网络安全防御【IPsec VPN搭建】

news2024/11/15 8:47:38

目录

一、实验拓扑图

二、实验要求

三、实验思路

四、实验步骤:

修改双机热备的为主备模式:

2、配置交换机LSW6新增的配置:

3、防火墙(FW4)做相关的基础配置:

4、搭建IPsec VPN通道

(1)由于我们这里是在NAT环境下搭建的IPsec VPN,因此我们只有一种选择:通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式,也就是ESP协议,隧道模式,野蛮模式三者搭配来进行配置。(FW4 要与 FW2的配置信息一致)。

(2)在FW1上面做相关的NAT策略和服务器映射:

(3)放通IKE协商的流量

(4)我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,所以需要将该流量引入到FW1上去,再由FW4将封装过后的流量发给FW1。但此时流量是直接发送给防火墙的,所以我们需要引流。新建静态路由:

(5)放通10.0.2.0与192.168.1.0两网段相互通信的流量

(6)FW1与FW2上新建NAT策略使得从10.0.2.0的网段访问192.168.1.0网段时不做NAT转换

(7)测试一下IPsec VPN通道情况:


一、实验拓扑图

二、实验要求

20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段

三、实验思路

  1. 首先将我们的双机热备由之前的负载分担模式改为主备模式,可是适当的删减一些虚拟IP使设备减轻分担
  2. 为我们新建的防火墙(VPN)做相关的基础配置
  3. 搭建我们的IPsec VPN通道,由于是内网的VPN,就会在NAT环境中应用,所以通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式。去配置相应的IPsec VPN策略,安全策略,NAT策略。

四、实验步骤

  1. 修改双机热备的为主备模式:

先将虚拟IP 7和8删除:

FW1:

 

FW3:

关闭所有的虚拟MAC,然后切换双机热备为主备模式:

FW1:

 

FW3:

 

成功修改为主备模式!!!

2、配置交换机LSW6新增的配置:

[Huawei]int g0/0/5

[Huawei-GigabitEthernet0/0/5]p l a

[Huawei-GigabitEthernet0/0/5]port default vlan 2 // 将FW4划分到VLAN 2中

3、防火墙(FW4)做相关的基础配置:

 开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

  防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。

在防火墙中g0/0/0口中开启所有的服务:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

在FW4的g1/0/0接口上面配:

4、搭建IPsec VPN通道

(1)由于我们这里是在NAT环境下搭建的IPsec VPN,因此我们只有一种选择:通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式,也就是ESP协议,隧道模式,野蛮模式三者搭配来进行配置。(FW4 要与 FW2的配置信息一致)。

FW4:

 

 

 

FW2:

 

 

(2)在FW1上面做相关的NAT策略和服务器映射:

 

 

服务器映射(将公网访问12.0.0.1的目标IP都转换成10.0.2.3,并且指定UDP500与UDP4500)

 

(3)放通IKE协商的流量

FW4:

 

FW2:

FW1:

FW2:

 

FW4:

IPsec策略协商成功!!!

(4)我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,所以需要将该流量引入到FW1上去,再由FW4将封装过后的流量发给FW1。但此时流量是直接发送给防火墙的,所以我们需要引流。新建静态路由:

(5)放通10.0.2.0与192.168.1.0两网段相互通信的流量

FW2:

 

FW4:

 

FW1:

(6)FW1与FW2上新建NAT策略使得从10.0.2.0的网段访问192.168.1.0网段时不做NAT转换

FW1:

 

FW2:

(7)测试一下IPsec VPN通道情况:

使用办公区的PC2去ping 分公司的PC3:

抓包查看流量:

在防火墙FW4的g1/0/0接口:

 

在防火墙FW1的g1/0/1接口:

测试成功!!!

至此实验全部完成!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1950277.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LINUX -exec函数族

1、功能: *让父子进程来执行不相干的操作 *能够替换进程地址空间的代码.text段 *执行另外的程序,不需要创建额外的的地址空间 *当前程序中调用另外一个应用程序 2、执行目录下的程序: *指定执行目录下的程序 int execl(const char *path,…

JavaSE从零开始到精通(九) - 双列集合

1.前言 Java 中的双列集合主要指的是可以存储键值对的集合类型,其中最常用的包括 Map 接口及其实现类。这些集合允许你以键值对的形式存储和管理数据,提供了便捷的按键访问值的方式。 2. HashMap HashMap 是基于哈希表实现的 Map 接口的类&#xff0c…

软件测试中的压力测试和性能测试区别

压力测试和性能测试是软件测试中两种重要的测试类型,它们都旨在评估软件在不同条件下的表现,但侧重点和目的有所不同。 压力测试(Stress Testing)定义: 压力测试是一种测试方法,用于确定软件在极端条件下…

【C++指南】类和对象(上)

💓 博客主页:倔强的石头的CSDN主页 📝Gitee主页:倔强的石头的gitee主页 ⏩ 文章专栏:《数据结构与算法》 期待您的关注

网格大师将OSGB转3Dtiles是否用了LOD以及顶层重建?

