【华为】IPSec VPN手动配置
【华为】IPSec VPN手动配置
- 拓扑
- 配置
- ISP - 2
- AR1
- NAT - Easy IP
- IPSec VPN
- AR3
- NAT
- IPsec VPN
- PC
- 检验
- 配置文档
- AR1
- AR2
拓扑
配置
配置步骤
1、配置IP地址,ISP 路由器用 Lo0 模拟互联网
2、漳州和福州两个出口路由器配置默认路由指向ISP路由器
3、进行 IPsec VPN配置,让两个站点内网互通,同时数据加密
4、IPSec 手动配置步骤
ISP - 2
[Huawei]sysn ISP-2[ISP-2]undo info-center enable
Info: Information center is disabled.[ISP-2]int g0/0/0
[ISP-2-GigabitEthernet0/0/0]ip address 202.101.12.2 30
[ISP-2-GigabitEthernet0/0/0]QU[ISP-2]INT g0/0/1[ISP-2-GigabitEthernet0/0/1]ip address 202.101.23.2 30
[ISP-2-GigabitEthernet0/0/1]qu[ISP-2]int LoopBack 0
[ISP-2-LoopBack0]ip address 1.1.1.1 32
[ISP-2-LoopBack0]qu
AR1
NAT - Easy IP
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 202.101.12.1 30
[AR1-GigabitEthernet0/0/0]qu[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[AR1-GigabitEthernet0/0/1]qu## 高级ACL,要记得把IPSec VPN走得流量先deny掉,这样子VPN才能通信成功
[AR1]acl 3000
## deny掉我漳州分公司内部流量192.168.10.0/24 去往福州总公司192.168.20.0/24 的流量
[AR1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
## 这个就是漳州公司需要上网的流量
[AR1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination any
[AR1-acl-adv-3000]qu## 作Easy IP进行上网
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 3000
[AR1-GigabitEthernet0/0/0]qu## 配置默认路由指向ISP
[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2
IPSec VPN
## 匹配上需要走VPN的流量
[AR1]acl number 3001
[AR1-acl-adv-3001] rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 19
2.168.20.0 0.0.0.255 ## 规则5,匹配源为192.168.10.0/24 目的为192.168.20.0/24 的流量
[AR1-acl-adv-3001]quit[AR1]ipsec proposal zz ## 创建IPSec 提议,名为“zz”
[AR1-ipsec-proposal-zz]esp authentication-algorithm md5 ## 认证算法采用md5(缺省)
[AR1-ipsec-proposal-zz]esp encryption-algorithm des ## 加密算法采用des(缺省)
[AR1-ipsec-proposal-zz]encapsulation-mode tunnel ## 传输方式为tunnel(缺省)
[AR1-ipsec-proposal-zz]quit[AR1]ipsec policy zhangzhou 1 manual ## 配置IPSec策略“zhangzhou”,方式为手动
[AR1-ipsec-policy-manual-zhangzhou-1]security acl 3001 ## 包含ACL 3001
[AR1-ipsec-policy-manual-zhangzhou-1]proposal zz ## 关联IPSec提议“zz”
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel local 202.101.12.1 ## 配置隧道本端地址 202.101.12.1
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel remote 202.101.23.1 ## 配置隧道对端地址 202.101.23.1
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi inbound esp 12345 ## 配置入方向的SA编号为12345
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key inbound esp cipher baixi ## 配置入方向SA的认证密钥为baixi
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi outbound esp 54321 ## 配置出方向的SA编号为54321
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key outbound esp cipher baixi ## 配置出方向的SA认证密钥为baixi## 在接口下应用IPsec策略“zhangzhou”
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ipsec policy zhangzhou
[AR1-GigabitEthernet0/0/0]qu
查看IPSec SA
display ipsec sa brief
AR3
NAT
<Huawei>sys
Enter system view, return user view with Ctrl+Z.[Huawei] sysname AR3[AR3] undo info-center enable
Info: Information center is disabled.[AR3]acl number 3000
[AR3-acl-adv-3000] rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.
