IPSec VPN链路可靠性

已于 2023-08-14 12:21:56 修改
阅读量89 收藏
点赞数
文章标签: 网络 服务器 运维
于 2023-08-14 10:40:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaheguosong/article/details/132271146
版权

主备链路备份场景组网

0 拓扑图

image-20230810144701755

1 基本信息

FW1

IP地址配置
Interface                         IP Address/Mask      Physical   Protocol   
GigabitEthernet1/0/0              202.53.163.1/24      up         up        
GigabitEthernet1/0/1              202.53.164.1/24      up         up        
GigabitEthernet1/0/2              10.1.1.254/24        up         up
安全区域配置
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
 add interface GigabitEthernet1/0/1
配置IP-link
ip-link check enable
ip-link name iplink1
destination 2.2.2.2 interface GigabitEthernet1/0/0 mode icmp next-hop 202.53.163.1
路由配置

配置思路:配置去往目标内网的路由,主走G1/0/0,绑定ip-link,同时配置2条默认路由,同样主走G1/0/0

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0 202.53.163.2 preference 10 track ip-link iplink1
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 202.53.164.2 preference 20
ip route-static 10.2.1.0 255.255.255.0 GigabitEthernet1/0/0 202.53.163.2 preference 10 track ip-link iplink1
ip route-static 10.2.1.0 255.255.255.0 GigabitEthernet1/0/1 202.53.164.2 preference 20

FW2

安全区域
IP地址
Interface                         IP Address/Mask      Physical   Protocol       
GigabitEthernet1/0/0              10.2.1.254/24        up         up        
GigabitEthernet1/0/1              2.2.2.2/24           up         up
安全区域
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
 add interface Tunnel1
 add interface Tunnel2
IP-link
ip-link check enable
ip-link name iplink1
destination 202.53.163.1 interface GigabitEthernet1/0/1 mode icmp next-hop 2.2.2.1
路由配置
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 2.2.2.1
ip route-static 10.1.1.0 255.255.255.0 Tunnel1 202.53.163.1 preference 10 track ip-link iplink1
ip route-static 10.1.1.0 255.255.255.0 Tunnel2 202.53.164.1 preference 20

2 IPSEC 基础配置

FW1

#
ike proposal 10
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
ike peer fenzhi
 pre-shared-key Huawei@123
 ike-proposal 10
 remote-address 2.2.2.2
#
acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255
acl number 3001
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255
#
ipsec proposal pro1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#
ipsec policy map1 10 isakmp
 security acl 3000
 ike-peer fenzhi
 proposal pro1
#
ipsec policy map2 10 isakmp
 security acl 3001
 ike-peer fenzhi
 proposal pro1
# 
 ipsec policy map1
 ipsec policy map2