答:如果勾选合并根节点,是有用到LOD以及顶层重建的。 网格大师是一款能够解决实景三维模型空间参考、原点、瓦块大小不统一,重叠区域处理问题的工具“百宝箱”,集格式转换、坐标转换、轻量化、瓦片重划分等多功能优势于一身&#…

Docker搭建私有仓库harbor(docker 镜像仓库搭建)

Harbor介绍 Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目…

王春城:如何通过看板实现限制在制品数量的目标?

在制造业中,限制在制品(Work-in-Process, WIP)数量是提高生产效率、减少浪费并优化资源利用的关键一环。通过实施看板系统(Kanban System),企业可以有效地管理生产流程,确保在制品数量在合理范围…

【宝藏系列】模/数转换十大常用滤波算法

【宝藏系列】模/数转换十大常用滤波算法 文章目录 【宝藏系列】模/数转换十大常用滤波算法👨‍🏫ADC(Analog-to-Digital Converter,模数转换器)1️⃣限幅滤波法2️⃣中位值滤波法3️⃣算术平均滤波法4️⃣递推平均滤波…

自养号测评:lazada、shopee商家销量提升的必备武器

在东南亚电商跨境平台中、lazada、shopee是东南亚地区最大的在线购物网站,其目标主要是印地,马来,台湾,菲律宾,新加坡,泰国和越南等用户。而自养号补单作为一种有效的推广手段,正逐渐被越来越多…

了解高防 IP

一、高防 IP 的基本概念 高防 IP 是指拥有强大防御能力的 IP 地址。它主要通过将攻击流量引流到高防机房进行清洗和过滤,再将正常的流量回注到源站,从而保障源站服务器的稳定运行。 二、高防 IP 的工作原理 当用户的服务器遭受 DDoS 攻击时&#xff0…

shell脚本及判断语句

一、shell相关概念 1、shell概念 Shell 是一个命令行解释器,它提供了一个用户与操作系统进行交互的界面。通过 Shell,用户可以输入命令来执行程序、管理系统资源(如文件和目录)、以及执行各种系统级的任务。Shell 是大多数类 Un…

从食堂采购系统源码到成品:打造供应链采购管理平台实战详解

本篇文章,笔者将详细介绍如何从食堂采购系统的源码开始,逐步打造一个完备的供应链采购管理平台,帮助企业实现采购流程的智能化和高效化。 一、需求分析与规划 一般来说,食堂采购系统需要具备以下基本功能: 1.供应商…

原生PHP/JS自主开发的交友内核框架婚恋交友系统V10

本文来自:婚恋交友系统V10 - 源码1688 应用介绍 原生PHP/JS自主开发的交友内核框架,极高性能、无捆绑、自主权、无流水扣点、独立全开源 01脱单盲盒:脱单盲盒类似于漂流瓶,先将自己《投放》到盲盒中,另一伴有缘将您取…

文件上传总结

一、原理 通过界面上的上传功能上传了一个可执行的脚本文件,而WEB端的系统并未对其进行检测或者检测的逻辑做的不够好,使得恶意用户可以通过文件中上传的一句话木马获得操控权 二、绕过方法 1>前端绕过 1.删除前端校验函数 checkFile() 2.禁用js…

Python小工具——监听某网站的数据变化并进行邮件通知

目录 一、需求描述 二、解析 三、实例代码 一、需求描述 监听自考网2024年广东省6月份的毕业生学历注册进度,这是网址:https://www.chsi.com.cn/xlcx/count_zk.jsp, 如上图所示,我们想知道这个红色的空格啥时候被填满&#xf…

如何选择财税RPA解决方案

随着大数据、物联网、人工智能以及RPA等新兴技术的迅猛发展,每个企业都面临着巨大的行业和技术挑战。财务作为企业运营管理的核心,其数字化转型成为众多企业提升管理效能和实现高质量发展的先行路径。随着RPA技术应用在财务领域的不断深入,越…

WireShark 更改界面主题

背景 Windows 是黑色主题 安装 WireShark 后&#xff0c;WireShark 界面也是黑色主题 预期 想要将 WireShark 界面更改为白色主题 操作 启动 wireshark 时添加 -platform windows:darkmode0 参数 <Wireshark.exe 路径> -platform windows:darkmode0 例&#xff1a;…

基于PSO粒子群优化的GroupCNN分组卷积网络时间序列预测算法matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 4.1 粒子群优化算法&#xff08;PSO&#xff09; 4.2 分组卷积神经网络&#xff08;GroupCNN&#xff09; 4.3 PSO优化GroupCNN 5.算法完整程序工程 1.算法运行效果图预览 (完整程序运行…

数据结构篇4—递归实现二叉树基础结构

文章目录 前言&#x1f6a9;1、树&#xff1f;2、树的相关概念3、树的结构表示4、二叉树&#x1f680;、概念和结构&#x1f381;、特殊二叉树 5、二叉树常用性质6、二叉树的存储结构&#x1f9e9;、顺序存储结构&#x1f3a8;、链式存储结构 7、二叉树顺序结构的实现----堆8、…

前端开发知识(三)-javascript(对象)

一、JS对象 包括JS已经定义的对象&#xff0c;如&#xff0c;Array,Sting &#xff0c;DOM&#xff0c;BOM等&#xff0c;其中&#xff0c;JSON是用户自定义对象&#xff08;除对象外&#xff0c;还有文本&#xff09;&#xff0c;其他是JS定义 1.Array&#xff1a;数组 数…