168.10.0 0.0.0.255
[AR3-acl-adv-3000] rule 10 permit ip source 192.168.20.0 0.0.0.255
[AR3-acl-adv-3000]#quit[AR3]interface GigabitEthernet0/0/0
[AR3-GigabitEthernet0/0/0] ip address 202.101.23.1 255.255.255.252
[AR3-GigabitEthernet0/0/0] nat outbound 3000
[AR3-GigabitEthernet0/0/0]quit[AR3]interface GigabitEthernet0/0/1
[AR3-GigabitEthernet0/0/1] ip address 192.168.20.254 255.255.255.0
[AR3-GigabitEthernet0/0/1]quit[AR3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2
IPsec VPN
[AR3]acl number 3001
[AR3-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 19
2.168.10.0 0.0.0.255
[AR3-acl-adv-3001]quit[AR3]ipsec proposal fz
[AR3-ipsec-proposal-fz] esp authentication-algorithm md5
[AR3-ipsec-proposal-fz] esp encryption-algorithm des
[AR3-ipsec-proposal-fz] encapsulation-mode tunnel
[AR3-ipsec-proposal-fz]quit[AR3]ipsec policy fuzhou 1 manual
[AR3-ipsec-policy-manual-fuzhou-1] security acl 3001
[AR3-ipsec-policy-manual-fuzhou-1] proposal fz
[AR3-ipsec-policy-manual-fuzhou-1] tunnel local 202.101.23.1
[AR3-ipsec-policy-manual-fuzhou-1] tunnel remote 202.101.12.1
[AR3-ipsec-policy-manual-fuzhou-1]sa spi inbound esp 54321
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key inbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]sa spi outbound esp 12345
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key outbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]qu[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy fuzhou
查看AR3上的IPSec SA表
PC
检验
ping 成功啦
抓包查看
数据也全都进行ESP加密,成功
配置文档
AR1
#sysname AR1
#undo info-center enable
#
acl number 3000 rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255rule 10 permit ip source 192.168.10.0 0.0.0.255
#
interface GigabitEthernet0/0/0ip address 202.101.12.1 255.255.255.252 nat outbound 3000ipsec policy zhangzhou
#
interface GigabitEthernet0/0/1ip address 192.168.10.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2
#
acl number 3001 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55
#
ipsec proposal zzesp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel
#
ipsec policy zhangzhou 1 manualsecurity acl 3001proposal zztunnel local 202.101.12.1tunnel remote 202.101.23.1sa spi inbound esp 12345sa string-key inbound esp cipher baixisa spi outbound esp 54321sa string-key outbound esp cipher baixi
#
AR2
#sysname AR3
#undo info-center enable
#
acl number 3000 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255rule 10 permit ip source 192.168.20.0 0.0.0.255
#
interface GigabitEthernet0/0/0ip address 202.101.23.1 255.255.255.252 nat outbound 3000ipsec policy fuzhou
#
interface GigabitEthernet0/0/1ip address 192.168.20.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2
#
acl number 3001 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
#
ipsec proposal fzesp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel
#
ipsec policy fuzhou 1 manualsecurity acl 3001proposal fztunnel local 202.101.23.1tunnel remote 202.101.12.1sa spi inbound esp 54321sa string-key inbound esp cipher baixisa spi outbound esp 12345sa string-key outbound esp cipher baixi
#
相关文章:
【华为】IPSec VPN手动配置
【华为】IPSec VPN手动配置 拓扑配置ISP - 2AR1NAT - Easy IPIPSec VPN AR3NATIPsec VPN PC检验 配置文档AR1AR2 拓扑 配置 配置步骤 1、配置IP地址,ISP 路由器用 Lo0 模拟互联网 2、漳州和福州两个出口路由器配置默认路由指向ISP路由器 3、进行 IPsec VPN配置&…...
)
面试题分享之Java集合篇(三)
注意:文章若有错误的地方,欢迎评论区里面指正 🍭 系列文章目录 面试题分享之Java基础篇(二)面试题分享之Java基础篇(三) 面试题分享之Java集合篇(一)、 面试题分享之Ja…...
【python】模拟巴特沃斯滤波器
巴特沃斯滤波器(Butterworth Filter),以其设计者斯蒂芬巴特沃斯(Stephen Butterworth)的名字命名,是一种具有平滑频率响应的滤波器。这种滤波器在频域中具有非常平坦的无波纹响应,直到它达到截止…...
面试题:简述Go的垃圾回收机制
Go的GC(Garbage Collection, 垃圾回收)机制主要是用来自动释放不再被程序使用的内存,以防止内存泄漏。Go的垃圾回收是并发的,也就是说,它在主程序运行的同时进行垃圾回收。 1. 标记清除(Mark and Sweep) Go的垃圾回收器主要使用的是标记清除…...
Vue、React实现excel导出功能(三种实现方式保姆级讲解)
第一种:后端返回文件流,前端转换并导出(常用,通常公司都是用这种方式) 第二种:纯后端导出(需要了解) 第三种:纯前端导出(不建议使用,数据处理放…...
