实验32大量分支GREoverIPSec接入的简易配置精.docx
- 文档编号:1069632
- 上传时间:2022-10-16
- 格式:DOCX
- 页数:13
- 大小:124.28KB
实验32大量分支GREoverIPSec接入的简易配置精.docx
《实验32大量分支GREoverIPSec接入的简易配置精.docx》由会员分享,可在线阅读,更多相关《实验32大量分支GREoverIPSec接入的简易配置精.docx(13页珍藏版)》请在冰豆网上搜索。
实验32大量分支GREoverIPSec接入的简易配置精
大量分支GREoverIPSec接入的简易配置
一、 组网需求
客户的网络拓扑比较大,一个中心网点和N个分支网点,且每个分支网点都需要利用GREOVERIPSec与中心网点建立VPN连接。
由于GRE隧道有一定的局限性,Tunnel接口过多,造成配置的复杂,而Tunnel接口的最大数目为4096个,那么,分支数目超过此数就无法继续建立GRE隧道,且还没有算上有些是备份的链路。
采用P2MP将大大简化Tunnel接口的配置,且也解决了Tunnel接口数目不足带来的问题。
同样,设备的公网出接口数目是有限的,我们不可能在N个出接口上建立IPSec隧道。
采用IPsec的模板配置,解决相应配置的问题。
二、 组网拓扑图
实验所用设备:
中心设备为SecBlade防火墙插卡;软件版本Feature3171P11;公网出接口G0/3:
172.16.10.1。
分部一设备为SecBlade防火墙插卡;软件版本Feature3171P11;公网出接口G0/3:
172.16.30.1。
分部二设备为SecPathV3防火墙;软件版本Release1662P07;公网出接口G0/1:
172.16.20.1。
因特网设备为S7503E-S交换机;软件版本Release6616P01;实验中所用接口为G0/0/25:
172.16.10.2,G0/0/27:
172.16.30.2,G0/0/28:
192.168.20.1。
三、 配置步骤
1) 基本配置
各个设备的接口和区域的配置。
分部的IP地址本应该为动态获取,这里为了简化配置,直接改为静态了。
路由配置:
中心:
iproute-static0.0.0.00.0.0.0172.16.10.2
//公网路由
iproute-static2.2.2.2255.255.255.25510.0.0.2
//将业务数据流引向Tunnel接口,从而触发GRE封装
分部一:
iproute-static0.0.0.00.0.0.0172.16.30.2
//公网路由
iproute-static1.1.1.1255.255.255.25510.0.0.1
//将业务数据流引向Tunnel接口,从而触发GRE封装
分部二:
iproute-static0.0.0.00.0.0.0172.16.20.2preference60
iproute-static1.1.1.1255.255.255.25510.0.0.1preference60
2) GRE配置
中心设备:
interfaceTunnel1
ipaddress10.0.0.1255.255.255.0
tunnel-protocolgrep2mp //这里默认采用GRE,改为P2MP
source192.168.10.1 //源封装地址为回环接口Lookback1的地址
grep2mpbranch-network-mask255.255.255.0
//采用P2MP的封装模式,无表示对端的封装地址为多少,只能设置一个掩码表示范围
分部一设备:
interfaceTunnel1
ipaddress10.0.0.2255.255.255.0
source192.168.10.2
destination192.168.10.1
//分部设备对中心设备来与是点到点的类型,直接封装相应的源地址和目标地址就行了
分部二:
interfaceTunnel1
ipaddress10.0.0.3255.255.255.0
source192.168.10.3
destination192.168.10.1
3) IPSec配置
在本实验中,分部的IP都不是固定的,都为动态获取所得,所以,IKE的协商方式这里采用野蛮模式
中心设备:
ikelocal-namefw1 //IKE本端名字(千万不能忘记)
ikepeer10
exchange-modeaggressive
pre-shared-keycipher$c$3$/3EvhWhcCcw0SYCWzLohIg2r1bGeCVY=
id-typename
remote-namefw2
remote-addressfw2dynamic
//此处可以不做配置,如果不做配置默认为所有IP地址,如图所示:
ipsecproposal10
//安全提议采用默认的配置即可,也可以自行更改,默认为:
ipsecpolicy-templatezb110
ike-peer10
proposal10
//总部的类型为点到多点,所以这里采用模板的方法,这样无法配置ACL进行数据流匹配
ipsecpolicycnc10isakmptemplatezb1
//模板的应用方式
interfaceGigabitEthernet0/3
portlink-moderoute
ipaddress172.16.10.1255.255.255.0
ipsecpolicycnc
分部一:
aclnumber3000
rule0permitipsource192.168.10.20destination192.168.10.10
ikelocal-namefw2//配置本端名字
ikepeer10
exchange-modeaggressive
pre-shared-keycipher$c$3$UaPgUwWG/SiXbHB6XVbtbAVmEBQk1AE=
id-typename
remote-namefw1
remote-address172.16.10.1
#
ipsecproposal10//采用默认,这里也可以不做配置
#
ipsecpolicyfb10isakmp
securityacl3000
ike-peer10
proposal10
//分部为点到点模式,不用配置模板,此里的acl可以用于中心设备的反向匹配
分部二:
ikepeer10
exchange-modeaggressive
pre-shared-keycipherKqbfKcrPdHA=
id-typename
remote-namefw1
remote-address172.16.10.1
#
ipsecproposal10
#
ipsecpolicyfb10isakmp
securityacl3000
ike-peer10
proposal10
#
aclnumber3000
rule0permitipsource192.168.10.30destination192.168.10.10
4) 连通性测试
只能由分部触发建立,中心侧无法触发。
分部一:
[H3C]ping-a2.2.2.21.1.1.1
PING1.1.1.1:
56 databytes,pressCTRL_Ctobreak
Requesttimeout
Replyfrom1.1.1.1:
bytes=56Sequence=2ttl=255time=1ms
Replyfrom1.1.1.1:
bytes=56Sequence=3ttl=255time=1ms
Replyfrom1.1.1.1:
bytes=56Sequence=4ttl=255time=1ms
Replyfrom1.1.1.1:
bytes=56Sequence=5ttl=255time=1ms
---1.1.1.1pingstatistics---
5packet(s)transmitted
4packet(s)received
20.00%packetloss
round-tripmin/avg/max=1/1/1ms
[H3C]
分部二:
PING1.1.1.1:
56 databytes,pressCTRL_Ctobreak
Replyfrom1.1.1.1:
bytes=56Sequence=1ttl=255time=1ms
Replyfrom1.1.1.1:
bytes=56Sequence=2ttl=255time=1ms
Replyfrom1.1.1.1:
bytes=56Sequence=3ttl=255time=1ms
Replyfrom1.1.1.1:
bytes=56Sequence=4ttl=255time=1ms
Replyfrom1.1.1.1:
bytes=56Sequence=5ttl=255time=1ms
---1.1.1.1pingstatistics---
5packet(s)transmitted
5packet(s)received
0.00%packetloss
round-tripmin/avg/max=1/1/1ms
中心设备情况:
totalphase-1SAs:
2
connection-id peer flag phase doi status
-----------------------------------------------------------------------
1 172.16.30.1 RD 1 IPSEC --
3 172.16.20.1 RD 1 IPSEC --
2 172.16.30.1 RD 2 IPSEC --
4 172.16.20.1 RD 2 IPSEC --
flagmeaning
RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUT
分部一与分部二都已经成功建立隧道
查看IPSecSA隧道
===============================
Interface:
GigabitEthernet0/3
pathMTU:
1500
=========
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 32 大量 分支 GREoverIPSec 接入 简易 配置