配置两个网关之间通过IPSec VPN互联并通过总部IPSec网关进行NAT后上网

最新推荐文章于 2024-05-09 00:48:13 发布
最新推荐文章于 2024-05-09 00:48:13 发布
阅读量434 收藏
点赞数
文章标签: 网络 智能路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76769041/article/details/134087476
版权

规格

适用于V200R002C00及更高版本、所有形态的AR路由器。

组网需求

图1所示,某企业分为总部和两个分支机构。分支机构1和分支机构2分别通过RouterB和RouterC与Internet相连。RouterA为NAT网关,总部RouterA和分支RouterB为固定公网地址,RouterC为动态公网IP地址;RouterA和RouterB以及RouterA和RouterC相互路由可达。企业要求实现如下组网需求:

  • 分支机构PC2、PC3能与总部PC1之间进行安全通信。
  • RouterA、RouterB以及RouterA、RouterC之间分别建立IPSec隧道。RouterB、RouterC不直接建立任何IPSec连接。
  • PC1可以直接访问公网,PC2和PC3通过总部网关访问公网。
图1 两个网关之间通过IPSec VPN互联并通过总部IPSec网关进行NAT后上网的组网图

操作步骤
  1. 配置RouterA 

    <span style="color:#333333"><span style="background-color:#dddddd">#  
 sysname RouterA 
# 
acl number 3000  
 rule 5 permit ip destination 10.1.2.0 0.0.0.255  
 rule 10 permit ip destination 10.1.3.0 0.0.0.255 
# 
ipsec proposal tran1                                                              
 esp authentication-algorithm sha2-256                                            
 esp encryption-algorithm aes-256    
# 
ike proposal 10  
 encryption-algorithm aes-256                                                     
 dh group14                                                                        
 authentication-algorithm sha2-256                                                
 authentication-method pre-share                                                  
 integrity-algorithm hmac-sha2-256                                                
 prf hmac-sha2-256  
# 
ike peer c  
 pre-shared-key %^%#0ljf5R_9LXP|Qe=WVA6-Y%'}%^%#  
 ike-proposal 10 
#                                                                                
ipsec policy-template temp 1  
 security acl 3000  
 ike-peer c  
 proposal tran1 
# 
ipsec policy map1 10 isakmp template temp 
# 
interface GigabitEthernet0/0/3  
 undo shutdown  
 ip address 10.1.1.1 255.255.255.0 
# 
interface GigabitEthernet0/0/1  
 undo shutdown  
 ip address 1.1.3.1 255.255.255.0  
 ipsec policy map1 
# 
firewall zone trust  
set priority 85  
add interface GigabitEthernet0/0/3 
# 
firewall zone untrust   
 set priority 5   
 add interface GigabitEthernet0/0/1 
# 
ip route-static 0.0.0.0 0.0.0.0 1.1.3.2 
# 
security-policy  
 rule name policy1   
  source-zone trust   
  destination-zone untrust   
  source-address 10.1.1.0 mask 255.255.255.0   
  destination-address 10.1.2.0 mask 255.255.255.0   
  destination-address 10.1.3.0 mask 255.255.255.0   
  action permit  
 rule name policy2   
  source-zone untrust   
  destination-zone trust   
  source-address 10.1.2.0 mask 255.255.255.0   
  source-address 10.1.3.0 mask 255.255.255.0   
  destination-address 10.1.1.0 mask 255.255.255.0   
  action permit  
 rule name policy3   
  source-zone local   
  destination-zone untrust   
  source-address 1.1.3.1 mask 255.255.255.255   
  action permit  
 rule name policy4   
  source-zone untrust   
  destination-zone local   
  destination-address 1.1.3.1 mask 255.255.255.255   
  action permit 
# 
nat-policy  
 rule name policy_nat1   
  source-zone trust   
  destination-zone untrust   
  source-address 10.1.1.0 mask 255.255.255.0   
  destination-address 10.1.2.0 mask 255.255.255.0   
  destination-address 10.1.3.0 mask 255.255.255.0   
  action no-nat  
 rule name policy_nat2   
  source-zone trust   
  source-zone untrust   
  destination-zone untrust   
  source-address 10.1.1.0 mask 255.255.255.0   
  source-address 10.1.2.0 mask 255.255.255.0   
  source-address 10.1.3.0 mask 255.255.255.0   
  action source-nat easy-ip 
# 
return</span></span>

  2. 配置RouterB 

    <span style="color:#333333"><span style="background-color:#dddddd">#  
sysname RouterB 
# 
acl number 3000  
 rule 5 permit ip source 10.1.2.0 0.0.0.255 
# 
ipsec proposal tran1                                                              
 esp authentication-algorithm sha2-256                                            
 esp encryption-algorithm aes-256    
# 
ike proposal 10  
 encryption-algorithm aes-256                                                     
 dh group14                                                                        
 authentication-algorithm sha2-256                                                
 authentication-method pre-share                                                  
 integrity-algorithm hmac-sha2-256                                                
 prf hmac-sha2-256  
# 
ike peer a  
 pre-shared-key %^%#St4#CBb9$L>G`5W(HV*BKTnm%^%#  
 ike-proposal 10  
 remote-address 1.1.3.1 
#                                                                                
ipsec policy map1 10 isakmp  
 security acl 3000  
 ike-peer a  
 proposal tran1 
# 
interface GigabitEthernet0/0/3  
 undo shutdown  
 ip address 10.1.2.1 255.255.255.0 
# 
interface GigabitEthernet0/0/1  
 undo shutdown  
 ip address 1.1.5.1 255.255.255.0  
 ipsec policy map1 
# 
firewall zone trust  
 set priority 85  
 add interface GigabitEthernet0/0/3 
# 
firewall zone untrust   
 set priority 5   
 add interface GigabitEthernet0/0/1 
#  
ip route-static 10.1.0.0 255.255.0.0 GigabitEthernet0/0/1 
# 
security-policy  
 rule name policy1   
  source-zone trust   
  destination-zone untrust   
  source-address 10.1.2.0 mask 255.255.255.0   
  destination-address 10.1.1.0 mask 255.255.255.0   
  destination-address 10.1.3.0 mask 255.255.255.0   
 action permit  
  rule name policy2   
  source-zone untrust   
  destination-zone trust   
  source-address 10.1.1.0 mask 255.255.255.0   
  source-address 10.1.3.0 mask 255.255.255.0   
  destination-address 10.1.2.0 mask 255.255.255.0   
 action permit  
  rule name policy3   
  source-zone local   
  destination-zone untrust   
  source-address 1.1.5.1 mask 255.255.255.255  
  destination-address 1.1.3.1 mask 255.255.255.255   
 action permit 
  rule name policy4   
  source-zone untrust   
  destination-zone local   
  source-address 1.1.3.1 mask 255.255.255.255   
  destination-address 1.1.5.1 mask 255.255.255.255   
  action permit 
# 
return</span></span>

  3. 配置RouterC 

    <span style="color:#333333"><span style="background-color:#dddddd">#  
sysname RouterC 
# 
acl number 3000  
 rule 5 permit ip source 10.1.3.0 0.0.0.255 
# 
ipsec proposal tran1                                                              
 esp authentication-algorithm sha2-256                                            
 esp encryption-algorithm aes-256    
# 
ike proposal 10  
 encryption-algorithm aes-256                                                    
 dh group14                                                                        
 authentication-algorithm sha2-256                                                
 authentication-method pre-share                                                  
 integrity-algorithm hmac-sha2-256                                                
 prf hmac-sha2-256  
# 
ike peer a  
 pre-shared-key %^%#LV|sQ=~fUQO:M$CeqaMEnwVD%^%#  
 ike-proposal 10  
 remote-address 1.1.3.1 
#                                                                                
ipsec policy map1 10 isakmp  
 security acl 3000  
 ike-peer a  
 proposal tran1 
# 
interface GigabitEthernet0/0/3  
 undo shutdown  
 ip address 10.1.3.1 255.255.255.0 
# 
interface GigabitEthernet0/0/1 /*configuration of obtaining IP*/  
 undo shutdown  
 ipsec policy map1 
# 
firewall zone trust  
 set priority 85  
 add interface GigabitEthernet0/0/3 
# 
firewall zone untrust  
 set priority 5   
 add interface GigabitEthernet0/0/1 
#
ip route-static 10.1.0.0 255.255.0.0 GigabitEthernet0/0/1 
# 
security-policy  
 rule name policy1   
  source-zone trust   
  destination-zone untrust   
  source-address 10.1.3.0 mask 255.255.255.0  
  destination-address 10.1.1.0 mask 255.255.255.0   
  destination-address 10.1.2.0 mask 255.255.255.0   
  action permit  
 rule name policy2   
  source-zone untrust   
  destination-zone trust   
  source-address 10.1.1.0 mask 255.255.255.0   
  source-address 10.1.2.0 mask 255.255.255.0   
  destination-address 10.1.3.0 mask 255.255.255.0   
  action permit  
 rule name policy3  
  source-zone local  
  destination-zone untrust   
  destination-address 1.1.3.1 mask 255.255.255.255   
  action permit  
 rule name policy4   
  source-zone untrust  
  destination-zone local   
  source-address 1.1.3.1 mask 255.255.255.255   
  action permit
# 
return</span></span>

  4. 验证配置结果。
    1. 配置完成后,PC1在任何时候都可以访问公网,可以ping通RouterB的1.1.5.1,同时在RouterA上可以查看NAT转换session表项。 

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display firewall session table</strong>
 Current Total Sessions : 5
  icmp  VPN:public --> public 10.1.1.2:61251[1.1.3.1:2048]-->1.1.5.1:2048
  icmp  VPN:public --> public 10.1.1.2:62019[1.1.3.1:2049]-->1.1.5.1:2048
  icmp  VPN:public --> public 10.1.1.2:62275[1.1.3.1:2050]-->1.1.5.1:2048
  icmp  VPN:public --> public 10.1.1.2:62531[1.1.3.1:2051]-->1.1.5.1:2048
  icmp  VPN:public --> public 10.1.1.2:62787[1.1.3.1:2052]-->1.1.5.1:2048</span></span>

    2. PC2在任何时候可以访问到公网,可以ping通公网的IP地址(假设为1.1.6.1),同时在RouterA上可以查看NAT转换session表项。 

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display firewall session table</strong> 
Current Total Sessions : 5
  icmp  VPN:public --> public 10.1.2.2:61251[1.1.3.1:2053]-->1.1.6.1:2048
  icmp  VPN:public --> public 10.1.2.2:62019[1.1.3.1:2054]-->1.1.6.1:2048
  icmp  VPN:public --> public 10.1.2.2:62275[1.1.3.1:2055]-->1.1.6.1:2048
  icmp  VPN:public --> public 10.1.2.2:62531[1.1.3.1:2056]-->1.1.6.1:2048
  icmp  VPN:public --> public 10.1.2.2:62787[1.1.3.1:2057]-->1.1.6.1:2048</span></span>

    3. PC2发起访问,之后PC1与PC2之间可以相互访问。
    4. 总部RouterA上可以查看到对应的IKE SA。 

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display ike sa</strong>      
IKE SA information :             
    Conn-ID     Peer       VPN   Flag(s)   Phase   RemoteType  RemoteID
  -------------------------------------------------------------------------
     83887864   1.1.5.1:500      RD|A       v2:2   IP          1.1.5.1
     83887652   1.1.5.1:500      RD|A       v2:1   IP          1.1.5.1
  Number of IKE SA : 2 
  --------------------------------------------------------------------------
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING </span></span>

    5. 分支上RouterB可以查看到对端为总部的IKE SA,RouterB是发起方,标志位为ST。 

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterB> <strong>display ike sa</strong>
IKE SA information :
    Conn-ID    Peer       VPN   Flag(s)   Phase   RemoteType  RemoteID
  -------------------------------------------------------------------------
    62887864   1.1.3.1:500      RD|ST|A   v2:2    IP              1.1.3.1
    62887652   1.1.3.1:500      RD|ST|A   v2:1    IP              1.1.3.1
  Number of IKE SA : 2 
  -------------------------------------------------------------------------
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING </span></span>

    6. 总部RouterA上可以查看到一对双向的IPSec SA,对应分支RouterB。 

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display ipsec sa brief</strong> 
Current ipsec sa num:2
Spu board slot 1, cpu 1 ipsec sa information:                                   
Number of SAs:2                                                              
    Src address   Dst address     SPI      VPN  Protocol     Algorithm       
------------------------------------------------------------------------------- 
     1.1.5.1        1.1.3.1    3923280450        ESP       E:AES-256 A:SHA2_256_128 
     1.1.3.1        1.1.5.1    787858613         ESP       E:AES-256 A:SHA2_256_128 </span></span>

    7. 分支节点RouterB上可以查看到一对双向IPSec SA。 

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterB> <strong>display ipsec sa brief</strong> 
Current ipsec sa num:2
Spu board slot 1, cpu 1 ipsec sa information:                                   
Number of SAs:2                                                              
    Src address   Dst address     SPI      VPN  Protocol     Algorithm       
------------------------------------------------------------------------------- 
     1.1.3.1        1.1.5.1    787858613          ESP       E:AES-256 A:SHA2_256_128 
     1.1.5.1        1.1.3.1    3923280450         ESP       E:AES-256 A:SHA2_256_128 </span></span>
周工不想解梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
两个网关之间建立GRE over IPSec VPNIPSec安全策略方式)
加油!
06-26 791
GRE VPN无法直接实现数据的加密,而IPSec只能对单播数据进行加密保护。因此,对于路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后对封装后的数据报文进行IPSec的加密处理,就可以实现组播数据在IPSec隧道中的加密传输。GRE over IPSec解决了IPSec不支持组播、广播和非IP报文的缺点。对于这些报文数据,首先采用GRE进行封装,IPSec就可以把这些报文当作普通报文进行处理。
丹佛斯变频器通过MODBUS转PROFINET网关与S7-1200PLC进行通信的步骤.docx
09-10
丹佛斯变频器通过MODBUS转PROFINET网关与S7-1200PLC进行通信的步骤
spring boot网关配置服务器
01-05
基于Spring Boot网关服务,使用Spring Cloud Consul集成,Spring Boot的自动配置能快速建立与Consul的连接,能够提供服务发现和集中式配置功能,方便动态集成,易于实现。文章查看:https://blog.csdn.net/ZhangCurie/article/details/134965124
IPSec 网关主备双机热备
08-11
IPSec 网关主备双机热备
行业分类-设备装置-通过网关服务器或用于访问云计算服务存储器的服务的多媒体装置.zip
09-02
行业分类-设备装置-通过网关服务器或用于访问云计算服务存储器的服务的多媒体装置.zip
IPSecNAT穿越
hhd1988的专栏
05-18 4764
IPSec NAT 穿越简介
防火墙—IPSec VPNNAT 穿透-双侧 NAT
weixin_44080599的博客
06-05 3500
奇安信防火墙 IPSEC VPN 详解
网络层:虚拟专用网VPN网络地址转换NAT
一个搬运知识的笨小孩
06-18 4682
简要了解虚拟专用网和网络地址转换
IPsec VPN 原理与配置
qq_45953122的博客
08-27 1071
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 5933
路由器基础(十二):IPSEC VPN配置
浅谈在IXP2400中以IPSec实现安全网关的一种方案
10-22
“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows ...
基于.NET6的跨平台物联网网关 通过可视化配置,轻松的连接到你的任何设备和系统进行双向数据通讯
最新发布
05-09
通过可视化配置,轻松的连接到你的任何设备和系统(如PLC、扫码枪、CNC、数据库、串口设备、上位机、OPC Server、OPC UA Server、Mqtt Server等),从而与 Thingsboard、IoTSharp或您自己的物联网平台(MES、SCADA)进行...
华为防火墙ipsec vpn nat穿越2种场景配置案例
11-09 1862
华为防火墙ipsec vpn nat穿越2种场景配置案例
IPsec穿越NAT
weixin_43047908的博客
09-17 1027
目录前言IPSecIPSecVPN穿越NAT主要问题IKE身份确认及野蛮(激进)模式协商 前言 IPSecNAT环境中的部署是VPN的热门难点技术之一。 IPsec协议可以用来在IP层提供校验和加密等安全特性。NAT为了解决地址不足的问题,将私有地址转为公网地址,解决私网路由通信问题。 两个都是非常常见的网络技术,当IPSec位于NAT之后,很多问题就出现了。 IPSec IPsec支持两种模式:传输和隧道。 传输模式对IP包负载应用IPsec协议,对IP包头不进行任何修改。 隧道模式中IPsec将原有
IPsecNAT穿越详解
热门推荐
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
CISCO 在NAT下做IPsec ***常见的问题及配置实例详解
weixin_34185364的博客
09-21 253
前言: ×××作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。IPsec的协商分为两个阶段:第一阶段:验证对方,协商出IKE SA,保护第二阶...
VPN部署场景——IPSec VPN—点到点VPN(1)
君逍遥o
09-21 933
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
锐捷网关——IPSec内网互访配置
m0_49864110的博客
10-24 1321
定义IPsec数据加密的安全协议、封装模式、加密算法、验证算法等配置名称为111的,交换合集组合为esp-des的交换合集配置数据封装模式为隧道模式或传输模式(默认为隧道模式)
Rust - TCP Server
伊织看世界
05-09 508
内容来自:软件工艺师 - Rust Web 全栈开发教程【完结】修改文件 tcpserver – src –修改文件 tcpclient – src –伊织 2024-05-09(四)凌晨。删掉原来的内容,配置
通过配置网关地址理解网络之间的数据传输和交换;
06-11
网络通信中,数据包从源地址发送到目的地址,如果目的地址不在同一个网络中,那么就需要通过网关进行中转。 当一个设备要发送数据包到目标地址时,首先会检查目标地址是否在同一网络中,如果是,则直接发送数据包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值