初识C语言——第十六天
C语言中的语句结构类型:顺序/选择/循环 分支语句 if else switch 循环语句 while for do whlie goto语句 代码练习:找两个整数的最大公约数和最小公倍数 #define _CRT_SECURE_NO_WARNINGS #include <stdio.h>//int main() //{ // int age 60; // if (ag…...
Vue的省份联动
Vue的省份联动 一、安装依赖库 npm install element-china-area-data -Snpm install element-ui --save全局使用elemntui组件库 import ElementUI from element-ui; import element-ui/lib/theme-chalk/index.css;Vue.use(ElementUI);二 、代码如下 <template><div…...
element-ui skeleton 组件源码分享
今日简单分享 skeleton 骨架屏组件源码,主要从以下四个方面来讲解: 1、skeleton 组件的页面结构 2、skeleton 组件的属性 3、skeleton item 组件的属性 4、skeleton 组件的 slot 一、skeleton 组件的页面结构 二、skeleton 组件的属性 2.1 animate…...
深度学习:基于TensorFlow、Keras,使用长短期记忆神经网络模型(LSTM)对Microsoft股票进行预测分析
前言 系列专栏:机器学习:高级应用与实践【项目实战100】【2024】✨︎ 在本专栏中不仅包含一些适合初学者的最新机器学习项目,每个项目都处理一组不同的问题,包括监督和无监督学习、分类、回归和聚类,而且涉及创建深度学…...
【websocket-客户端可视化工具】
postman 新版postman (版本v11以上) ,除了http协议,还支持了Websocket,MQTT,gRPC等多种连接协议,可以作为多种协议的客户端,使用起来非常方便。 使用 服务端代码 这里以websocket协议举例,代…...
STC8增强型单片机开发——C51版本Keil环境搭建
一、目标 了解C51版本Keil开发环境的概念和用途掌握C51版本Keil环境的安装和配置方法熟悉C51版本Keil开发环境的使用 二、准备工作 Windows 操作系统Keil C51 安装包(可以从Keil官网下载)一款8051单片机开发板 三、搭建流程 环境搭建的基本流程…...
Ansible——playbook编写
目录 环境配置 一、简介 1.什么是playbook 2.playbook组成 二、应用实例 1.基础命令 1.编写 ceshi1.yaml 文件 2.运行Playbook 2.定义、引用变量 1.编写ceshi2.yaml文件 3.指定远程主机sudo切换用户 1.编写ceshi3.yaml文件 2.修改被控主机sudoers文件 3.给zhangsa…...
95、动态规划-编辑距离
递归暴力解法 递归方法的基本思想是考虑最后一个字符的操作,然后根据这些操作递归处理子问题。 递归函数定义:定义一个递归函数 minDistance(i, j),表示将 word1 的前 i 个字符转换成 word2 的前 j 个字符所需的最小操作数。 递归终止条件…...
linux调试
文章目录 1. 使用打印来调试1.1 重定向1.2 标准预定义宏1.3 日志代码 2. 内核异常2.1 内核打印2.1.1 打印级别2.1.2 跟踪异常2.1.3 动态打印2.1.4 RAM console 2.2 OOPS2.2.1 有源代码的情况2.2.2 没有源代码的情况 3 查看日志4 工具调试 1. 使用打印来调试 1.1 重定向 2>…...
【C++】string类的使用②(容量接口Capacity || 元素获取Element access)
🔥个人主页: Forcible Bug Maker 🔥专栏: STL || C 目录 前言🔥容量接口(Capacity)size和lengthcapacitymax_sizereserveresizeclearemptyshrink_to_fit 🔥元素获取(Ele…...
【漏洞复现】某小日子太阳能系统DataCube3审计
漏洞描述 某小日子太阳能系统DataCube3终端测量系统 多个漏洞利用方式 免责声明 技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进…...
探索Java的未来
目录 一、云计算与大数据 二、人工智能与机器学习 三、物联网与边缘计算 四、安全性与性能优化 五、社区与生态 Java,作为一种广泛使用的编程语言,自其诞生以来就以其跨平台性、面向对象特性和丰富的库资源赢得了开发者的青睐。然而,随着…...
Web3 ETF软件开发
开发Web3 ETF软件涉及到金融、法律和技术等多个领域的专业知识,因此存在以下技术难点,开发Web3 ETF软件是一项复杂的技术挑战,需要综合考虑各种因素。开发人员需要具备较强的技术能力和跨学科知识才能成功开发Web3 ETF软件。北京木奇移动技术…...
