ipsec 多分支问题
- 0关注
- 0收藏,895浏览
问题描述:
总部已经与两个分部建立了ipsec,现在两个分部也想建立ipsec进行互访,这个能做到吗?
组网及组网描述:
- 2023-08-10提问
- 举报
-
(0)
最佳答案
可以的 通过总部来实现分支互访;
案例参考:
1.2
配置需求及实现的效果
MSR 分支路由器采用 PPPoE 拨号方式上网,IP 地址不固定,MSR 总部路由器外网口 G0/1 的地址为 1.1.1.1(模拟运营商公网固定地址环境)。要实现对分支 1 所在的内网(192.168.1.0/24)与分支 2 路由器所在的内网(192.168.3.0/24)之间的数据流进行安全保护,实现两端内网终端通过与总部建立 IPsec VPN 隧道进行互访。
2
组网图
3
配置步骤
3.1
配置路由器基本上网
#路由器基本上网配置省略, MSR V7路由器的上网具体设置步骤请参考“2.1.2 路由器外网使用固定IP地址上网配置方法”章节中“MSR830-WiNet系列路由器基本上网(静态IP)命令行配置(V7)”案例
3.2
设置总部路由器IPSEC VPN
#配置一个访问控制列表 3000,定义由总部子网192.168.2.0/24去分支 1子网
192.168.1.0/24和分支2子网192.168.3.0/24去分支1子网192.168.1.0/24的数据流
<H3C>system-view //进入系统视图
[H3C]acl number 3000 //创建ACL 3000
[H3C-acl-adv-3000]rule 0 permit ip source 192.168.2.0 0.0.0.255 destination
192.168.1.0 0.0.0.255 //创建规则允许源地址为192.168.2.0/24,目的地址为192.168.1.0/24
[H3C-acl-adv-3000]rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 //创建规则允许源地址为192.168.3.0/24,目的地址为192.168.1.0/24
[H3C-acl-adv-3000]quit //退出当前视图
#配置一个访问控制列表 3001,定义由总部子网192.168.2.0/24去分支2子网
192.168.1.0/24和分支1子网192.168.3.0/24去分支2子网192.168.1.0/24的数据流
[H3C]acl number 3001 //创建acl 3001
[H3C-acl-adv-3001]rule 0 permit ip source 192.168.2.0 0.0.0.255 destination
192.168.3.0 0.0.0.255 //创建规则允许源地址为192.168.2.0/24,目的地址为192.168.3.0/24
[H3C-acl-adv-3001]rule 1 permit ip source 192.168.1.0 0.0.0.255 destination
192.168.3.0 0.0.0.255 //创建规则允许源地址为192.168.1.0/24,目的地址为192.168.3.0/24
[H3C-acl-adv-3001]quit //退出当前视图
#配置公网口NAT要关联的ACl3002,作用是把IPSec感兴趣流从NAT转换的数据流 deny掉,防止IPSec数据流被NAT优先转换
[H3C]acl number 3002 //创建acl 3001
[H3C-acl-adv-3002]rule 0 deny ip source 192.168.2.0 0.0.0.255 destination
192.168.1.0 0.0.0.255 //创建规则拒绝源地址为192.168.2.0/24,目的地址为192.168.1.0/24
[H3C-acl-adv-3002]rule 1 deny ip source 192.168.3.0 0.0.0.255 destination
192.168.1.0 0.0.0.255 //创建规则拒绝源地址为192.168.3.0/24,目的地址为192.168.1.0/24
[H3C-acl-adv-3002]rule 2 deny ip source 192.168.2.0 0.0.0.255 destination
192.168.3.0 0.0.0.255 //创建规则拒绝源地址为192.168.2.0/24,目的地址为192.168.3.0/24
[H3C-acl-adv-3002]rule 3 deny ip source 192.168.1.0 0.0.0.255 destination
192.168.3.0 0.0.0.255 //创建规则拒绝源地址为192.168.1.0/24,目的地址为192.168.3.0/24
[H3C-acl-adv-3002]rule 4 permit ip //创建规则允许所有
[H3C-acl-adv-3002]quit //退出当前视图
#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc
[H3C]ike proposal 1 //创建IKE提议1,并进入IKE提议视图
[H3C-ike-proposal-1]authentication-algorithm md5 //指定IKE提议1的认证算法为md5
[H3C-ike-proposal-1]encryption-algorithm 3des-cbc //指定IKE提议1的加密算法为3des-cbc
[H3C-ike-proposal-1]quit //退出当前视图
#配置本端FQDN名称为zongbu
[H3C]ike identity fqdn zongbu //配置本端FQDN名称为zongbu