FW2

ike proposal 10
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
ike peer a1
 pre-shared-key Huawei@123
 ike-proposal 10
 remote-address 202.53.163.1
#
ike peer a2
 pre-shared-key Huawei@123
 ike-proposal 10
 remote-address 202.53.164.1
# 
acl number 3000
 rule 5 permit ip source 10.2.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
acl number 3001
 rule 5 permit ip source 10.2.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal pro1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
# 
ipsec policy map1 10 isakmp
 security acl 3000
 ike-peer a1
 proposal pro1
ipsec policy map2 10 isakmp
 security acl 3001
 ike-peer a2
 proposal pro1
# 
interface Tunnel1
 ip address unnumbered interface GigabitEthernet1/0/1
 tunnel-protocol ipsec
 ipsec policy map1
#
interface Tunnel2
 ip address unnumbered interface GigabitEthernet1/0/1
 tunnel-protocol ipsec
 ipsec policy map2
yoyo鹿鳴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPSec高可用-主备链路
m0_49864110的博客
05-24 560
防火墙——IPSec可靠性IPSec5)_多谢思考的博客-CSDN博客根据图配置接口IP地址和安全区域。
分支应用多链路共享功能与总部建立IPSec隧道配置
Qconfig100的博客
08-14 236
R-A为分公司的网关,R-B为总公司的网关,分公司采用两条出口链路做为互为备份或负载分担使用。通过公网Internet,与总部建立通信。为实现IPSec SA的平滑切换,希望分公司网关的两条出口链路与总部网关只协商一个共享的IPSec SA。由于分公司网关有两条链路连接到internet ,为了使这两条链路与总部网关只协商生成一个IPSec,所以不能利用分公司网关的两个公网接口分别与总部网关配置对等体,而需要使用一个LoopBack接口与总公司网关建立IPsec隧道,从而只协商一个共享的IPSec SA。
IPSec详解
Anakin01的博客
05-25 7463
与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。ESP协议验证报文的完整性检查部分包括ESP头、原IP头、传输层协议头、数据和ESP报尾,但不包括新IP头,因此ESP协议无法保证新IP头的安全。ESP协议验证报文的完整性检查部分包括ESP头、传输层协议头、数据和ESP报尾,但不包括IP头,因此ESP协议无法保证IP头的安全。明文数据----------同样的散列算法(MD5算法)---------算出散列值2(67890)
一文搞懂IPSEC的高可用技术
m0_67804955的博客
04-12 1602
ipsec 使用情况目前仍然比较普遍,总部这边如果为了避免单点故障,就会使用一些高可靠技术,本文对几种常见的高可靠技术进行了实验,对各位需要用到该技术的同事有很好的效果
服务经过多条ipsec链路出现不稳定问题
complay_ly的博客
03-27 2213
最近发现,有些服务经常会出现服务丢包、无法传送大文件、服务不稳定等问题。基础网络很稳定,没有发现问题。服务本身在小内网测试也很稳定。经过排查,怀疑可能是中间链路经过了多条IPsecVPN导致报文过长,拆分报文后组合过程出了问题 解决方法,IPsecVPN设备在接口模式下:clear ip df 关闭报文分片 ...
IPSec链路和设备备份
weixin_30294295的博客
12-14 413
链路备份的IPSec VPN和设备备份的IPSec VPN:首先实验的是链路备份的 IPSec VPN,下面是实验拓扑:IP地址配置:R1(Branch):Branch(config-if)#ip add 12.1.1.1 255.255.255.0Branch(config-if)#no shuBranch(config-if)#int lo0Branch(config-if)#ip add ...
华为HCIP-RS学习笔记.rar
08-01
01企业网络高级解决方案pdf 902-0SPF....26高可靠性概述pdf 27- Eth-Trunk链路聚合pdf 28-VRRP. pdf 29-BFD. pdf 30-DHCP Relay pdt 31、VPN基础pdf 32-GRE VPN pdf 33PK公钥基础架构pdf 34-IPSec VPN pdf
华为HCIP-RS学习笔记【共38章.rar
09-30
目录:网盘文件永久链接 ...26-高可靠性概述 27-Eth-Trunk链路聚合 28-VRRP 29-BFD 30-DHCP Relay 31-VPN基础 32-GRE VPN 33-PKI公钥基础架构 34-IPSec VPN 35-MAC安全 36-DHCP安全 37-IP安全 38-ARP安全
