【华为】IPSec VPN手动配置
【华为】IPSec VPN手动配置
- 拓扑
- 配置
- ISP - 2
- AR1
- NAT - Easy IP
- IPSec VPN
- AR3
- NAT
- IPsec VPN
- PC
- 检验
- 配置文档
- AR1
- AR2
拓扑
配置
配置步骤
1、配置IP地址,ISP 路由器用 Lo0 模拟互联网
2、漳州和福州两个出口路由器配置默认路由指向ISP路由器
3、进行 IPsec VPN配置,让两个站点内网互通,同时数据加密
4、IPSec 手动配置步骤
ISP - 2
[Huawei]sysn ISP-2[ISP-2]undo info-center enable
Info: Information center is disabled.[ISP-2]int g0/0/0
[ISP-2-GigabitEthernet0/0/0]ip address 202.101.12.2 30
[ISP-2-GigabitEthernet0/0/0]QU[ISP-2]INT g0/0/1[ISP-2-GigabitEthernet0/0/1]ip address 202.101.23.2 30
[ISP-2-GigabitEthernet0/0/1]qu[ISP-2]int LoopBack 0
[ISP-2-LoopBack0]ip address 1.1.1.1 32
[ISP-2-LoopBack0]qu
AR1
NAT - Easy IP
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 202.101.12.1 30
[AR1-GigabitEthernet0/0/0]qu[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[AR1-GigabitEthernet0/0/1]qu## 高级ACL,要记得把IPSec VPN走得流量先deny掉,这样子VPN才能通信成功
[AR1]acl 3000
## deny掉我漳州分公司内部流量192.168.10.0/24 去往福州总公司192.168.20.0/24 的流量
[AR1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
## 这个就是漳州公司需要上网的流量
[AR1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination any
[AR1-acl-adv-3000]qu## 作Easy IP进行上网
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 3000
[AR1-GigabitEthernet0/0/0]qu## 配置默认路由指向ISP
[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2
IPSec VPN
## 匹配上需要走VPN的流量
[AR1]acl number 3001
[AR1-acl-adv-3001] rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 19
2.168.20.0 0.0.0.255 ## 规则5,匹配源为192.168.10.0/24 目的为192.168.20.0/24 的流量
[AR1-acl-adv-3001]quit[AR1]ipsec proposal zz ## 创建IPSec 提议,名为“zz”
[AR1-ipsec-proposal-zz]esp authentication-algorithm md5 ## 认证算法采用md5(缺省)
[AR1-ipsec-proposal-zz]esp encryption-algorithm des ## 加密算法采用des(缺省)
[AR1-ipsec-proposal-zz]encapsulation-mode tunnel ## 传输方式为tunnel(缺省)
[AR1-ipsec-proposal-zz]quit[AR1]ipsec policy zhangzhou 1 manual ## 配置IPSec策略“zhangzhou”,方式为手动
[AR1-ipsec-policy-manual-zhangzhou-1]security acl 3001 ## 包含ACL 3001
[AR1-ipsec-policy-manual-zhangzhou-1]proposal zz ## 关联IPSec提议“zz”
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel local 202.101.12.1 ## 配置隧道本端地址 202.101.12.1
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel remote 202.101.23.1 ## 配置隧道对端地址 202.101.23.1
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi inbound esp 12345 ## 配置入方向的SA编号为12345
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key inbound esp cipher baixi ## 配置入方向SA的认证密钥为baixi
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi outbound esp 54321 ## 配置出方向的SA编号为54321
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key outbound esp cipher baixi ## 配置出方向的SA认证密钥为baixi## 在接口下应用IPsec策略“zhangzhou”
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ipsec policy zhangzhou
[AR1-GigabitEthernet0/0/0]qu
查看IPSec SA
display ipsec sa brief
AR3
NAT
<Huawei>sys
Enter system view, return user view with Ctrl+Z.[Huawei] sysname AR3[AR3] undo info-center enable
Info: Information center is disabled.[AR3]acl number 3000
[AR3-acl-adv-3000] rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.
