前言:
如今兄弟们对“ensp防火墙基础配置”大约比较注重,大家都想要知道一些“ensp防火墙基础配置”的相关内容。那么小编在网摘上收集了一些有关“ensp防火墙基础配置””的相关内容,希望朋友们能喜欢,各位老铁们快快来学习一下吧!上一篇文章《HUAWEI防火墙IPSEC配置一》介绍总部与分部间点对点的IPSEC VPN配置方案。随着大量分支机构加入办公网络,手工配置量大,容易出错,不易管理,本介绍GRE Over IPSEC VPN配置,利用OSPF动态路由协议,在总部与所有分部间建立VPN加密通道,并且采用Hub-Spoke模型,分部之间互访,必须通过总部,便于监管。
实验拓扑
实验要求
总部内网与分部内网通过GRE over IPSEC VPN互通
实验拓扑说明
AR1模拟总部内部设备 FW1作为总部的网关接入ISP
AR2模拟分部内部设备 FW2作为分部的网关接入ISP
AR3模拟分部内部设备 FW3作为分部的网关接入ISP
ISP模拟互联网
======================
***本方案不需要配置感兴趣流***
======================
实验基础配置
ISP部分
sysname ISP
interface GigabitEthernet0/0/0
ip address 10.1.12.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 10.1.23.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 10.1.24.1 255.255.255.0
总部AR1配置
sysname ar1
interface GigabitEthernet0/0/0
ip address 192.168.1.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
分部AR2配置
sysname AR2
interface GigabitEthernet0/0/0
ip address 192.168.2.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.2.254
分部AR3配置
sysname AR3
interface GigabitEthernet0/0/0
ip address 192.168.3.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.3.254
总部与分部的防火墙IPSEC VPN配置
总部防火墙FW1配置
Sysname FW1
interface GigabitEthernet1/0/0
ip address 192.168.1.254 255.255.255.0
interface GigabitEthernet1/0/1
ip address 10.1.12.254 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
//配置各接口IP,加入相应区域
ip route-static 0.0.0.0 0.0.0.0 10.1.12.1
//配置默认路由
ike proposal 10
ike peer 2-fw2
pre-shared-key Huawei@123
ike-proposal 10
ike peer 2-fw3
pre-shared-key Huawei@123
ike-proposal 10
//配置对应的两个分部的IKE参数
ipsec proposal 10
ipsec profile ipsec
ike-peer 2-fw2
proposal 10
ipsec profile ipsec1
ike-peer 2-fw3
proposal 10
//配置对应的两个分部的IPSEC参数
interface Tunnel0
ip address 172.16.1.1 255.255.255.0
tunnel-protocol gre
source 10.1.12.254
destination 10.1.23.254
ipsec profile ipsec
interface Tunnel1
ip address 172.16.2.1 255.255.255.0
tunnel-protocol gre
source 10.1.12.254
destination 10.1.24.254
ipsec profile ipsec1
//配置两个逻辑Tunnel接口配置GRE协议,接口应用对应IPSEC配置,用于和分部建立GRE over IPSEC通道
firewall zone dmz
add interface Tunnel0
add interface Tunnel1
//逻辑接口加入安全区域
ospf 1
area 0.0.0.0
network 172.16.1.1 0.0.0.0
network 172.16.2.1 0.0.0.0
network 192.168.1.254 0.0.0.0
//配置OSPF动态路由协议,逻辑接口和内网接口加入区域
security-policy
default action permit
//放通安全策略,根据需要设置,这里为了实验放通所有
分部防火墙FW2设置
Sysname FW2
interface GigabitEthernet1/0/0
ip address 192.168.2.254 255.255.255.0
interface GigabitEthernet1/0/1
ip address 10.1.23.254 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
//配置各接口IP,加入相应区域
ip route-static 0.0.0.0 0.0.0.0 10.1.23.1
//配置默认路由
ike proposal 10
ike peer 2-fw1
pre-shared-key Huawei@123
ike-proposal 10
//配置对应的总部的IKE参数
ipsec proposal 10
ipsec profile ipsec
ike-peer 2-fw1
proposal 10
//配置对应总部的IPSEC参数
interface Tunnel0
ip address 172.16.1.2 255.255.255.0
tunnel-protocol gre
source 10.1.23.254
destination 10.1.12.254
ipsec profile ipsec
//配置逻辑Tunnel接口配置GRE协议,接口应用对应IPSEC配置,用于和总部建立GRE over IPSEC通道
firewall zone dmz
add interface Tunnel0
//逻辑接口加入安全区域
ospf 1
area 0.0.0.0
network 172.16.1.2 0.0.0.0
network 192.168.2.254 0.0.0.0
//配置OSPF动态路由协议,逻辑接口和内网接口加入区域
security-policy
default action permit
//放通安全策略,根据需要设置,这里为了实验放通所有
分部防火墙FW3的配置和FW2一致
sysname FW3
interface GigabitEthernet1/0/0
ip address 192.168.3.254 255.255.255.0
interface GigabitEthernet1/0/1
ip address 10.1.24.254 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
ip route-static 0.0.0.0 0.0.0.0 10.1.24.1
ike proposal 10
ike peer 2-fw1
pre-shared-key Huawei@123
ike-proposal 10
ipsec proposal 10
ipsec profile ipsec
ike-peer 2-fw1
proposal 10
interface Tunnel1
ip address 172.16.2.2 255.255.255.0
tunnel-protocol gre
source 10.1.24.254
destination 10.1.12.254
ipsec profile ipsec
firewall zone dmz
add interface Tunnel1
//逻辑接口加入安全区域
ospf 1
area 0.0.0.0
network 172.16.2.2 0.0.0.0
network 192.168.3.254 0.0.0.0
security-policy
default action permit
实验配置结果验证
分别在各出口防火墙上查看OSPF邻居关系都是full状态
各内网之间互相都能ping通,以R3为例访问R1 R2正常,访问R2时我们可看到路径是FW3—FW1—FW2,经过了总部,同样R2访问R3也是一样要经过总部FW1。
在总部FW1查看IKE SA 和 IPSEC SA信息,可以看到VPN通道和保护的数据信息。
至此,实验成功。
本实验环境为华为ENSP模拟器
标签: #ensp防火墙基础配置