初始MySQL
初始化MySQL数据库通常涉及以下步骤: 下载并安装MySQL: 你可以从MySQL官方网站下载适合你的操作系统的MySQL安装包。安装时,遵循安装向导的步骤,通常包括选择安装位置、选择组件(例如MySQL服务器、MySQL Workbench等&a…...
)
STM32项目下载清单(不定时更新)
收集的一些资料,分享下载 电赛一等奖作品,老人健康监测智能手表(STM32F4主控) STM32数字示波器源码数字信号处理教程、配套实例基于stm32 nucleo_L476的智能灯(操作说明源码)基于STM32 NUCLEO板设计彩色LE…...
CMake基础:构建流程详解
目录 1.CMake构建过程的基本流程 2.CMake构建的具体步骤 2.1.创建构建目录 2.2.使用 CMake 生成构建文件 2.3.编译和构建 2.4.清理构建文件 2.5.重新配置和构建 3.跨平台构建示例 4.工具链与交叉编译 5.CMake构建后的项目结构解析 5.1.CMake构建后的目录结构 5.2.构…...
服务器硬防的应用场景都有哪些?
服务器硬防是指一种通过硬件设备层面的安全措施来防御服务器系统受到网络攻击的方式,避免服务器受到各种恶意攻击和网络威胁,那么,服务器硬防通常都会应用在哪些场景当中呢? 硬防服务器中一般会配备入侵检测系统和预防系统&#x…...
全球首个30米分辨率湿地数据集(2000—2022)
数据简介 今天我们分享的数据是全球30米分辨率湿地数据集,包含8种湿地亚类,该数据以0.5X0.5的瓦片存储,我们整理了所有属于中国的瓦片名称与其对应省份,方便大家研究使用。 该数据集作为全球首个30米分辨率、覆盖2000–2022年时间…...
如何在看板中有效管理突发紧急任务
在看板中有效管理突发紧急任务需要:设立专门的紧急任务通道、重新调整任务优先级、保持适度的WIP(Work-in-Progress)弹性、优化任务处理流程、提高团队应对突发情况的敏捷性。其中,设立专门的紧急任务通道尤为重要,这能…...
sqlserver 根据指定字符 解析拼接字符串
DECLARE LotNo NVARCHAR(50)A,B,C DECLARE xml XML ( SELECT <x> REPLACE(LotNo, ,, </x><x>) </x> ) DECLARE ErrorCode NVARCHAR(50) -- 提取 XML 中的值 SELECT value x.value(., VARCHAR(MAX))…...
MySQL 8.0 OCP 英文题库解析(十三)
Oracle 为庆祝 MySQL 30 周年,截止到 2025.07.31 之前。所有人均可以免费考取原价245美元的MySQL OCP 认证。 从今天开始,将英文题库免费公布出来,并进行解析,帮助大家在一个月之内轻松通过OCP认证。 本期公布试题111~120 试题1…...
关键领域软件测试的突围之路:如何破解安全与效率的平衡难题
在数字化浪潮席卷全球的今天,软件系统已成为国家关键领域的核心战斗力。不同于普通商业软件,这些承载着国家安全使命的软件系统面临着前所未有的质量挑战——如何在确保绝对安全的前提下,实现高效测试与快速迭代?这一命题正考验着…...
A2A JS SDK 完整教程:快速入门指南
目录 什么是 A2A JS SDK?A2A JS 安装与设置A2A JS 核心概念创建你的第一个 A2A JS 代理A2A JS 服务端开发A2A JS 客户端使用A2A JS 高级特性A2A JS 最佳实践A2A JS 故障排除 什么是 A2A JS SDK? A2A JS SDK 是一个专为 JavaScript/TypeScript 开发者设计的强大库ÿ…...
scikit-learn机器学习
# 同时添加如下代码, 这样每次环境(kernel)启动的时候只要运行下方代码即可: # Also add the following code, # so that every time the environment (kernel) starts, # just run the following code: import sys sys.path.append(/home/aistudio/external-libraries)机…...
为什么要创建 Vue 实例
核心原因:Vue 需要一个「控制中心」来驱动整个应用 你可以把 Vue 实例想象成你应用的**「大脑」或「引擎」。它负责协调模板、数据、逻辑和行为,将它们变成一个活的、可交互的应用**。没有这个实例,你的代码只是一堆静态的 HTML、JavaScript 变量和函数,无法「活」起来。 …...