Efficient VPN Network-plus方式建立IPSec隧道配置

最新推荐文章于 2024-11-08 14:24:57 发布
最新推荐文章于 2024-11-08 14:24:57 发布
阅读量206 收藏 1
点赞数
分类专栏: ENSP试验汇总 文章标签: 运维 网络协议 网络 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qconfig100/article/details/132466733
版权

 

R1为公司分支网关,R2为公司总部网关,分公司与总部通过公网建立通信,并且总部与分公司 的网络已统一规划。分公司子网为:10.1.1.0/24,总部子网为:10.1.2.0/24.现希望对分公司子网与总部子网之间相互访问的流量进行安全保护,并让分公司网关配置能够尽量简单,由总部网关对分公司网关进行集中管理,管理和维护方式采用Ping、Telnet命令。

思路分析

根据分公司子网与总部子网的IP地址经过统一规划,不存在重叠ip情况,由于公司希望总部对分公司能进行集中管理,可以在分公司与总部之间采用Efficient VPN Network-plus模式建立IPSec 隧道来实现保护,更便于维护。

配置步骤

一、在R1与R2上配置各接口的IP地址,以及到达到对端公网、子网的静态路由。

【R1】

[Huawei]sysname R1

[R1-GigabitEthernet0/0/1]ip address 70.1.1.1 24

[R1-GigabitEthernet0/0/2]ip address 10.1.1.1 24

[R1]ip route-static 70.1.2.0 24 70.1.1.2 //配置到达公网的静态路由
[R1]ip route-static 10.1.2.0 24 70.1.1.2

【R2】

[Huawei]sysname R2

[R2-GigabitEthernet0/0/1]ip address 70.1.2.1 24

[R2-GigabitEthernet0/0/2]ip address 10.1.2.1 24

[R2-LoopBack0]ip address 100.1.1.1 24

[R2]ip route-static 70.1.1.0 24 70.1.2.2 //配置到达公网的静态路由
[R2]ip route-static 10.1.1.0 24 70.1.2.2

【Internet】

[Huawei]sysname Internet  //模拟公网的路由器配置

[Internet-GigabitEthernet0/0/1]ip address 70.1.1.2 24

[Internet-GigabitEthernet0/0/2]ip address 70.1.2.2 24

二、在R2上配置IP地址池,推送的资源属性、(DNS/WINS)用于动态分配给建立的IPSec隧道,配置IPSec、IKE安全提议、IKE对等体,基于策略模板的安全策略。并用应用公网接口上。

【R2】

[R2]ip pool po1 //配置IP地址池动态分配给IPSec隧道

[R2-ip-pool-po1]network 100.1.1.0 mask 24

[R2-ip-pool-po1]gateway-list 100.1.1.1

[R2]aaa

[R2-aaa]service-scheme sch1 //配置推送资源属性给IPSec隧道

[R2-aaa-service-sch1]ip-pool po1

[R2-aaa-service-sch1]dns-name huawei.com  //配置DNS域名

[R2-aaa-service-sch1]dns 2.2.2.2    //配置DNS

[R2-aaa-service-sch1]dns 2.2.2.3 secondary  //配置备用DNS

[R2-aaa-service-sch1]wins 3.3.3.2 / /配置WINS

[R2-aaa-service-sch1]wins 3.3.3.3 secondary //配置备用WINS

[R2]ike proposal 5 //配置IKE安全提议

[R2-ike-proposal-5]dh group2 //配置应用组 策略要求只在group2上

[R2-ike-proposal-5]encryption-algorithm 3des-cbc //配置加密算法

[R2]ike peer rut3 v1 //配置IKE对等体采用V1版本

[R2-ike-peer-rut3]exchange-mode aggressive   //IKEV1版本中必须为野蛮模式

[R2-ike-peer-rut3]pre-shared-key simple huawei

[R2-ike-peer-rut3]ike-proposal 5 //引用安全提议

[R2-ike-peer-rut3]service-scheme sch1 //引用aaa中资源推送。

[R2]ipsec proposal tra1 //配置IPSec安全提议 采用缺省值

[R2-ipsec-proposal-tra1]q

[R2]ipsec policy-template use1 10 //配置策略模板

[R2-ipsec-policy-templet-use1-10]ike-peer rut3  //引用对等体

[R2-ipsec-policy-templet-use1-10]proposal tra1 //引用安全提议

[R2]ipsec policy policy1 10 isakmp template use1 //在策略模板基础上配置安全策略

[R2-GigabitEthernet0/0/1]ipsec policy policy1  //应用安全策略

三、在R1上采用Network-plus模式配置Efficient VPN策略与R2建立IPSec隧道,并在策略中向总部推送需要IPSec保护的数据流,并将策略应用到公网接口上。

【R1】

[R1]acl number 3001  //定义需保护的数据流

[R1-acl-adv-3001]rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0  0.0.0.255

[R1]ipsec efficient-vpn evpn mode network-plus  //配置efficient vpn的模式为 network-plus 

[R1-ipsec-efficient-vpn-evpn]security acl 3001 //引用ACL

[R1-ipsec-efficient-vpn-evpn]remote-address 70.1.2.1 v1 //指定对端公网IP

[R1-ipsec-efficient-vpn-evpn]pre-shared-key simple huawei

[R1-GigabitEthernet0/0/1]ipsec efficient-vpn evpn //应用efficient vpn

四、验证测试

<R1>dis ike sa

  Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
       37    70.1.2.1        0     RD|ST                  2     
       36    70.1.2.1        0     RD|ST                  1        

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

<R1>display ipsec sa

===============================
Interface: GigabitEthernet0/0/1
 Path MTU: 1500
===============================

  -----------------------------
  IPSec efficient-vpn name: "evpn"
  Mode                    : EFFICIENTVPN-NETWORKPLUS MODE
  -----------------------------
    Connection ID     : 37
    Encapsulation mode: Tunnel
    Tunnel local      : 70.1.1.1
    Tunnel remote     : 70.1.2.1
    Qos pre-classify  : Disable

    [Outbound ESP SAs]
      SPI: 1345866727 (0x50384be7)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max sent sequence-number: 0
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs]
      SPI: 2757755882 (0xa46003ea)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

  -----------------------------
  IPSec efficient-vpn name: "evpn"
  Mode                    : EFFICIENTVPN-NETWORKPLUS MODE
  -----------------------------
    Connection ID     : 38
    Encapsulation mode: Tunnel
    Tunnel local      : 70.1.1.1
    Tunnel remote     : 70.1.2.1
    Qos pre-classify  : Disable

    [Outbound ESP SAs]
      SPI: 1201968941 (0x47a4972d)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max sent sequence-number: 0
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs]
      SPI: 1006124986 (0x3bf83fba)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887436800/3541
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

<R1>display ipsec efficient-vpn
===========================================
IPSec efficient-vpn name: evpn
Using interface         : GigabitEthernet0/0/1
===========================================
 IPSec Efficient-vpn Name  : evpn
 IPSec Efficient-vpn Mode  : 3 (1:Client 2:Network 3:Network-plus)
 ACL Number                : 3001
 Auth Method               : 8 (8:PSK 9:RSA)
 VPN name                  :
 Local ID Type             : 1 (1:IP 2:Name)
 IKE Version               : 1 (1:IKEv1 2:IKEv2)
 Remote Address            : 70.1.2.1  (selected)
 Pre Shared Key            : huawei
 PFS Type                  : 0 (0:Disable 1:Group1 2:Group2 5:Group5 14:Group14)
 Local Address             :
 Remote Name               :
 PKI Object                :
 Anti-replay window size   : 32
 Qos pre-classify          : 0 (0:Disable 1:Enable)
 Interface loopback        : LoopBack100
 Interface loopback IP     : 100.1.1.254/24
 Dns server IP             : 2.2.2.2, 2.2.2.3
 Wins server IP            : 3.3.3.2, 3.3.3.3
 Dns default domain name   : huawei.com
 Auto-update url           :
 Auto-update version       :

查看结果IKE sa 、IPSec sa 、ipsec efficient-vpn都已完成建立。

PC1(10.1.1.2)与PC2(10.1.2.2)也能相互Ping 通。

PC1>ping 10.1.2.2

Ping 10.1.2.2: 32 data bytes, Press Ctrl_C to break
From 10.1.2.2: bytes=32 seq=1 ttl=127 time=31 ms
From 10.1.2.2: bytes=32 seq=2 ttl=127 time=31 ms
From 10.1.2.2: bytes=32 seq=3 ttl=127 time=31 ms
From 10.1.2.2: bytes=32 seq=4 ttl=127 time=16 ms
From 10.1.2.2: bytes=32 seq=5 ttl=127 time=31 ms

--- 10.1.2.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 16/28/31 ms

PC2>ping 10.1.1.2

Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break
From 10.1.1.2: bytes=32 seq=1 ttl=127 time=31 ms
From 10.1.1.2: bytes=32 seq=2 ttl=127 time=32 ms
From 10.1.1.2: bytes=32 seq=3 ttl=127 time=15 ms
From 10.1.1.2: bytes=32 seq=4 ttl=127 time=31 ms
From 10.1.1.2: bytes=32 seq=5 ttl=127 time=32 ms