#创建并配置IKE keychain,名称为RTA和RTB
[H3C]ike keychain RTA //创建并进入一个IKE keychain RTA视图
#配置与分支之间协商采用的预共享密钥,(由于分支设备无固定IP,这里需要采用 name的方式),这里配置分支1的name为RTA,分支2的name为RTB,分支name需要与分支侧设置的一致,使用的预共享密钥为明文123456
[H3C-ike-keychain-RTA]pre-shared-key hostname RTA key simple 123456 //配置与主机名为RTA使用的预共享密钥为明文的123456
[H3C-ike-keychain-RTA]quit //退出当前视图
[H3C]ike keychain RTB //创建并进入一个IKE keychain RTB视图
[H3C-ike-keychain-RTB]pre-shared-key hostname RTB key simple 123456 //配置与主机名为RTB使用的预共享密钥为明文的123456
[H3C-ike-keychain-RTB]quit //退出当前视图
#创建并配置IKE profile,名称分别为RTA和RTB,引用上面配置的keychain,配置IKE第一阶段的协商模式为野蛮模式,本端身份类型为FQDN且取值为zongbu,指定需要匹配对端身份类型为FQDN且取值RTA和RTB,引用之前配置IKE提议1
[H3C]ike profile RTA //创建一个IKE profile RTA,并进入IKE profile视图
[H3C-ike-profile-RTA]keychain RTA //在IKE profile RTA中指定名称为RTA的配置的IKE keychain
[H3C-ike-profile-RTA]exchange-mode aggressive //选择IKE第一阶段的协商模式为野蛮模式
[H3C-ike-profile-RTA]local-identity fqdn zongbu //指定标识本端身份的FQDN名称为zongbu
[H3C-ike-profile-RTA]match remote identity fqdn RTA //指定匹配对端身份类型为FQDN,名称为RTA
[H3C-ike-profile-RTA]proposal 1 //配置IKE profile引用的IKE提议
[H3C-ike-profile-RTA]quit //退出当前视图
[H3C]ike profile RTB //创建一个IKE profile RTB,并进入IKE profile视图
[H3C-ike-profile-RTB]keychain RTB //在IKE profile RTB中指定名称为RTB的配置的IKE keychain
[H3C-ike-profile-RTB]exchange-mode aggressive //配置IKE第一阶段的协商模式为野蛮模式
[H3C-ike-profile-RTB]local-identity fqdn zongbu //指定标识本端身份的FQDN名称为zongbu
[H3C-ike-profile-RTB]match remote identity fqdn RTB //指定匹配对端身份类型为FQDN,名称为RTB
[H3C-ike-profile-RTB]proposal 1 //配置IKE profile引用的IKE提议
[H3C-ike-profile-RTB]quit //退出当前视图
#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5
[H3C]ipsec transform-set 1 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-1]encapsulation-mode tunnel //配置安全协议对报文的封装模式为隧道模式
[H3C-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5 // 指定ESP协议采用MD5认证算法
[H3C-ipsec-transform-set-1]quit //退出当前视图
#创建两个模板名字分别为t1和t2,顺序号为1的安全策略模板,引用之前创建的
ACL3000和3001,引用之前创建的IKE profile,引用之前的IPSec安全提议1
[H3C]ipsec policy-template t1 1 //创建一个模板名字为t1,顺序号为1的安全策略模板
[H3C-ipsec-policy-template-t1-1]security acl 3000 //配置IPsec安全策略引用的访问控制列表为acl 3000
[H3C-ipsec-policy-template-t1-1]ike-profile RTA //指定IPsec安全策略policyv7中引用的IKE profile为RTA
[H3C-ipsec-policy-template-t1-1]transform-set 1 //调用IPSEC安全提议1
[H3C-ipsec-policy-template-t1-1]quit //退出当前视图
[H3C]ipsec policy-template t2 1 //创建一个模板名字为t2,顺序号为1的安全策略模板
[H3C-ipsec-policy-template-t2-1]security acl 3001 //配置IPsec安全策略引用的访问控制列表为acl 3001
[H3C-ipsec-policy-template-t2-1]ike-profile RTB //指定IPsec安全策略policyv7中引用的IKE profile为RTB
