模式
[BJ_AR1-ipsec-proposal-BJ]transform esp                                    #定义隧道协议为ESP
[BJ_AR1-ipsec-proposal-BJ]esp authentication-algorithm sha1   #定义认证算法为sha1
[BJ_AR1-ipsec-proposal-BJ]esp encryption-algorithm 3des         #定义加密算法为3des
创建IPsec安全策略
[BJ_AR1]ipsec policy P10 10 manual                                                   #创建名为P10的IPsec安全策略
[BJ_AR1-ipsec-policy-manual-P10-10]security acl 3100                     #引用安全ACL
[BJ_AR1-ipsec-policy-manual-P10-10]proposal BJ                             #引用安全提议
[BJ_AR1-ipsec-policy-manual-P10-10]tunnel local 58.58.58.2            #本端隧道地址
[BJ_AR1-ipsec-policy-manual-P10-10]tunnel remote 102.35.35.2      #对端隧道地址
[BJ_AR1-ipsec-policy-manual-P10-10]sa spi inbound esp 123456     #定义sa入站参数
[BJ_AR1-ipsec-policy-manual-P10-10]sa string-key inbound esp simple BJSH  #定义sa入站密钥
[BJ_AR1-ipsec-policy-manual-P10-10]sa spi outbound esp 654321   #定义sa出站参数
[BJ_AR1-ipsec-policy-manual-P10-10]sa string-key outbound esp simple BJSH #定义sa入站密钥
接口应用IPsec安全策略
[BJ_AR1]interface g0/0/0
[BJ_AR1-GigabitEthernet0/0/0]ipsec policy P1

SH_AR1边界路由

创建高级ACL；定义保护数据流-感兴趣流
[SH_AR1]acl 3100
[SH_AR1-acl-adv-3100] rule 5 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
创建IPsec安全提议
[SH_AR1]ipsec proposal SH                                                             #创建名为SH的IPsec安全提议
[SH_AR1-ipsec-proposal-SH]encapsulation-mode tunnel              #定义报文封装模式为隧道模式
[SH_AR1-ipsec-proposal-SH]transform esp                                    #定义隧道协议为ESP
[SH_AR1-ipsec-proposal-SH]esp authentication-algorithm sha1   #定义认证算法为sha1
[SH_AR1-ipsec-proposal-SH]esp encryption-algorithm 3des         #定义加密算法为3des
创建IPsec安全策略
[SH_AR1]ipsec policy P10 10 manual                                                   #创建名为P10的IPsec安全策略
[SH_AR1-ipsec-policy-manual-P10-10]security acl 3100                     #引用安全ACL
[SH_AR1-ipsec-policy-manual-P10-10]proposal SH                             #引用安全提议
[SH_AR1-ipsec-policy-manual-P10-10]tunnel local 102.35.35.2           #本端隧道地址
[SH_AR1-ipsec-policy-manual-P10-10]tunnel remote 58.58.58.2         #对端隧道地址
[SH_AR1-ipsec-policy-manual-P10-10]sa spi inbound esp 654321     #定义sa入站参数
[SH_AR1-ipsec-policy-manual-P10-10]sa string-key inbound esp simple BJSH  #定义sa入站密钥
[SH_AR1-ipsec-policy-manual-P10-10]sa spi outbound esp 123456   #定义sa出站参数
[SH_AR1-ipsec-policy-manual-P10-10]sa string-key outbound esp simple BJSH #定义sa入站密钥
接口应用IPsec安全策略
[SH_AR1]interface g0/0/0
[SH_AR1-GigabitEthernet0/0/0]ipsec policy P10

配置nat豁免

BJ_AR1边界路由

[BJ_AR1]acl 3000
[BJ_AR1-acl-adv-3000]rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.30.0 0.0.0.255

SH_AR1边界路由

[SH_AR1]acl 3000
[SH_AR1-acl-adv-3000]rule 4 deny ip source 172.16.30.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

