龙空技术网

华为设备,采用手工方式建立IPSec隧道,实现异地子网互通

网络系统技艺者 949

前言:

今天看官们对“gs3101网关”都比较关注,各位老铁们都需要剖析一些“gs3101网关”的相关资讯。那么小编在网摘上汇集了一些有关“gs3101网关””的相关文章,希望大家能喜欢,各位老铁们一起来学习一下吧!

组网需求:

XQ_GW为企业分支网关,ZB_GW为企业总部网关,分支与总部通过公网建立通信。

分支:192.168.4.0/24 192.168.5.0/24

总部:192.168.2.0/24 192.168.3.0/24 192.168.9.0/24 192.168.10.0/24 192.168.11.0/24

总部希望对分支子网192.168.4.0/24 与总部子网192.168.2.0/24之间相互访问的流量进行安全保护,分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。

网络拓扑:

配置思路:

1、打通整个网络,各子网均能访问外网

2、手工配置IPSEC 隧道,

配置过程:

1、打通整个网络,这部分省略,可以参考文章版本 中的文章 《配置GRE隧道,并在隧道上运行静态路由实现内网互通实例》打通内网部分。

2、手工配置IPSEC隧道

1、分别打通分公司与总公司外网网络,使两个区域外网能够互通#在总部路由器上配置到对端的静态路由,1)总公司路由器ip route-static 100.1.1.0 255.255.255.0 12.1.1.2ip route-static 192.168.4.0 255.255.255.0 12.1.1.2###############这部分省略可以不用配置###############ip route-static 192.168.5.0 255.255.255.0 12.1.1.2###############################################2)分部路由器ip route-static 12.1.1.0 255.255.255.0 100.1.1.2ip route-static 192.168.2.0 255.255.255.0 100.1.1.2###############这部分省略可以不用配置###############ip route-static 192.168.3.0 255.255.255.0 100.1.1.2ip route-static 192.168.9.0 255.255.255.0 100.1.1.2ip route-static 192.168.10.0 255.255.255.0 100.1.1.2ip route-static 192.168.11.0 255.255.255.0 100.1.1.2###############################################2、分别在总部和分公司路由上配置ACL ,定义各自要保护的数据流1)总部路由配置ACLacl number 3101rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255q2)分公司路由配置ACLacl num 3101rule permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255q3、分别在总部路由器和分公司路由器上创建IPSEC安全提议1)在总部路由上配置IPSEC安全提议ipsec proposal tran1esp authentication-algorithm sha2-256esp encryption-algorithm aes-128q2)在分公司路由上配置IPSEC安全提议ipsec proposal tran1esp authentication-algorithm sha2-256esp encryption-algorithm aes-128q4、分别在总部和分公司路由上创建安全策略1)在总部路由上配置 手工方式安全策略ipsec policy map1 10 manual security acl 3101proposal tran1 tunnel remote 100.1.1.1tunnel local 12.1.1.1sa spi outbound esp 12345sa spi inbound esp 54321sa string-key outbound esp cipher huawei123sa string-key inbound esp cipher huawei123q2)在分公司路由上配置 手工方式安全策略ipsec policy use1 10 manual security acl 3101proposal tran1 tunnel remote 12.1.1.1tunnel local 100.1.1.1sa spi outbound esp 54321sa spi inbound esp 12345sa string-key outbound esp cipher huawei123sa string-key inbound esp cipher huawei123q5、分别在总公司和分公司路由的接口上引用各自的安全策略,使接口具有IPSEC的保护功能1)在总公司路由的接口上引用安全策略组int gi 0/0/0ipsec policy map1 q2)在分公司路由的接口上引用安全策略组int gi 0/0/0ipsec policy use1 q

注意:

上述配置好以后,我们测试 192.168.2.10 ping 192.168.4.10 发现不通。

原因是:

我们在对总公司和分公司两边的需要互通的网通的网段进行了保护,这就需要被保护的网段不接入外网,所以需要对受保护的网段禁用外网

修改配置如下:

ZB_GWacl number 2001rule 5 permit source 192.168.3.0 0.0.0.255rule 10 permit source 192.168.9.0 0.0.0.255rule 15 permit source 192.168.10.0 0.0.0.255rule 20 permit source 192.168.11.0 0.0.0.255rule 25 deny#XQ_GWacl number 3010rule 5 permit ip source 192.168.5.0 0.0.0.255rule 10 deny ip

我们在进行测试,192.168.2.10 已经能够ping通 192.168.4.10,至此,总部和分公司部分子网已经互通。

作者简介:

我是“网络系统技艺者”,系统运维工程师一枚,持续分享【网络技术+系统运维技术】干货。码字不易,如果您觉得文章还可以,就关注+收藏吧,也许在以后某个时间能够用得到。

标签: #gs3101网关