[H3C-ipsec-policy-template-t2-1]transform-set 1 //调用IPSEC安全提议1
[H3C-ipsec-policy-template-t2-1]quit //退出当前视图
#引用IPSec策略模板t1和t2,创建名字为policyzongbu、顺序号为1和2的IPsec 安全策略
[H3C] ipsec policy zongbu 1 isakmp template t1 //引用IPSec策略模板t1,创建名字为policy zongbu、顺序号为1的IPsec安全策略
[H3C] ipsec policy zongbu 2 isakmp template t2 //引用IPSec策略模板t1,创建名字为policy zongbu、顺序号为2的IPsec安全策略
#设置外网口做NAT转换的时候关联ACL 3002 (如果之前已经在外网口配置了 nat outbound,需要先undo掉),并将IPSec安全策略v7应用在外网接口
[H3C]interface GigabitEthernet 0/1 //进入以太网接口GigabitEthernet 0/1视图
[H3C-GigabitEthernet0/1]undo nat outbound //接口下取消源地址转化
[H3C-GigabitEthernet0/1]nat outbound 3002 //配置出方向动态地址转换,针对acl 3002不做地址转换
[H3C-GigabitEthernet0/1]ipsec apply policy zongbu //在0/1口下应用指定的IPsec安全策略组zongbu
[H3C-GigabitEthernet0/1]quit //退出当前视图
#保存配置
[H3C]save force //强制保存配置
3.3
设置分支1路由器IPSEC
VPN
#配置一个访问控制列表,定义由分支 1 子网 192.168.1.0/24 去总部子网
192.168.2.0/24,分支1子网192.168.1.0/24去分支2子网192.168.3.0/24的数据流
<H3C>system-view //进入系统视图
[H3C]acl advanced 3000 //创建ACL 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //创建规则允许源地址为192.168.1.0/24,目的地址为192.168.2.0/24
[H3C-acl-ipv4-adv-3000]rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 //创建规则允许源地址为192.168.1.0/24,目的地址为192.168.3.0/24
[H3C-acl-ipv4-adv-3000]quit //退出当前视图
#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流 deny掉,防止IPSec数据流被NAT优先转换
[H3C]acl advanced 3001 //创建ACL 3001
[H3C-acl-ipv4-adv-3001]rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //创建规则拒绝源地址为192.168.1.0/24,目的地址为192.168.2.0/24
[H3C-acl-ipv4-adv-3001]rule 1 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 //创建规则拒绝源地址为192.168.1.0/24,目的地址为192.168.3.0/24
[H3C-acl-ipv4-adv-3001]rule 2 permit ip //创建规则允许所有
[H3C-acl-adv-3001]quit //退出当前视图
#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc
[H3C]ike proposal 1 //创建IKE提议1,并进入IKE提议视图
[H3C-ike-proposal-1]authentication-algorithm md5 //指定IKE提议1的认证算法为md5
[H3C-ike-proposal-1]encryption-algorithm 3des-cbc //指定IKE提议1的加密算法为3des-cbc
[H3C-ike-proposal-1]quit //退出当前视图
#配置本端FQDN名称为RTA
[H3C]ike identity fqdn RTA //配置本端FQDN名称为RTA
#创建并配置IKE keychain,名称为RTA。
[H3C]ike keychain RTA //创建并配置IKE keychain,名称为RTA
#配置对端IP地址为1.1.1.1,使用的预共享密钥为明文123456
[H3C-ike-keychain-RTA]pre-shared-key address 1.1.1.1 key simple 123456 配置对端IP地址为1.1.1.1,使用的预共享密钥为明文123456
[H3C-ike-keychain-RTA]quit //退出当前视图
#创建并配置IKE profile,名称为RTA,引用上面配置的keychain RTA,配置IKE 第一阶段的协商模式为野蛮模式,本端身份类型为FQDN且取值为RTA,指定需要匹配对端身份类型为FQDN且取值zongbu,引用之前配置IKE提议1
[H3C]ike profile RTA //创建一个IKE profile RTA,并进入IKE profile视图
