cjh Web举例:总部与分支机构之间建立IPSec VPN(总部采用固定IP)
Web举例:总部与分支机构之间建立IPSec VPN(总部采用固定IP)
本例介绍总部和多个分支机构之间建立IPSec VPN的配置方法。
组网需求
如图1所示,某企业的办公地点由一个总部和多个分支机构组成,FW为总部和分支的出口网关。其中总部出口网关FW_A的IP地址固定。现需要在总部和多个分支之间建立IPSec隧道,实现分支与总部间的安全互通。
数据规划
配置项 | FW_A | FW_B | FW_C |
接口配置 | 接口号:GigabitEthernet 1/0/1 IP地址:1.1.3.1/24 安全区域:Untrust 接口号:GigabitEthernet 1/0/3 IP地址:10.1.1.1/24 安全区域:Trust | 接口号:GigabitEthernet 1/0/1 IP地址:1.1.5.1/24 安全区域:Untrust 接口号:GigabitEthernet 1/0/3 IP地址:10.1.2.1/24 安全区域:Trust | 接口号:GigabitEthernet 1/0/1 IP地址:1.1.6.1/24 安全区域:Untrust 接口号:GigabitEthernet 1/0/3 IP地址:10.1.3.1/24 安全区域:Trust |
IPSec配置 | 场景:点到多点 对端地址:不配置 认证方式:预共享密钥 预共享密钥:Test@123 本端ID:IP地址 对端ID:接受对端任意ID | 场景:点到点 对端地址:1.1.3.1 认证方式:预共享密钥 预共享密钥:Test@123 本端ID:IP地址 对端ID:IP地址 | 场景:点到点 对端地址:1.1.3.1 认证方式:预共享密钥 预共享密钥:Test@123 本端ID:IP地址 对端ID:IP地址 |
配置思路
配置思路如下:
1. 完成接口基本配置、路由配置,并开启安全策略。
2. 配置IPSec策略。
需要注意的是,在配置FW_A时,不需要指定隧道对端的IP地址,这是因为隧道对端的IP地址不固定。而在配置FW_B、FW_C时,则需要指定隧道对端地址。
FW_A、FW_B和FW_C,配置思路相同。
操作步骤
· 配置FW_A(总部)。
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
a. 选择“网络 > 接口”。
b. 单击GE1/0/1对应的,按如下参数配置。
安全区域 | untrust |
IPv4 | |
IP地址 | 1.1.3.1/24 |
c. 单击“确定”。
d. 参考上述步骤按如下参数配置GE1/0/3接口。
安全区域 | trust |
IPv4 | |
IP地址 | 10.1.1.1/24 |
2. 配置安全策略,允许私网指定网段进行报文交互。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击“新建”,按如下参数配置从Trust到Untrust的域间策略。
名称 | policy_ipsec_1 |
源安全区域 | trust |
目的安全区域 | untrust |
源地址/地区 | 10.1.1.0/24 |
目的地址/地区 | 10.1.2.0/24 10.1.3.0/24 |
动作 | 允许 |
c. 单击“确定”。
d. 参考上述步骤配置从Untrust到Trust、从Untrust到Local和从Local到Untrust的域间策略。
从Untrust到Trust的域间策略配置如下。
名称 | policy_ipsec_2 |
源安全区域 | untrust |
目的安全区域 | trust |
源地址/地区 | 10.1.2.0/24 10.1.3.0/24 |
目的地址/地区 | 10.1.1.0/24 |
动作 | 允许 |
从Untrust到Local的域间策略配置如下。
名称 | policy_ipsec_3 |
源安全区域 | untrust |
目的安全区域 | local |
目的地址/地区 | 1.1.3.1/32 |
动作 | 允许 |
从Local到Untrust的域间策略配置如下。
名称 | policy_ipsec_4 |
源安全区域 | local |
目的安全区域 | untrust |
源地址/地区 | 1.1.3.1/32 |
动作 | 允许 |
说明:
local和untrust的域间策略用于控制IKE协商报文通过FW,该域间策略可以使用源地址和目的地址作为匹配条件,也可以在此基础上使用协议、端口作为匹配条件。本例中是以源地址和目的地址为例介绍,如果需要使用协议、端口作为匹配条件,则需要放开ESP服务和UDP 500端口(NAT穿越场景中还需要放开4500端口)。
3. 配置缺省路由,假设FW_A到Internet的下一跳是1.1.3.2。
a. 选择“网络 > 路由 > 静态路由”。
单击“新建”,按如下参数配置。
目的地址/掩码 | 0.0.0.0/0.0.0.0 |
下一跳 | 1.1.3.2 |
c. 单击“确定”。
4. 配置IPSec隧道。
a. 选择“网络 > IPSec > IPSec”,单击“新建”,参数配置见下图。
本例中预共享密钥为Test@123,安全提议使用缺省参数。如果想要修改某个参数,展开“安全提议”中的“高级”进行设置,隧道两端所使用的安全提议配置必须相同。
配置待加密数据流时,需要新建2条待加密数据流,以其中一条为例介绍配置方法,参数设置如下图。
单击IPSec策略配置中的“应用”。完成FW_A的配置。
· 配置FW_B(分支)。
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
a. 选择“网络 > 接口”。
b. 单击GE1/0/1对应的,按如下参数配置。