168.10.0 0.0.0.255
[AR3-acl-adv-3000] rule 10 permit ip source 192.168.20.0 0.0.0.255
[AR3-acl-adv-3000]#quit[AR3]interface GigabitEthernet0/0/0
[AR3-GigabitEthernet0/0/0] ip address 202.101.23.1 255.255.255.252
[AR3-GigabitEthernet0/0/0] nat outbound 3000
[AR3-GigabitEthernet0/0/0]quit[AR3]interface GigabitEthernet0/0/1
[AR3-GigabitEthernet0/0/1] ip address 192.168.20.254 255.255.255.0
[AR3-GigabitEthernet0/0/1]quit[AR3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2
IPsec VPN
[AR3]acl number 3001
[AR3-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 19
2.168.10.0 0.0.0.255
[AR3-acl-adv-3001]quit[AR3]ipsec proposal fz
[AR3-ipsec-proposal-fz] esp authentication-algorithm md5
[AR3-ipsec-proposal-fz] esp encryption-algorithm des
[AR3-ipsec-proposal-fz] encapsulation-mode tunnel
[AR3-ipsec-proposal-fz]quit[AR3]ipsec policy fuzhou 1 manual
[AR3-ipsec-policy-manual-fuzhou-1] security acl 3001
[AR3-ipsec-policy-manual-fuzhou-1] proposal fz
[AR3-ipsec-policy-manual-fuzhou-1] tunnel local 202.101.23.1
[AR3-ipsec-policy-manual-fuzhou-1] tunnel remote 202.101.12.1
[AR3-ipsec-policy-manual-fuzhou-1]sa spi inbound esp 54321
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key inbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]sa spi outbound esp 12345
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key outbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]qu[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy fuzhou
查看AR3上的IPSec SA表
PC
检验
ping 成功啦
抓包查看
数据也全都进行ESP加密,成功
配置文档
AR1
#sysname AR1
#undo info-center enable
#
acl number 3000 rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255rule 10 permit ip source 192.168.10.0 0.0.0.255
#
interface GigabitEthernet0/0/0ip address 202.101.12.1 255.255.255.252 nat outbound 3000ipsec policy zhangzhou
#
interface GigabitEthernet0/0/1ip address 192.168.10.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2
#
acl number 3001 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55
#
ipsec proposal zzesp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel
#
ipsec policy zhangzhou 1 manualsecurity acl 3001proposal zztunnel local 202.101.12.1tunnel remote 202.101.23.1sa spi inbound esp 12345sa string-key inbound esp cipher baixisa spi outbound esp 54321sa string-key outbound esp cipher baixi
#
AR2
#sysname AR3
#undo info-center enable
#
acl number 3000 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255rule 10 permit ip source 192.168.20.0 0.0.0.255
#
interface GigabitEthernet0/0/0ip address 202.101.23.1 255.255.255.252 nat outbound 3000ipsec policy fuzhou
#
interface GigabitEthernet0/0/1ip address 192.168.20.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2
#
acl number 3001 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
#
ipsec proposal fzesp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel
#
ipsec policy fuzhou 1 manualsecurity acl 3001proposal fztunnel local 202.101.23.1tunnel remote 202.101.12.1sa spi inbound esp 54321sa string-key inbound esp cipher baixisa spi outbound esp 12345sa string-key outbound esp cipher baixi
#
相关文章:
【华为】IPSec VPN手动配置
【华为】IPSec VPN手动配置 拓扑配置ISP - 2AR1NAT - Easy IPIPSec VPN AR3NATIPsec VPN PC检验 配置文档AR1AR2 拓扑 配置 配置步骤 1、配置IP地址,ISP 路由器用 Lo0 模拟互联网 2、漳州和福州两个出口路由器配置默认路由指向ISP路由器 3、进行 IPsec VPN配置&…...
)
面试题分享之Java集合篇(三)
注意:文章若有错误的地方,欢迎评论区里面指正 🍭 系列文章目录 面试题分享之Java基础篇(二)面试题分享之Java基础篇(三) 面试题分享之Java集合篇(一)、 面试题分享之Ja…...
【python】模拟巴特沃斯滤波器
巴特沃斯滤波器(Butterworth Filter),以其设计者斯蒂芬巴特沃斯(Stephen Butterworth)的名字命名,是一种具有平滑频率响应的滤波器。这种滤波器在频域中具有非常平坦的无波纹响应,直到它达到截止…...
面试题:简述Go的垃圾回收机制
Go的GC(Garbage Collection, 垃圾回收)机制主要是用来自动释放不再被程序使用的内存,以防止内存泄漏。Go的垃圾回收是并发的,也就是说,它在主程序运行的同时进行垃圾回收。 1. 标记清除(Mark and Sweep) Go的垃圾回收器主要使用的是标记清除…...
Vue、React实现excel导出功能(三种实现方式保姆级讲解)
第一种:后端返回文件流,前端转换并导出(常用,通常公司都是用这种方式) 第二种:纯后端导出(需要了解) 第三种:纯前端导出(不建议使用,数据处理放…...
初识C语言——第十六天
C语言中的语句结构类型:顺序/选择/循环 分支语句 if else switch 循环语句 while for do whlie goto语句 代码练习:找两个整数的最大公约数和最小公倍数 #define _CRT_SECURE_NO_WARNINGS #include <stdio.h>//int main() //{ // int age 60; // if (ag…...
Vue的省份联动
Vue的省份联动 一、安装依赖库 npm install element-china-area-data -Snpm install element-ui --save全局使用elemntui组件库 import ElementUI from element-ui; import element-ui/lib/theme-chalk/index.css;Vue.use(ElementUI);二 、代码如下 <template><div…...
element-ui skeleton 组件源码分享
今日简单分享 skeleton 骨架屏组件源码,主要从以下四个方面来讲解: 1、skeleton 组件的页面结构 2、skeleton 组件的属性 3、skeleton item 组件的属性 4、skeleton 组件的 slot 一、skeleton 组件的页面结构 二、skeleton 组件的属性 2.1 animate…...
深度学习:基于TensorFlow、Keras,使用长短期记忆神经网络模型(LSTM)对Microsoft股票进行预测分析
前言 系列专栏:机器学习:高级应用与实践【项目实战100】【2024】✨︎ 在本专栏中不仅包含一些适合初学者的最新机器学习项目,每个项目都处理一组不同的问题,包括监督和无监督学习、分类、回归和聚类,而且涉及创建深度学…...
【websocket-客户端可视化工具】
postman 新版postman (版本v11以上) ,除了http协议,还支持了Websocket,MQTT,gRPC等多种连接协议,可以作为多种协议的客户端,使用起来非常方便。 使用 服务端代码 这里以websocket协议举例,代…...
STC8增强型单片机开发——C51版本Keil环境搭建
一、目标 了解C51版本Keil开发环境的概念和用途掌握C51版本Keil环境的安装和配置方法熟悉C51版本Keil开发环境的使用 二、准备工作 Windows 操作系统Keil C51 安装包(可以从Keil官网下载)一款8051单片机开发板 三、搭建流程 环境搭建的基本流程…...
Ansible——playbook编写
目录 环境配置 一、简介 1.什么是playbook 2.playbook组成 二、应用实例 1.基础命令 1.编写 ceshi1.yaml 文件 2.运行Playbook 2.定义、引用变量 1.编写ceshi2.yaml文件 3.指定远程主机sudo切换用户 1.编写ceshi3.yaml文件 2.修改被控主机sudoers文件 3.给zhangsa…...
95、动态规划-编辑距离
递归暴力解法 递归方法的基本思想是考虑最后一个字符的操作,然后根据这些操作递归处理子问题。 递归函数定义:定义一个递归函数 minDistance(i, j),表示将 word1 的前 i 个字符转换成 word2 的前 j 个字符所需的最小操作数。 递归终止条件…...
linux调试
文章目录 1. 使用打印来调试1.1 重定向1.2 标准预定义宏1.3 日志代码 2. 内核异常2.1 内核打印2.1.1 打印级别2.1.2 跟踪异常2.1.3 动态打印2.1.4 RAM console 2.2 OOPS2.2.1 有源代码的情况2.2.2 没有源代码的情况 3 查看日志4 工具调试 1. 使用打印来调试 1.1 重定向 2>…...
【C++】string类的使用②(容量接口Capacity || 元素获取Element access)
🔥个人主页: Forcible Bug Maker 🔥专栏: STL || C 目录 前言🔥容量接口(Capacity)size和lengthcapacitymax_sizereserveresizeclearemptyshrink_to_fit 🔥元素获取(Ele…...
【漏洞复现】某小日子太阳能系统DataCube3审计
漏洞描述 某小日子太阳能系统DataCube3终端测量系统 多个漏洞利用方式 免责声明 技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进…...
探索Java的未来
目录 一、云计算与大数据 二、人工智能与机器学习 三、物联网与边缘计算 四、安全性与性能优化 五、社区与生态 Java,作为一种广泛使用的编程语言,自其诞生以来就以其跨平台性、面向对象特性和丰富的库资源赢得了开发者的青睐。然而,随着…...
Web3 ETF软件开发
开发Web3 ETF软件涉及到金融、法律和技术等多个领域的专业知识,因此存在以下技术难点,开发Web3 ETF软件是一项复杂的技术挑战,需要综合考虑各种因素。开发人员需要具备较强的技术能力和跨学科知识才能成功开发Web3 ETF软件。北京木奇移动技术…...
