分支应用多链路共享功能与总部建立IPSec隧道配置

最新推荐文章于 2024-08-28 12:25:03 发布
最新推荐文章于 2024-08-28 12:25:03 发布
阅读量278 收藏 2
点赞数
分类专栏: ENSP试验汇总 文章标签: 信息与通信 网络 网络协议 运维 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qconfig100/article/details/132275892
版权
本文档详细介绍了如何配置分公司(R-A)与总部(R-B)间,通过多条出口链路建立共享IPSec隧道,实现主备链路切换并保持安全保护不中断。配置涉及LoopBack接口、静态路由、高级ACL和IPSec安全提议,确保分公司与总部子网间的通信安全和高可用性。
摘要由CSDN通过智能技术生成

R-A为分公司的网关,R-B为总公司的网关,分公司采用两条出口链路做为互为备份或负载分担使用。通过公网Internet,与总部建立通信。希望对分公司子网与总部子网之间相互访问的流量进行安全保护;并在出口其中一条链路故障时,可以进行主备份切换,且安全保护不中断。为实现IPSec SA的平滑切换,希望分公司网关的两条出口链路与总部网关只协商一个共享的IPSec SA。

【思路分析】

由于分公司网关有两条链路连接到internet ,为了使这两条链路与总部网关只协商生成一个IPSec,所以不能利用分公司网关的两个公网接口分别与总部网关配置对等体,而需要使用一个LoopBack接口与总公司网关建立IPsec隧道,从而只协商一个共享的IPSec SA。

【配置步骤】

一、配置各个网关内外接口IP地址及分公司与总公司公、私网的的静态路由。

【R-A】

[Huawei]sysname R-A

[R-A-GigabitEthernet0/0/1]ip address 70.1.1.1 24

[R-A-GigabitEthernet0/0/2]ip address 80.1.1.1 24

[R-A-GigabitEthernet0/0/0]ip address 10.1.1.1 24

[R-A-LoopBack0]ip address 1.1.1.1 32

[R-A]ip route-static 10.1.2.0 24 70.1.1.2 preference 10//配置0/0/1口到总公司静态路由优先级为10
[R-A]ip route-static 10.1.2.0 24 80.1.1.2 preference 20//配置0/0/2口到总公司静态路由优先级为20