华为HCIP-Security培训视频教程【共26集】.rar
10-28
15 第2天_9 高可靠性Web界面配置 16 第3天_1 IPSec理论 17 第3天_2 Site to Site VPN 18 第3天_3 IPSec排错 19 第3天_4 IKEv2 for FW 20 第3天_5 StoS VPN 21 第3天_6 总部与分支IPSecVPN 22 第3天_7 GRE理论...
H3CSE V2.0 培训视频教程【共三科155集】.rar
10-22
园区 18-19 高可靠性技术概述 园区 20-23 链路聚合 园区 24-26 RRPP VRRP 园区 27-29 IRF 园区 30-39 组播概述 转发机制 路由协议 园区 40-50 园区网安全概述 AAA 端口接入 SSH SNMP LLDP 园区 52-53 镜像技术 园区...
面向云计算平台的信息安全等级保护测评实践与建议
ddcajdkdl的博客
06-14 639
面向云计算平台的信息安全等级保护测评是一项系统工程,需要政府、云服务商、用户及第三方测评机构等多方共同努力,通过持续的技术创新与管理优化,确保云计算环境下的信息安全,为数字经济发展提供坚实的安全保障。
Linux网络编程(二)Socket编程
Oafz的博客
06-12 295
【代码】Linux网络编程(二)Socket编程。
Wireshark TS | 应用传输丢包问题
7ACE的博客
06-09 864
Wireshark TS | 应用传输丢包问题
✊构建浏览器工作原理知识体系(网络协议篇)
坚信万物皆可切的切图仔
06-11 883
正如上面所说,为了保证数据的可靠传输和顺序传输,以及进行流量和拥塞控制,发送请求之前需要先建立TCP连接。Socket:由 IP 地址和端口号组成序列号:用来解决乱序问题等窗口大小:用来做流量控制所以在发送请求之前,客户端和服务端需要先相互发送TCP报文学如逆水行舟,不进则退~加油吧少年👊👊👊先看后赞,养成习惯👍点个关注,不要迷路🪤。
Java网络通信及Servlet常见场景实现
ty2587的博客
06-10 203
Servlet已默认实现及提供了相关接口,直接使用即可。重定向的请求头中多了Cookie的两个参数。响应返回头中设置了两个Cookie。
数据通信与网络
weixin_74923758的博客
06-13 696
例如,TCP(Transmission Control Protocol)使用三次握手的过程来建立连接:发送方首先发送一个带有SYN标志的数据包给接收方,接收方收到后回复SYN和ACK标志的数据包,最后发送方回复一个带有ACK标志的数据包,确认连接建立,这样就可以确保双方都同意开始数据传输。中心节点是主节点,网络中的各个节点通过点到点的方式连接到一个中心节点上,再由中心节点向目的节点传输信息。所以,要先把信息用0,1比特的组合表示出来,再将0,1比特转换成特定的电流或电压,通过物理链路发送出去。
工业网关在智能制造中的具体应用和效果-天拓四方
最新发布
2401_84969963的博客
06-14 642
通过对数据的处理和分析,我们可以获得设备的运行状态、生产效率、故障预警等信息,为企业提供决策支持和优化建议。未来,随着技术的不断进步和应用场景的拓展,工业网关将在智能制造领域发挥更加重要的作用,为企业创造更多的价值。网关设备通过有线或无线方式与生产设备进行连接,实时收集设备的运行状态、生产数据等信息,并将数据通过安全可靠的通信协议传输至企业的数据中心或云平台。通过工业网关的应用,企业实现了对生产设备的实时监控和数据分析,能够及时发现并解决设备故障和生产瓶颈,提高生产效率。
什么是蠕虫病毒?
wanhengwangluo的博客
06-13 387
蠕虫病毒是网络安全领域中的一大威胁,蠕虫病毒有着极强的隐蔽性,传播速度十分快,有着极强的破坏力,会给企业正常运转的业务带来巨大的挑战,为了能够有效的应对蠕虫病毒,企业采取了一系列的技术性措施,构建一个多层次、全方位的防护体系来进行抵御蠕虫病毒。蠕虫病毒是一种常见的计算机病毒,会利用网络来进行复制和传播,它的传染途径是主要通过网络和电子邮件,蠕虫病毒和一般的病毒是不同的,它不需要附着在宿主程序当中,一般是通过端口漏洞来进行传播的。
HCIA-设备管理+路由基础
yasinawolaopo的博客
06-11 185
它是由linux进行修改的,目前路由上使用的最多的是VRP5,VRP涉及到防火墙,路由器等。VRP8一般会使用在数据中心级,运营商级别的网络它们相对版本会高一些,支持的性能会更高也是最吃资源的。不建议大家改成中午,因为真机情况下是不支持中午的。eNSP使用的是v2box虚拟机。以华为的eNSP为例。
gre over ipsec vpn实验
04-24
您想了解有关 GRE over IPSec VPN 实验的信息吗?我可以为您提供一些基本的解释。GRE(Generic Routing Encapsulation)是一种隧道协议,可将不同类型的协议数据单元进行归档和封装,以方便通过网络传输。IPSec(Internet Protocol Security)是一种网络协议,用于安全地传输数据。当这两种协议结合使用时,可以创建一个虚拟专用网络VPN),用于在两个或多个远程位置之间安全地传输数据。在 GRE over IPSec VPN 中,GRE 协议用于封装传输的数据包,而 IPSec 协议用于提供安全性和保护数据的完整性。这种技术广泛应用于各种企业和组织网络中,以提供安全、高效的远程访问和分支间通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值