安全区域 | untrust |
IPv4 | |
IP地址 | 1.1.5.1/24 |
c. 单击“确定”。
d. 参考上述步骤按如下参数配置GE1/0/3接口。
安全区域 | trust |
IPv4 | |
IP地址 | 10.1.2.1/24 |
2. 配置安全策略,允许私网指定网段进行报文交互。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击“新建”,按如下参数配置从Trust到Untrust的域间策略。
名称 | policy_ipsec_1 |
源安全区域 | trust |
目的安全区域 | untrust |
源地址/地区 | 10.1.2.0/24 |
目的地址/地区 | 10.1.1.0/24 |
动作 | 允许 |
c. 单击“确定”。
d. 参考上述步骤配置从Untrust到Trust、从Untrust到Local和从Local到Untrust的域间策略。
从Untrust到Trust的域间策略配置如下。
名称 | policy_ipsec_2 |
源安全区域 | untrust |
目的安全区域 | trust |
源地址/地区 | 10.1.1.0/24 |
目的地址/地区 | 10.1.2.0/24 |
动作 | 允许 |
从Untrust到Local的域间策略配置如下。
名称 | policy_ipsec_3 |
源安全区域 | untrust |
目的安全区域 | local |
源地址/地区 | 1.1.3.1/32 |
动作 | 允许 |
从Local到Untrust的域间策略配置如下。
名称 | policy_ipsec_4 |
源安全区域 | local |
目的安全区域 | untrust |
目的地址/地区 | 1.1.3.1/32 |
动作 | 允许 |
说明:
local和untrust的域间策略用于控制IKE协商报文通过FW,该域间策略可以使用源地址和目的地址作为匹配条件,也可以在此基础上使用协议、端口作为匹配条件。本例中是以源地址和目的地址为例介绍,如果需要使用协议、端口作为匹配条件,则需要放开ESP服务和UDP 500端口(NAT穿越场景中还需要放开4500端口)。
3. 配置到达对端的路由,假设FW_B到Internet的下一跳IP地址为1.1.5.2。
a. 选择“网络 > 路由 > 静态路由”。
b. 单击“新建”,按如下参数配置。
目的地址/掩码 | 0.0.0.0/0.0.0.0 |
下一跳 | 1.1.5.2 |
c. 单击“确定”。
4. 配置IPSec隧道。
a. 选择“网络 > IPSec > IPSec”,单击“新建”,参数配置见下图。
本例中预共享密钥为Test@123,安全提议使用缺省参数。如果想要修改某个参数,展开“安全提议”中的“高级”进行设置,隧道两端所使用的安全提议配置必须相同。
配置待加密数据流时,需要新建一条待加密数据流,其参数设置如下图。
单击IPSec策略配置中的“应用”。完成FW_B的配置。
· 配置FW_C(分支)。
分支的配置方法类似,请参考FW_B完成FW_C的配置。
结果验证
1. 配置成功后,分支机构与总部之间可以相互ping通。
2. 在FW_A上选择“网络 > IPSec > 监控”,查看IPSec隧道监控信息,可以看到建立的如下信息的隧道。
配置脚本
· FW_A(总部)的配置脚本
· #
· acl number 3005
· rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
· rule 10 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
· #
· ike proposal 4
· encryption-algorithm aes-256
· dh group2
· authentication-algorithm sha2-256
· authentication-method pre-share
· integrity-algorithm hmac-sha2-256
· prf hmac-sha2-256
· #
· ike peer ike281142050612
· pre-shared-key %@%@"@^z$/|AD456.#D#gmH8W+GD%@%@
· ike-proposal 4
· local-id 1.1.3.1
· #
· ipsec proposal prop28114205061
· esp authentication-algorithm sha2-256
· esp encryption-algorithm aes-256
· #
· ipsec policy-template tpl281142050612 1
· security acl 3005
· ike-peer ike281142050612
· proposal prop28114205061
· alias policy1
· #
· ipsec policy ipsec2811420508 10000 isakmp template tpl281142050612
· #
· interface GigabitEthernet1/0/3
· ip address 10.1.1.1 255.255.255.0
· #
· interface GigabitEthernet1/0/1
· ip address 1.1.3.1 255.255.255.0
· ipsec policy ipsec2811420508
· #
· firewall zone trust
· set priority 85
· add interface GigabitEthernet1/0/3
· #
· firewall zone untrust