[R-A]ip route-static 60.1.1.0 24 70.1.1.2 preference 10//配置静态路由优先级不同是为实现主备

[R-A]ip route-static 60.1.1.0 24 80.1.1.2 preference 20

【R-B】

[Huawei]sysname R-B

[R-B-GigabitEthernet0/0/1]ip address 60.1.1.1 24

[R-B-GigabitEthernet0/0/0]ip address 10.1.2.1 24

[R-B]ip route-static 1.1.1.1 32 60.1.1.2//配置到达loopback0口的静态路由

最低0.47元/天 解锁文章
Qconfig100
关注
专栏目录
WAN 革命:SD-WAN 与传统 WAN 对比
网络技术联盟站
06-02 944
广域网(WAN,Wide Area Network)是一种覆盖广泛地理区域的计算机网络。它的主要目的是连接分布在不同地理位置的局域网(LAN)和其他网络,使它们能够进行数据通信。WAN通常跨越城市、国家,甚至跨越大陆,通过专用链路、卫星通信和公共网络基础设施等实现远距离的网络连接。在WAN的架构中,数据传输的核心是通过路由器和交换机等网络设备,根据预定的路由协议将数据从一个地点传送到另一个地点。WAN连接方式包括租用专线、数字订户线(DSL)、光纤、微波和卫星等多种技术手段。
配置总部采用冗余网关与分支建立IPSec隧道
刘俊辉个人博客
03-17 374
配置总部采用冗余网关与分支建立IPSec隧道
跨厂商IPSEC实践配置--总部(华为USG)防火墙和分支机构(思科ASA)防火墙之间点到点IPSEC 连接,两端公网出口IP固定、且出口存在NAT
aassassinator的博客
12-12 3634
一、案例介绍 本例介绍总部分支机构的出口网关同时为NAT设备时如何建立IPSec隧道 二、组网拓扑 某企业分为总部(A)和分支机构(B)。 如下图所示: (建议将上图画在草稿纸上,标好端口及IP,以便后续配置时候查看) 组网如下: • 总部(A)和分支机构(B)分别通过FW_A和FW_B与Internet相连。 • FW_A和FW_B公网路由可达。 • 总部FW_A和分支机构FW_B为固定公网地......
毕业设计——基于IPSec VPN的高可靠性中学校园网络设计与实
最新发布
m0_53035460的博客
08-28 1031
随着信息网络的高速发展,网络结构也日益变得庞大,网络的可靠性与安全性也更应被重视。本设计目的为在实现网络的高可靠性和安全性的情况下,更全面的实现客户需求。本网络结构采用层次化与模块化设计,将校园内网分为服务器模块、教学楼模块、行政楼模块与图书馆模块,办公模块物理设备接入层划分不同VLAN来隔离各部门,以达到降低广播报文带来的风险,接入交换机配置三层端口隔离,提高同一VLAN内安全 性。
IPSEC VPN相关问题
weixin_51774330的博客
04-14 693
IPSEC VPN相关问题
玩转华为ENSP模拟器系列 | 同一VdPdNd实例场景下配置IPSec VdPdNd
COCO_gsta的博客
10-13 2014
所示,总部通过FW_A与Internet连接,分支机构通过FW_B与Internet连接。FW_A和FW_B之间通过IPSec方式建立安全通信隧道。为了避免FW_A上的IPSec业务受到该防火墙上其他业务的影响,企业用户要求在FW_A上新建一个VPN实例,并将IPSec隧道单独配置到该VPN实例下,以达到业务隔离的目的。配置到FW_B的静态路由,假设下一跳地址为1.1.3.2。配置到FW_A的静态路由,假设下一跳地址为1.1.5.2。配置VPN实例vpn1。配置FW_A(总部)。配置FW_B(分支)。
防火墙在企业园区出口安全方案中的应用(ENSP实现)
Shass的博客
01-25 2885
该方案描述了防火墙在企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。该方案诠释了双机热备的经典组网:“防火墙上行连接交换机,下行连接三层设备”。我们可以借此理解双机热备的典型应用。该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
学习IPSec笔记总结(一)---------IPSec的基础知识
Zero_Knight的博客
03-05 5563
IPSecVPN(Internet Protocl Security):是一组基于网络层的,应用密码学的安全通信协议族。与TCP/IP协议簇一样,IPSec不是指具体的哪个协议,而是一个开放的协议簇。 IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务(综合了密码技术,和协议安全机制) IPSec PVN:是基于IPSec协议簇构建的在IP实现的数据安全虚...
大型园区网络建设与管理4.6
qq_43416206的博客
01-24 1032
2. VPN 实现的主要安全协议VPN 区别于一般网络互联的关键是隧道建立, 数据包经过加密后, 按隧道协议进行封装、 传送以保证安全性。一般, 在数据链路实现数据封装的协议叫第二层隧道协议, 常用的有 PPTP、 L2TP 等;在网络实现数据封装的协议叫第三层隧道协议, 如 IPSec。另外,SOCKSv5 协议则在 TCP实现数据安全。1996 年 Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP, 它集成于 Windows NT。
SD-WAN — MPLS 广域网 VPN 技术解析
烟云的计算
06-07 2744
对于这种组网,如果某个 VPN 需要访问共享站点,则该 VPN 的 Export Target 必须包含在共享站点的 VPN Instance 的 Import Target 中,而其 Import Target 必须包含在共享站点 VPN Instance 的 Export Target 中。与传统 IP 路由方式相比,MPLS 在数据转发时,只需要在 Network Edge Gateway 分析 IP Header,而不用在每一跳的 L3 Router 上都分析,因此节约了大量的计算时间。
防火墙L2TP VPN 命令行配置
m0_75216655的博客
11-29 2311
防火墙 L2TP 命令行配置
华为防火墙配置
m0_73258133的博客
11-14 77
防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入。
ENSP网络综合实验
热门推荐
qq_45959697的博客
04-16 3万+
拓扑图 总公司一共有三个部门:销售部、技术部、财务部,临设访客区域。分公司这里简化为只有一个技术部门 配置需求 1.销售部、技术部、财务部,访客区域分别划分到VLAN10-VLAN40 2.销售部可通过有线、无线访问网络,访客区域提供访客无线服务。 3. 配置步骤 1.销售部、技术部、财务部,访客区域分别划分到VLAN10-VLAN40 分别在LSW1和LSW2基于接口划分VLAN,终端不必配置ip地址,后面配置DHCP自动获取 。 以LSW1为例: interface Eth
企业网 SSL VPN 史诗级配置-华为ensp毕设实验
白话聊网络的博客
10-31 6425
最初实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通)重启成功后,打开ensp的云彩,就会发现有你刚才创建的VM2,添加网卡这步,应该都会吧,再不百度一大堆。点击刚才设置好的vm2,把dhcp分配地址取消掉,子网处设置题目需求的地址段,确定,在配置前,在虚拟机ping下防火墙接口,不通-白玩-通了之后再往下玩。
ENSP版IPSEC VPN的企业网仿真项目
weixin_53354912的博客
07-16 1107
企业网仿真项目,利用了Ipsce_vpn和ospf和防火墙技术。
ENSP 防火墙配置IPSecVPN点到多点
h1008685的博客
04-09 1655
ipsec点到多点配置详解,应用场景,web访问防火墙报错【关闭物理机防火墙】
ensp防火墙综合实验lab
enterprise2333的博客
12-20 1万+
实验要求: 1.完成防火墙组网基础配置IP,安全域,路由(可配置动态路由,只可宣告防火墙untrust所在网段)ISP路由器不能存在防火墙非untrust区域内路由),校本部和南校区防火墙管理地址分别为192.168.0.1/24,192.168.0.2/24 2.校本部防火墙1/0/1设置为二层接口,在防火墙上配置SVI分别为vlan 10和vlan 20的网关,两SVI安全域均为trust 3.PC2可以使用防火墙出接口地址上网访问到百度服务器(可ping通6.6.6.6即可) 4.使用校本部防火墙出
暑期实习学习经历:基于ensp传统园区改造升级
fan_xing0811的博客
08-11 1829
大三暑假,几经波折考完驾照后,在爸妈的推荐下来到深圳某公司实习学习。我本科学的是网络工程专业,被分到了智慧城市运营部。师傅在了解了我的简单情况后先是给了我一张简单的拓扑做了一下,然后改编了一道HCIE的实验题让我练习。师傅给我的题是改编过后第一部分,由于我本身还处在IP的学习阶段,因此这拓扑的难度对我来说还是蛮大的。好在经过师傅两三周的教学和指导,我基本消化了这些知识点。下面把我的学习经历、个人理解和配置分享给大家。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值