实现京沪FTP_Server互通

北京服务器ping上海服务器可以ping通

北京核心交换机ping上海服务器可以ping通

上海服务器ping北京服务器可以ping通

上海核心交换可以登录北京ftp服务器

Tags：VPN 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

VPN与MPLS：运维工程师揭秘两者差异，保障网络安全无忧

在当今的数字化时代，网络安全已成为企业和个人关注的焦点。VPN（虚拟专用网络）和MPLS（多协议标签交换）是两种常见的网络技术，它们在保障网络安全方面发挥着重要作用。本文将由运维...【详细内容】

2023-12-30　　Search: VPN 点击:(73)　　评论:(0)　　加入收藏

SD-WAN相对VPN有什么优势，能否完全取代VPN

现在很多的企业，都有访问海外网络的需求，传统的访问海外网络，可能用VPN的据多，但VPN期实并不符合国家的规定。而后又出现SD-WAN的技术，那么相对VPN，SD-WAN有哪些优势呢。SD-WAN相...【详细内容】

2023-12-14　　Search: VPN 点击:(110)　　评论:(0)　　加入收藏

什么叫分布式VPN？分布式VPN如何实现？

摘要什么是分布式VPN？通过无线AP将分支节点与总部服务器组成内网。这个方案为客户解决了分支节点连接总部的网络需求，并提供了以下优势：简单易用：本VPN是一种简单且易于部署的...【详细内容】

2023-12-08　　Search: VPN 点击:(116)　　评论:(0)　　加入收藏

VPN与翻墙：合法与非法使用之间的边界

VPN（虚拟私人网络）是一种可以在公共网络上建立加密通道的技术，通过这种技术可以使远程用户访问公司内部网络资源时，实现安全的连接和数据传输。翻墙是指绕过相应的IP封锁、内容...【详细内容】

2023-11-22　　Search: VPN 点击:(62)　　评论:(0)　　加入收藏

VPN技术在远程访问中的应用与实践

随着信息技术的发展，远程访问成为了一种常见的工作方式。为了保证远程访问的安全性和可靠性，VPN（VirtualPrivate Network）技术应运而生。本文将介绍VPN技术在远程访问中的应用与...【详细内容】

2023-11-22　　Search: VPN 点击:(122)　　评论:(0)　　加入收藏

配置Cisco AnyConnect VPN的5个步骤，缺一不可

随着越来越多的人远程工作或在混合环境中工作，IT部门和MSP在ASA防火墙上配置Cisco AnyConnect VPN的呼声越来越高。但是Cisco文档可能会非常混乱，这会导致一些组织的配置错误（...【详细内容】

2023-11-14　　Search: VPN 点击:(91)　　评论:(0)　　加入收藏

什么是VPN（虚拟私人网络）

VPN（虚拟私人网络）指的是在公用网络上建立专用网络的技术。VPN是一种在链路层实现加密/解密和数据验证功能，保障两点之间数据的机密性和完整性，并在中间节点能完成数字证书、签...【详细内容】

2023-09-05　　Search: VPN 点击:(262)　　评论:(0)　　加入收藏

堡垒机、跳板机和VPN的区别与应用

前言：为了保护网络和数据的安全，许多技术和工具被开发出来。其中，堡垒机、跳板机和VPN是网络安全领域中的三个重要技术。它们可以帮助企业和个人保护内部网络的安全性，控制访问...【详细内容】

2023-06-14　　Search: VPN 点击:(482)　　评论:(0)　　加入收藏

基于linux部署openvpn2.9 as

环境 CentOS7.9安装yum install -y open-vm-tools openvpn-as-bundled-clients-17.rpm yum install -y openvpn-as-2.9.2_04614689-CentOS7.x86_64.rpmyum install -y lrzsz...【详细内容】

2023-04-24　　Search: VPN 点击:(375)　　评论:(0)　　加入收藏

VPN禁令背后的真相：保护信息安全与维护网络治理

国内为什么要构建一道与世界沟通的防火墙？国内对VPN（Virtual Private Network，虚拟私人网络）的使用进行了严格限制，甚至禁止在国内使用VPN。这一举措引发了广泛的讨论和争议。有...【详细内容】

2023-04-11　　Search: VPN 点击:(377)　　评论:(0)　　加入收藏

▌简易百科推荐

iPhone或iPad用户必学：如何通过二维码快速共享Wi-Fi密码，简单又实用！

你有没有想过在不泄露网络密码的情况下与客人共享你的家庭或工作Wi-Fi？你肯定不是第一个这样想的人，我们很高兴地通知你，多亏了以下这个的变通方法，你现在可以使用iPhone或iPad...【详细内容】

2024-01-22　　驾驭信息纵横科技　　　　Tags:Wi-Fi密码　点击:(66)　　评论:(0)　　加入收藏

Windows 11网络连接问题诊断与解决小技巧，轻松解决上网问题！

在日常生活中，如果在连接网络时遇到问题，该如何排查解决？以下是一些故障排除步骤，可帮助你解决戴尔电脑上的无线网络连接问题。一起来看看吧！1、进行基本检查先进行一些基本检查...【详细内容】

2024-01-12　　戴尔维修工程师　　　　Tags: 　点击:(58)　　评论:(0)　　加入收藏

配置Cisco AnyConnect VPN的5个步骤，缺一不可

2023-11-14　　驾驭信息纵横科技　　　　Tags:VPN 　点击:(91)　　评论:(0)　　加入收藏

如何在Windows 10系统上设置DNS？

如果你正在使用Windows10操作系统，并且想要更好地控制你的网络服务，那么了解如何设置DNS（DomainNameSystem）是非常重要的。DNS是一种将域名解析为IP地址的服务，它能够让你在访问...【详细内容】

2023-11-10　　高梦文　　　　Tags:DNS 　点击:(191)　　评论:(0)　　加入收藏

RabbitMQ发送和接收消息的几种方式

channel.basicQos(0, 1, false)：0表示对消息的大小无限制，1表示每次只允许消费一条，false表示该限制不作用于channel。同时，我们采用手工ACK的方式，因为我们配置文件配置了 spri...【详细内容】

2023-11-08　　程序猿羊　　微信公众号　　Tags:RabbitMQ 　点击:(263)　　评论:(0)　　加入收藏

CISA发布十大常见网络安全错误配置

美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)在本周五的报告中公布了其红队和蓝队在大型组织网络中发现的十大最常见网络安全误配置。NSA和CISA在安全建议中详细说...【详细内容】

2023-11-07　　GoUpSec　　微信公众号　　Tags:CISA 　点击:(257)　　评论:(0)　　加入收藏

Istio Envoy 配置解读，看这篇就够了

前面我们创建了一个 Gateway 和 VirtualService 对象，用来对外暴露应用，然后我们就可以通过 ingressgateway 来访问 Bookinfo 应用了。那么这两个资源对象是如何实现的呢？Gatew...【详细内容】

2023-11-07　　k8s技术圈　　微信公众号　　Tags:Istio Envoy 　点击:(128)　　评论:(0)　　加入收藏

RabbitMQ的四种交换机详解

交换机主要是接收消息并且转发到绑定的队列，交换机不存储消息，在启用ack模式后，交换机找不到队列会返回错误。交换机有四种类型：Direct, topic, Headers and Fanout。图片一、to...【详细内容】

2023-11-06　　程序猿小杨　　微信公众号　　Tags:交换机　点击:(265)　　评论:(0)　　加入收藏

路由器配置NAT/UPNP/DMZ方法

常见路由器配置NAT（网络地址转换）、UPnP（通用即插即用）和DMZ（区域暴露）的方法可以根据不同的路由器品牌和型号有所不同，但通常会在路由器的管理界面中找到相关设置。以下是一般步骤...【详细内容】

2023-10-11　　晴间多云　　今日头条　　Tags:路由器配置　点击:(417)　　评论:(0)　　加入收藏

路由器如何正确安装？后台设置一步即可接入宽带

现在的路由器不论安装还是后台设置都非常方便，但一些网友可能是没有详细了解过相关的知识，所以每次想要更换路由器或者新装路由器的时候并不知道如何安装路由器接入自家宽带，这...【详细内容】

2023-09-21　　羽度非凡　　　　Tags:路由器　点击:(296)　　评论:(0)　　加入收藏

推荐资讯

早高峰打“飞的”有多	JavaScript的异步编程
Rust编程语言的内存安	数字人破解跨境直播难
Meta确认5月发布Llama	ChatGPT 应用商店？可能
社交网络与Web3：数字社	速查微信聊天最频繁对