· set priority 5
· add interface GigabitEthernet1/0/1
· #
· ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
· #
· security-policy
· rule name policy_ipsec_1
· source-zone trust
· destination-zone untrust
· source-address 10.1.1.0 mask 255.255.255.0
· destination-address 10.1.2.0 mask 255.255.255.0
· destination-address 10.1.3.0 mask 255.255.255.0
· action permit
· rule name policy_ipsec_2
· source-zone untrust
· destination-zone trust
· source-address 10.1.2.0 mask 255.255.255.0
· source-address 10.1.3.0 mask 255.255.255.0
· destination-address 10.1.1.0 mask 255.255.255.0
· action permit
· rule name policy_ipsec_3
· source-zone untrust
· destination-zone local
· destination-address 1.1.3.1 mask 255.255.255.255
· action permit
· rule name policy_ipsec_4
· source-zone local
· destination-zone untrust
· source-address 1.1.3.1 mask 255.255.255.255
· action permit
· FW_B(分支)的配置脚本
· #
· acl number 3000
· rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
· #
· ike proposal 1
· encryption-algorithm aes-256
· dh group2
· authentication-algorithm sha2-256
· authentication-method pre-share
· integrity-algorithm hmac-sha2-256
· prf hmac-sha2-256
· #
· ike peer ike281142213393
· pre-shared-key %@%@X3c2!T#j2$U2^/)2:^65tK]X%@%@
· ike-proposal 1
· remote-id-type ip
· remote-id 1.1.3.1
· local-id 1.1.5.1
· remote-address 1.1.3.1
· #
· ipsec proposal prop28114221339
· esp authentication-algorithm sha2-256
· esp encryption-algorithm aes-256
· #
· ipsec policy ipsec2811422136 1 isakmp
· security acl 3000
· ike-peer ike281142213393
· proposal prop28114221339
· tunnel local applied-interface
· alias policy1
· sa trigger-mode auto
· #
· interface GigabitEthernet1/0/3
· ip address 10.1.2.1 255.255.255.0
· #
· interface GigabitEthernet1/0/1
· ip address 1.1.5.1 255.255.255.0
· ipsec policy ipsec2811422136
· #
· firewall zone trust
· set priority 85
· add interface GigabitEthernet1/0/3
· #
· firewall zone untrust
· set priority 5
· add interface GigabitEthernet1/0/1
· #
· ip route-static 0.0.0.0 0.0.0.0 1.1.5.2
· #
· security-policy
· rule name policy_ipsec_1
· source-zone trust
· destination-zone untrust
· source-address 10.1.2.0 mask 255.255.255.0
· destination-address 10.1.1.0 mask 255.255.255.0
· action permit
· rule name policy_ipsec_2
· source-zone untrust
· destination-zone trust
· source-address 10.1.1.0 mask 255.255.255.0
· destination-address 10.1.2.0 mask 255.255.255.0
· action permit
· rule name policy_ipsec_3
· source-zone untrust
· destination-zone local