初始MySQL
初始化MySQL数据库通常涉及以下步骤: 下载并安装MySQL: 你可以从MySQL官方网站下载适合你的操作系统的MySQL安装包。安装时,遵循安装向导的步骤,通常包括选择安装位置、选择组件(例如MySQL服务器、MySQL Workbench等&a…...
)
STM32项目下载清单(不定时更新)
收集的一些资料,分享下载 电赛一等奖作品,老人健康监测智能手表(STM32F4主控) STM32数字示波器源码数字信号处理教程、配套实例基于stm32 nucleo_L476的智能灯(操作说明源码)基于STM32 NUCLEO板设计彩色LE…...
springboot 百货中心供应链管理系统小程序
一、前言 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,百货中心供应链管理系统被用户普遍使用,为方…...
Redis相关知识总结(缓存雪崩,缓存穿透,缓存击穿,Redis实现分布式锁,如何保持数据库和缓存一致)
文章目录 1.什么是Redis?2.为什么要使用redis作为mysql的缓存?3.什么是缓存雪崩、缓存穿透、缓存击穿?3.1缓存雪崩3.1.1 大量缓存同时过期3.1.2 Redis宕机 3.2 缓存击穿3.3 缓存穿透3.4 总结 4. 数据库和缓存如何保持一致性5. Redis实现分布式…...
连锁超市冷库节能解决方案:如何实现超市降本增效
在连锁超市冷库运营中,高能耗、设备损耗快、人工管理低效等问题长期困扰企业。御控冷库节能解决方案通过智能控制化霜、按需化霜、实时监控、故障诊断、自动预警、远程控制开关六大核心技术,实现年省电费15%-60%,且不改动原有装备、安装快捷、…...
聊一聊接口测试的意义有哪些?
目录 一、隔离性 & 早期测试 二、保障系统集成质量 三、验证业务逻辑的核心层 四、提升测试效率与覆盖度 五、系统稳定性的守护者 六、驱动团队协作与契约管理 七、性能与扩展性的前置评估 八、持续交付的核心支撑 接口测试的意义可以从四个维度展开,首…...
【开发技术】.Net使用FFmpeg视频特定帧上绘制内容
目录 一、目的 二、解决方案 2.1 什么是FFmpeg 2.2 FFmpeg主要功能 2.3 使用Xabe.FFmpeg调用FFmpeg功能 2.4 使用 FFmpeg 的 drawbox 滤镜来绘制 ROI 三、总结 一、目的 当前市场上有很多目标检测智能识别的相关算法,当前调用一个医疗行业的AI识别算法后返回…...
)
Android第十三次面试总结(四大 组件基础)
Activity生命周期和四大启动模式详解 一、Activity 生命周期 Activity 的生命周期由一系列回调方法组成,用于管理其创建、可见性、焦点和销毁过程。以下是核心方法及其调用时机: onCreate() 调用时机:Activity 首次创建时调用。…...
Java + Spring Boot + Mybatis 实现批量插入
在 Java 中使用 Spring Boot 和 MyBatis 实现批量插入可以通过以下步骤完成。这里提供两种常用方法:使用 MyBatis 的 <foreach> 标签和批处理模式(ExecutorType.BATCH)。 方法一:使用 XML 的 <foreach> 标签ÿ…...
JVM虚拟机:内存结构、垃圾回收、性能优化
1、JVM虚拟机的简介 Java 虚拟机(Java Virtual Machine 简称:JVM)是运行所有 Java 程序的抽象计算机,是 Java 语言的运行环境,实现了 Java 程序的跨平台特性。JVM 屏蔽了与具体操作系统平台相关的信息,使得 Java 程序只需生成在 JVM 上运行的目标代码(字节码),就可以…...
Go语言多线程问题
打印零与奇偶数(leetcode 1116) 方法1:使用互斥锁和条件变量 package mainimport ("fmt""sync" )type ZeroEvenOdd struct {n intzeroMutex sync.MutexevenMutex sync.MutexoddMutex sync.Mutexcurrent int…...
Python+ZeroMQ实战:智能车辆状态监控与模拟模式自动切换
目录 关键点 技术实现1 技术实现2 摘要: 本文将介绍如何利用Python和ZeroMQ消息队列构建一个智能车辆状态监控系统。系统能够根据时间策略自动切换驾驶模式(自动驾驶、人工驾驶、远程驾驶、主动安全),并通过实时消息推送更新车…...