[H3C-ike-profile-RTA]keychain RTA //在IKE profile RTA中指定名称为RTA的配置的IKE keychain
[H3C-ike-profile-RTA]exchange-mode aggressive //配置IKE第一阶段的协商模式为野蛮模式
[H3C-ike-profile-RTA]local-identity fqdn RTA //指定标识本端身份的FQDN名称为RTA
[H3C-ike-profile-RTA]match remote identity fqdn zongbu //指定匹配对端身份类型为FQDN,名称为zongbu
[H3C-ike-profile-RTA]proposal 1 //配置IKE profile引用的IKE提议
[H3C-ike-profile-RTA]quit //退出当前视图
#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5
[H3C]ipsec transform-set 1 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5 // 指定ESP协议采用MD5认证算法
[H3C-ipsec-transform-set-1]quit //退出当前视图
#创建一条IPSec安全策略RTA,协商方式为isakmp。引用之前创建的感兴趣数据流 ACL3000,指定对端公网ip地址,引用之前创建的IKE profile,引用之前的IPSec 安全提议1
[H3C]ipsec policy RTA 1 isakmp //创建一条IPSec安全策略RTA,协商方式为isakmp
[H3C-ipsec-policy-isakmp-RTA-1]security acl 3000 //配置IPsec安全策略引用的访问控制列表为acl 3000
[H3C-ipsec-policy-isakmp-RTA-1]remote-address 1.1.1.1 //指定IPsec隧道的对端IP地址1.1.1.1
[H3C-ipsec-policy-isakmp-RTA-1]ike-profile RTA ////指定IPsec安全策略policyv7中引用的IKE profile为RTA
[H3C-ipsec-policy-isakmp-RTA-1]transform-set 1 //调用IPSEC安全提议v7
[H3C-ipsec-policy-isakmp-RTA-1]quit //退出当前视图
#设置外网口(在本例中假设拨号口为Dialer10)做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了 natoutbound,需要先undo掉),并将IPSec安全策略
RTA应用在外网接口,
[H3C]interface Dialer 10 //进入拨号口10视图
[H3C-Dialer10]undo nat outbound //接口下取消源地址转化
[H3C-Dialer10]nat outbound 3001 //配置出方向动态地址转换,针对acl 3001不做地址转换
[H3C-Dialer10]ipsec apply policy RTA //在0/1口下应用指定的IPsec安全策略组RTA
[H3C-Dialer10]quit //退出当前视图
#保存配置
[H3C]save force //强制保存配置
3.4
设置分支2路由器IPSEC
VPN
#配置一个访问控制列表,定义由分支 2 子网 192.168.3.0/24 去总部子网
192.168.2.0/24,分支2子网192.168.3.0/24去分支1子网192.168.1.0/24的数据流
<H3C>system-view //进入系统视图
[H3C]acl advanced 3000 //创建ACL 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //创建规则允许源地址为192.168.3.0/24,目的地址为192.168.2.0/24
[H3C-acl-ipv4-adv-3000]rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 //创建规则允许源地址为192.168.3.0/24,目的地址为192.168.1.0/24
[H3C-acl-ipv4-adv-3000]quit //退出当前视图
#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流 deny掉,防止IPSec数据流被NAT优先转换
[H3C]acl advanced 3001
[H3C-acl-ipv4-adv-3001]rule 0 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //创建规则拒绝源地址为192.168.3.0/24,目的地址为192.168.2.0/24
[H3C-acl-ipv4-adv-3001]rule 1 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 //创建规则拒绝源地址为192.168.3.0/24,目的地址为192.168.1.0/24
[H3C-acl-ipv4-adv-3001]rule 2 permit ip //创建规则允许所有
[H3C-acl-adv-3001]quit //退出当前视图
#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc
[H3C]ike proposal 1 //创建IKE提议1,并进入IKE提议视图
[H3C-ike-proposal-1]authentication-algorithm md5 //指定IKE提议1的认证算法为md5