· destination-address 1.1.5.1 mask 255.255.255.255
· action permit
· rule name policy_ipsec_4
· source-zone local
· destination-zone untrust
· source-address 1.1.5.1 mask 255.255.255.255
· action permit
· # FW_C(分支)的配置脚本
· #
· acl number 3000
· rule 5 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
· #
· ike proposal 1
· encryption-algorithm aes-256
· dh group2
· authentication-algorithm sha2-256
· authentication-method pre-share
· integrity-algorithm hmac-sha2-256
· prf hmac-sha2-256
· #
· ike peer ike281142213393
· pre-shared-key %@%@X3c2!T#j2$U2^/)2:^65tK]X%@%@
· ike-proposal 1
· remote-id-type ip
· remote-id 1.1.3.1
· local-id 1.1.6.1
· remote-address 1.1.3.1
· #
· ipsec proposal prop28114221339
· esp authentication-algorithm sha2-256
· esp encryption-algorithm aes-256
· #
· ipsec policy ipsec2811422136 1 isakmp
· security acl 3000
· ike-peer ike281142213393
· proposal prop28114221339
· tunnel local applied-interface
· alias policy1
· sa trigger-mode auto
· #
· interface GigabitEthernet1/0/3
· ip address 10.1.3.1 255.255.255.0
· #
· interface GigabitEthernet1/0/1
· ip address 1.1.6.1 255.255.255.0
· ipsec policy ipsec2811422136
· #
· firewall zone trust
· set priority 85
· add interface GigabitEthernet1/0/3
· #
· firewall zone untrust
· set priority 5
· add interface GigabitEthernet1/0/1
· #
· ip route-static 0.0.0.0 0.0.0.0 1.1.6.2
· #
· security-policy
· rule name policy_ipsec_1
· source-zone trust
· destination-zone untrust
· source-address 10.1.3.0 mask 255.255.255.0
· destination-address 10.1.1.0 mask 255.255.255.0
· action permit
· rule name policy_ipsec_2
· source-zone untrust
· destination-zone trust
· source-address 10.1.1.0 mask 255.255.255.0
· destination-address 10.1.3.0 mask 255.255.255.0
· action permit
· rule name policy_ipsec_3
· source-zone untrust
· destination-zone local
· destination-address 1.1.6.1 mask 255.255.255.255
· action permit
· rule name policy_ipsec_4
· source-zone local
· destination-zone untrust
· source-address 1.1.6.1 mask 255.255.255.255
action permit
VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
SD-WAN(列表、list、全)vpnlist、sd-wanlist
http://www.zh-cjh.com/wenzhangguilei/1195.html
EVPN(列表、list、全)evpnlist
http://www.zh-cjh.com/wenzhangguilei/1000.html
蒲公英VPN(列表、list、全)蒲公英SD-WAN
http://www.zh-cjh.com/wenzhangguilei/1194.html
http://www.zh-cjh.com/wenzhangguilei/1193.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » Web举例:总部与分支机构之间建立IPSec VPN(总部采用固定IP)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm