本帖最后由 宅男女神 于 2016-9-9 00:15 编辑 2 \4 Q3 f, l8 W4 j( @
6 e+ G& Z# N' s4 d: n* }) k
华为VPN专题技术工程师培训上机指导书(IPsec NAT+L2lTP详解)
华为VPN专题技术工程师培训上机指导书(IPsec NAT+L2lTP详解)
S/ i& |5 v( O j$ s% a1 }( N8 i
ISSUE 1.00 ......................................................................................................................................... 1
' v! U- u8 d ~; p5 ]1 手册说明 ......................................................................................................................................... 5. u/ M3 f6 h7 C$ `: b0 \
1.1 适用范围......................................................................................................................................... 5
* N/ J0 l7 A: V/ C4 e# \1.2 适用防火墙产品描述..................................................................................................................... 56 D# J8 m3 |. Y5 h) `% n
1.3 图示.............................................................................................................................................. 20
! B; l9 w4 c0 r, {7 @( Q1 {2 防火墙VPN高级技术实验......................................................................................................... 21
6 Q; r6 b6 A6 W2.1 IPSEC 建立点到多点SA策略模板方式..................................................................................... 21# ~2 V+ o3 P, ~: A
2.2 IPSEC的NAT穿越策略模板方式................................................................................................ 26
, a- v! k5 r3 C# ]2.3 L2TP over IPSEC组网(VPN Client).................................................................................... 33
: Y4 d: t9 G, r$ V3 VPN特性故障排除实验 .............................................................................................................. 40
# h0 V; O+ z H$ E# ^' t3.1 VPN特性故障排除........................................................................................................................ 409 U4 n; Q7 r, R* ~
( Q- r" x4 d x% X0 _9 z
( E7 Q/ T# I' V6 |8 R5.2.3实验拓扑图
+ j% h$ n4 B' `6 s5 Y, [ w
华为VPN专题技术工程师培训上机指导书(IPsec NAT+L2lTP详解)
( W7 E& t& m% E! y% ]. E& h图2-2 NAT穿越实验组网图示
- y8 I) e. y/ a* | PC2发起IPSEC连接,能与PC1之间进行安全通信,在FWA与FWC之间使用IKE野蛮模式自动协商+策略模板建立安全通道。
: _* \ ~4 c# R" u PC2可以访问公网。
. P1 I: q5 \( i% S: n" `8 y 在FWA和FWB上均配置序列号为10的IKE提议。1 U/ ]. k6 n- G+ C
为使用pre-shared key验证方法的提议配置验证字。" y* }) _/ [" l) S: n' @
FWA为固定公网地址,FWB的公网IP地址与IPSEC配置无关,FWC为内网地址, 动静态无关。
6 `8 r5 K2 R1 n4 A5.2.4配置步骤5 B' O5 `1 M+ K
1. 整体网络搭建2 ?' o$ ]- l, c6 V# P: w0 a9 f9 L
# 防火墙A、B、C之间需保证互通。防火墙B配置NAT后,需保证防火墙C能够在做地址转换后与防火墙A互通。防火墙B只需做普通NAT配置。! J# z% q/ P/ o% }/ A
2. 防火墙A基本配置,包括IP地址及路由
9 T7 l" B9 W; d4 ]" C# 配置到达其他分支节点的静态路由
- c2 c8 ]" d# }& l2 S[FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2
, W1 C( S1 B% Y2 s, A9 z0 q# 定义用于包过滤和加密的数据流, 在模板方式下, 总部只建立一个ACL, ACL的源可以定义包括总部和分支的所有网段,用于分支网点的互通.目的是各分支机构的明细路由,对于每一个分支机构,建议配置一个rule.
: B' \! m9 G. o" Z" _! j! @[FWA]acl 30009 \. m6 V& C, L" y0 j u6 G6 g
[FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255$ w1 e! Y. Y1 [ x
# 配置trust与untrust域间包过滤规则
$ e/ `0 m& g+ _4 e" Z& M7 u; E[FWA]firewall packet-filter default permit interzone trust untrust
* N7 Y" _2 r9 V# 配置untrust与local域间包过滤规则5 |) B' U9 q: m- ?
[FWA]firewall packet-filter default permit interzone local untrust8 ~/ P4 Q3 D: u7 W O
Trust和untrust的域间规则需要配置默认放开,也可以配置ACL放开. 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。
3 K9 x. e& i1 q2 }3. 防火墙A配置IPSec安全提议" o, l* D3 @% W
# 配置IKE本地名称
1 H c- r7 m6 U[FWA] ike local-name FWA) b2 ^: `; {; \, l2 _. y# q
# 创建名为tran1的IPSec提议。
5 M @7 u$ Y' _5 U& \& G) Q6 NHUAWEI 构建安全网络架构工程师培训上机指导书
( y7 A0 N% \6 d. z F* U5 M$ `28 F; @& i. i# i0 c7 r4 m7 ~3 X
[FWA]IPSec proposal tran1* K/ }- h% Y! j& x( O
# 配置安全协议。+ g8 E& n5 L2 `2 p
[FWA-IPSec-proposal-tran1]transform esp4 V# k* W/ [1 ~1 f! B0 w
Esp为默认安全协议,可以不配置* D& i4 o' @9 @# G8 j f0 q* P
# 配置报文封装类型。
4 ?$ a+ }: F/ L( _/ Z O+ g[FWA-IPSec-proposal-tran1]encapsulation-mode tunnel6 t* r: J% A v9 ]
Tunnel为默认封装类型,可以不配置3 j& v! s% i# z3 J
# 配置ESP协议的认证算法。* s9 M1 _1 y6 T
[FWA-IPSec-proposal-tran1]esp authentication-algorithm md59 d5 h; x& z" D' }1 o& Q
md5为默认ESP协议的认证算法, 可以不配置
+ C( w& p- `/ p4 B k7 ]; A# 配置ESP协议的加密算法。
' S5 p$ W( v8 m6 ^[FWA-IPSec-proposal-tran1]esp encryption-algorithm des/ ~- ]1 N y- \% W8 q4 k% U) [
des为默认ESP协议的加密算法, 可以不配置
6 v- e+ M+ F r# 退回系统视图. e0 C' x6 _! ~# T
[FWA-IPSec-proposal-tran1]quit
) J4 ]/ I: |" W4. 防火墙A配置IKE提议。
/ |! J2 V0 p3 l5 X8 W! V" z7 } y[FWA] ike proposal 104 X6 e1 B" f1 @) T5 e
# 配置使用pre-shared-key验证方法。' X7 z& |& i0 x U! O
[FWA-ike-proposal-10] authentication-method pre-share, R: L3 s* Q% d! E6 g* [8 X
pre-shared-key验证方法为默认验证方法,可以不配置
7 ~9 x/ W8 J5 H H4 x' v0 N# 配置使用SHA1验证算法。
/ ?2 \& E" _9 v[FWA-ike-proposal-10] authentication-algorithm sha1
+ m" V+ M8 ^5 g3 y! `* cSha1为默认验证算法,可以不配置9 Z9 |+ W6 R- u) w* i% V, b
# 配置ISAKMP SA的生存周期为86400秒。
3 L$ v9 a4 v6 H/ v% S9 a[FWA-ike-proposal-10] sa duration 86400
& ^8 S; c3 T' M6 _. R. k+ N86400秒为默认AKMP SA的生存周期
' F5 L" s' ~) n6 @+ C# 退回系统视图。
1 @7 P7 `- g* ]0 i" S9 k[FWA-ike-proposal-10] quit, I8 F% P, ~( v6 ~' g% }1 e
5. 防火墙A配置IKE Peer8 `- _: C; `4 c3 P. {( ]
# 创建名为a的IKE peer, 模板方式下,只需要创建一个peer. ?& L0 ], a5 I! q/ B! _0 {4 T' S
[FWA] ike peer a
, ?2 M0 |1 L0 f" j# A% l' H8 W# 引用IKE安全提议。
' O% j3 I# j) w- _- @3 b, T[FWA-ike-peer-a] ike-proposal 108 o( g, R) o( N9 L% s% ]0 o
# 配置验证字为“huawei”。5 ]; i6 w0 {& [
[FWA-ike-peer-a] pre-shared-key Huawei, o, o' U/ ` r2 ~6 u$ u
# 配置ID类型为name方式! A( j2 S, a6 D% R! S7 C1 i6 D
[FWA-ike-peer-a] local-id-type name
2 D6 ?9 x$ }0 s2 ^" [$ j1 L# 配置对端认证使用的name
, j& x6 a$ b( i4 O' u
( @4 c7 ]( s. J
2 f+ q6 }5 j# @资源批量下载地址: ---> http://bbs.vlan5.com/forum-94-1.html) _" r5 T( {# Z7 k8 l
更多精品资源,打包下载(可按知识点/发布日期/培训班/讲师等方式批量下载视频/文档/资料/电子书)
6 k7 i' H" k7 E/ \, \, Q) X \ B; W8 I$ c2 }5 `+ W6 m" j/ x; r
本贴附件下载链接:
) L3 ]5 E: f: x- j. n1 X7 Q) j: m o+ \8 r, b
|
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