[H3C-ike-proposal-1]encryption-algorithm 3des-cbc //指定IKE提议1的加密算法为3des-cbc
[H3C-ike-proposal-1]quit //退出当前视图
#配置本端FQDN名称为RTB
[H3C]ike identity fqdn RTB //配置本端FQDN名称为RTB
#创建并配置IKE keychain,名称为RTB。
[H3C]ike keychain RTB //创建并配置IKE keychain,名称为RTB
#配置对端IP地址为1.1.1.1,使用的预共享密钥为明文123456
[H3C-ike-keychain-RTB]pre-shared-key address 1.1.1.1 key simple 123456 //配置对端IP地址为1.1.1.1,使用的预共享密钥为明文123456
[H3C-ike-keychain-RTB]quit //退出当前视图
#创建并配置IKE profile,名称为RTA,引用上面配置的keychain RTB,配置IKE 第一阶段的协商模式为野蛮模式,本端身份类型为FQDN且取值为RTB,指定需要匹配对端身份类型为FQDN且取值zongbu,引用之前配置IKE提议1
[H3C]ike profile RTB //创建一个IKE profile RTB,并进入IKE profile视图
[H3C-ike-profile-RTB]keychain RTB //在IKE profile RTB中指定名称为RTB的配置的IKE keychain
[H3C-ike-profile-RTB]exchange-mode aggressive //配置IKE第一阶段的协商模式为野蛮模式
[H3C-ike-profile-RTB]local-identity fqdn RTB //指定标识本端身份的FQDN名称为RTB
[H3C-ike-profile-RTB]match remote identity fqdn zongbu //指定匹配对端身份类型为FQDN,名称为zongbu
[H3C-ike-profile-RTB]proposal 1 //配置IKE profile引用的IKE提议
[H3C-ike-profile-RTB]quit //退出当前视图
#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5
[H3C]ipsec transform-set 1 //创建IPsec安全提议1,并进入IPsec安全提议视图
[H3C-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc //指定加密算法为3des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5 // 指定ESP协议采用MD5认证算法
[H3C-ipsec-transform-set-1]quit //退出当前视图
#创建一条IPSec安全策略RTB,协商方式为isakmp。引用之前创建的感兴趣数据流 ACL3000,指定对端公网ip地址,引用之前创建的IKE profile,引用之前的IPSec 安全提议1
[H3C]ipsec policy RTB 1 isakmp //创建一条IPSec安全策略RTB,协商方式为isakmp
[H3C-ipsec-policy-isakmp-RTB-1]security acl 3000 //配置IPsec安全策略引用的访问控制列表为acl 3000
[H3C-ipsec-policy-isakmp-RTB-1]ike-profile RTB //指定IPsec安全策略policyv7中引用的IKE profile为RTB
[H3C-ipsec-policy-isakmp-RTB-1]remote-address 1.1.1.1 //指定IPsec隧道的对端IP地址1.1.1.1
[H3C-ipsec-policy-isakmp-RTB-1]transform-set 1 //调用IPSEC安全提议1
[H3C-ipsec-policy-isakmp-RTB-1]quit //退出当前视图
#设置外网口(在本例中假设拨号口为Dialer10)做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了 natoutbound,需要先undo掉),并将IPSec安全策略 RTA应用在外网接口,
[H3C]interface Dialer 10 //进入拨号口10视图
[H3C-Dialer10]undo nat outbound //接口下取消源地址转化
[H3C-Dialer10]nat outbound 3001 //配置出方向动态地址转换,针对acl 3001不做地址转换
[H3C-Dialer10]ipsec apply policy RTB //在0/1口下应用指定的IPsec安全策略组RTB
[H3C-Dialer10]quit //退出当前视图
#保存配置
[H3C]save force //强制保存配置
3.5
验证配置结果
#配置完成之后,由拨号端主动发起访问,触发建立IPSec隧道,在分支路由器上带源ping 总部路由器内网网关地址
- 2023-08-10回答
- 评论(2)
- 举报
-
(0)
总部应该怎么做呢
主要是感兴趣流、还有就是需要配置总不用模板模式,调用 acl 的感兴趣流,你看一下案例,就明白了;
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
主要是感兴趣流、还有就是需要配置总不用模板模式,调用 acl 的感兴趣流,你看一下案例,就明白了;