华为防火墙综合案例实验拓扑实验要求如图所示，总计四个网络（成都总公司、绵阳分公司、Internet、出差在外员工所处的某酒店网络）IP地址已经规划完成成都总公司CE1交换机为三层交换机连接了两个vlan，内网客户端直接通过二层交换机连接出口防火墙绵阳分公司一个网络直接和出口防火墙连接Internet使用一台路由器进行模拟公网酒店就一个网络直接连接出口路由器上网需求成都总公司所有主机（包括服务器）访问Internet在FW1上做SNAT绵阳分公司主机访问Internet在FW2上做SNAT酒店主机访问Internet在AR2上做SNAT服务器发布需求成都总公司server1的HTTP服务发布到公

目录1.什么是数据认证，有什么用，有哪些实现的技术手段？2.什么是身份认证，有什么用，有哪些实现的技术手段？3.什么是VPN技术？4.VPN技术有哪些分类？5.IPsec技术能够提供哪些安全服务？6.IPsec的技术架构是什么？7.AH与ESP封装的异同？8.IKE的作用是什么？9.详细说明IKE的工作原理？10.IKE第一阶段都有哪些模式？有什么区别，使用场景是什么？11.IPsec在NAT环境下会遇到什么问题？12.详细分析NAT环境下的IPsec的兼容问题？13.多VPN的NAT环境下IPsec会有哪些问题？如何解决？14.描述NHRP的第三阶段工作原理？15.IPsec是否支持动态协议

华为防火墙IPSec讲解与配置实验GRE是明文传输，IPSec是加密传输一.密码学基础——数据加解密1.常见的加密算法（1）对称加密加密解密用同一个密钥（2）非对称加密在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥由同一系统的人公用，用来检验信息及其发送者的真实性和身份，公钥加密私钥解密，私钥加密公钥解密（3）哈希散列算法散列算法：把任意长度的输入变换成固定长度的输出h=H（M）常见散列算法有：MD5，SHA-1，SHA-2hash函数特点：相同输入相同输出不可逆推：不可能从哈希值逆推出原始数据等长输出：不同文件大小加密输出的哈希值大小是一样的雪崩效应：发生任何一点变化，结果都会变得

华为防火墙IPSec讲解与配置实验GRE是明文传输，IPSec是加密传输一.密码学基础——数据加解密1.常见的加密算法（1）对称加密加密解密用同一个密钥（2）非对称加密在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥由同一系统的人公用，用来检验信息及其发送者的真实性和身份，公钥加密私钥解密，私钥加密公钥解密（3）哈希散列算法散列算法：把任意长度的输入变换成固定长度的输出h=H（M）常见散列算法有：MD5，SHA-1，SHA-2hash函数特点：相同输入相同输出不可逆推：不可能从哈希值逆推出原始数据等长输出：不同文件大小加密输出的哈希值大小是一样的雪崩效应：发生任何一点变化，结果都会变得

            本人测试环境：VMware虚拟机，系统为Ubuntu21.04。仅供验证ipsec客户端功能参考！！！一、验证服务器        可以先通过Windows10系统来连接测试是否可以连接到目标服务器，验证服务器是否正常。        二、Ubuntu21.04配置IPsec/L2TP 客户端    1、下载并安装相关包sudoapt-getinstallstrongswanxl2tpdppplsof    2、配置    （1）配置ipsec    在/etc/ipsec.conf配置文件中追加内容（将right=右侧的服务器IP替换为对应VPN服务器地址，ike，e

安全套接层(SecureSocketsLayer)网际协议安全（InternetProtocolSecurity）封装位置：IPSEC和SSL两种不同的加密协议可以加密数据包，以防止中间黑客劫持数据。但两者的加密位置不同。IPSEC在网络层工作，即包装原始数据的网络层：SSLVPN在传输层工作，包装应用信息IPSEC和SSL对比通过对比可以看出，sslvpn能对应用做到精细化管控，可以对具体的应用做保护。但是ipsec是原始数据包的封装，所有流量都会走隧道。远程用户访问：远程用户访问公司内部网络Ipsec客户端一般需要单独布置sslvpn可以使用浏览器，因为浏览器基本上是内置的ssl协议。比如

问题场景左边的支部，它的防火墙上联路由器，由于防火墙内部的接口使用的是私网地址，这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立。所以必须在AR5上面不是NAT地址转换，由于一般使用的是NAPT，isakmp协议因为是UDP报文，且没有像AH或者ESP那样有对内容进行签名，所以可以正常地协商IKESA以及IPsecSA，但是AH和ESP就没有那么简单了  AH和ESP的认证范围如图所示，其实说是认证范围本质上来说应该是进行HASH运算的范围，如图所示，AH的签名范围是包括IP首部的，这就导致如若后续的AH报文在AR路由器上进行NAT转换后，目的端接收到该报文并进行hash值校验时会

1.ipsec在NAT环境下会遇到什么问题？详细分析NAT环境下IPSEC的6个环节的兼容问题？IPSec的NAT问题是会破坏IPSec的完整性，从IPSec的两个阶段来分新：第一阶段：主模式野蛮模式第二阶段：ESP的传输模式和隧道模式AH的传输模式和隧道模式主模式存在的问题：IPSec的工作中主模式会存在六个包，一二包的作用就是协商建立ikesa安全参数，三四包交换密钥相关信息，并生成密钥，而最大问题就在五六包，原因是五六包的作用是交换身份信息，验证信息，他们采取的是IP来传送身份信息；在进行NAT转换的过程，IP值进行转换，NAT破坏后无法完成身份认证。野蛮模式：野蛮模式他是三个包，由于它

虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。其实VPN技术主要是为了解决异地办公的问题。打个比方，你在家里，需要访问到公司网络里的某台机器，获取资料。传统的方法是在各级路由做地址映射，将需要访问的机器一层一层映射到公网中，然后通过公网访问。这样配置起来不仅麻烦，而且内部的机器暴露在了公网上，安全性也得不到保障。另外一个解决方法是拉专线，将各个地方的网络组成一个局域网。这样虽然安全性得到了保障，但是运营

目录一、OSPF路由表特点二、报文处理流程三、路由表生成过程四、要点五、公网承载私网（物理网承载逻辑网）图示六、华为设备典型配置示例七、与IPSecoverGRE的区别一、OSPF路由表特点特点：所有到内部目的地的路由的下一跳都是GRETunnel接口二、报文处理流程1、vpn路由器内部接口收到源和目的地都是内部地址的报文2、vpn路由器查找路由表，并交给对应的GRETunnel接口3、GRETunnel接口对报文加上一层源和目的都是公网地址的头，形成gre报文4、gre报文查找路由表（一般为0.0.0.00公网下一跳），发给公网出口5、公网出口对gre报文做ipsec处理，再生成新的最终报文