--- 10.1.1.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/28/32 ms

Qconfig100
关注
专栏目录
IPSec---Efficient隧道实验配置
m0_49864110的博客
05-23 286
防火墙——Efficient理论讲解(IPSec4)_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/124843399?spm=1001.2014.3001.5502基础配置-按照图上地址划分配置接口IP地址和相关路由用于给使用Client模式的分支分配IP地址Efficient VPN场景中,用户希望将IP地址、DNS域名、DNS服务器地址和WINS服务器地址等网络资源集中部署在Server端(总部网关),然后通过总部网关推
Efficient VPN(EVPN基础)
qq_45022073的博客
04-09 1080
传统IPsec面临的问题,EVPN解决了传统IPsec的什么的问题,什么是Efficient VPN(EVPN),EVPN配置思路,EVPN的应用场景。
防火墙——Efficient理论讲解(IPSec4——推送IPSec隧道建立
m0_49864110的博客
05-18 540
Efficient VPN称为高效VPN,顾名思义就是简化企业VPN部署配置通过客户端可以将总部(Server端)的IPSec配置推给分支(Remote端)
Effient技术原理
曹世宏的博客
09-16 2341
VPN部署现状问题 企业广泛部署VPN时的问题: 总部不能集中管理VPN。 每个分支需要配置IPSec VPN,工作量大,对维护人员有一定的技术要去。 每一个分支需要重复配置: DNS域名、DNS服务器地址、WINS服务器地址等网络资源。 ACL推送,设定了允许分支子网访问的总部子网范围 需要重复配置分支设备升级。 Efficient VPN简化企业VPN部署: 总部集中管理VPN配置...
vxlan和IPsec结合使用
xingyeping的博客
05-09 7134
一、使用IPsec封装Vxlan报文 如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道来加密报文。配置如下: 创建VM1的手工SA:  ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth
gen-efficientnet-pytorch:预先训练的EfficientNet,EfficientNet-Lite,MixNet,MobileNetV3 V2,MNASNet A1和B1,FBNet,单路径NAS
04-29
所有模型均由GenEfficientNet或MobileNetV3类实现,并具有基于字符串的体系结构定义以配置块布局( 想法) 什么是新的 2020年8月19日 添加由我自己用timm训练的更新的PyTorch训练的EfficientNet-B3砝码(82.1 top-1...
EfficientDet-Scalableand-Efficient-Object-Detection论文
07-23
资源是EfficientDet_Scalableand_Efficient_Object_Detection论文PDF版,同时包含了一些自己的资料搜集网站,便于大家搜集查询。
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
R1 配置命令
tfsmhlf的专栏
03-21 1600
R1 配置命令 #  sysname R1  #  acl number 3001   rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 172.16.10.00.0.0.255  #  ipsec proposal tran1  #  ike proposal 10  #  ike peer ikep1
华为路由器IPSec -Over-GRE典型配置
gotonet的专栏
11-10 7555
需求』分部1和分部2通过野蛮IPSec方式连接到中心,采用IPSec-Over-GRE的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。                 192.168.1.1/24                       |                   ROUTER1 202.101.1.2/30                   |  
efficientnet-b0-b7权重文件.zip
07-09
efficientnet-b0-b7权重文件。efficientnet-b0_weights_tf_dim_ordering_tf_kernels_autoaugment_notop.h5----efficientnet-b7_weights_tf_dim_ordering_tf_kernels_autoaugment_notop.h5
A High-Performance and Cost-Efficient Interconnection Network for High-Density Servers
02-10
With the rising use of high-density servers in data-intensive and large-scale web applications, it requires a high-performance and cost-efficient intra-server interconnection network. Most of state-...
linux rocky 9.4部署和管理docker harbor私有源
最新发布
xikui1551的博客
11-08 458
rocky 部署Harbor私有镜像仓库
github加速下载zip
梨子社区
11-08 48
【代码】github加速下载zip
智能运维新时代:机器学习模型的部署与管理
Echo_Wish的博客
11-06 556
通过合理的部署方案、版本管理、监控与自动化部署,可以确保模型在生产环境中的稳定运行和持续优化。Flask是一个轻量级的Web框架,适用于小型和中型模型的部署。通过Docker,可以将模型和其依赖打包成一个容器镜像,方便部署和管理。监控与告警:使用监控工具(如Prometheus和Grafana)实时监控模型的运行状态和性能指标,及时发现并处理异常情况。版本管理:通过版本控制系统(如Git)管理模型的版本,确保能够追踪和回滚模型更新。模型部署的方式多种多样,下面介绍几种常用的部署方法。
软设师知识点-计算机网络
loop_nervous的博客
11-04 1064
在一台安装好TCP/IP协议的计算机上,当网络连接不可用时,为了测试编写好的网络程序,通常使用的目的主机IP地址127.0.0.1(本地回送地址)
第一章:Docker 安装TDengine
RodJohnsonDoctor的专栏
11-05 226
TDengine 是一个高性能、分布式的时序数据库,专为物联网 (IoT) 和大数据分析设计。使用 Docker Compose 可以快速地搭建 TDengine 的开发或测试环境。以下技术指南,帮助您通过 Docker Compose 安装并运行 TDengine。
Linux磁盘存储
m0_73940847的博客
11-06 1117
设备文件是类Unix操作系统(包括Linux)中一种特殊的文件类型,它代表了设备接口,使得用户空间的程序可以通过标准的文件操作来访问和控制硬件设备。设备文件为周边设备提供了简单的接口,如打印机、硬盘等,也可以访问没有连接到任何真实设备的系统资源,如随机数生成器等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值