华为设备--×××虚拟专用网配置

 

 

×××虚拟专用网配置

 

 

×××简介：

 

        虚拟专用网络（Virtual Private Network ，简称×××)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。×××主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术

 

虚拟专用网的提出就是来解决这些问题：

 

　　⑴使用 ×××可降低成本——通过公用网来建立 ×××，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护 WAN（广域网）设备和远程访问设备。

　　 ⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

　　 ⑶连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

　　 ⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网

 

 

说明：由于实验模拟，Internet有路由器代替。

要求：通过启用gre,实现×××通信。

 

 

主要代码

 

[fire1]inter eth0/4

[fire1-Ethernet0/4]ip add 192.168.101.7 24

[fire1-Ethernet0/4]q    

[fire1]inter loop 1    //添加loopback端口，方便测试

[fire1-LoopBack1]ip add 192.168.1.100 24

[fire1-LoopBack1]q

[fire1]inter Tunnel 10    //添加虚拟通道口

[fire1-Tunnel10]ip add 192.168.4.1 24

[fire1-Tunnel20]tunnel-protocol gre    //启用gre

[fire1-Tunnel10]source 192.168.101.7 

[fire1-Tunnel10]destination 192.168.102.8

[fire1-Tunnel10]q

[fire1]firewall zone untrust

[fire1-zone-untrust]add interface eth0/4     

[fire1-zone-untrust]add interface Tunnel 10 //把tunnel口添加到untrust区域

 

[fire2]firewall zone trust     

[fire2-zone-trust]add interface eth0/1

 

[fire1-zone-untrust]q

[fire1]ip route-static 0.0.0.0 0 192.168.101.8

[fire1]ip route-static 192.168.2.0 24 192.168.4.2

 

路由器配置（模拟Internet）

[Router]inter e0

[Router-Ethernet0]ip add 192.168.101.8 24

[Router-Ethernet0]inter e1               

[Router-Ethernet1]ip add 192.168.102.7 24

 

同理，fire2的配置

[fire2]inter eth0/4

[fire2-Ethernet0/4]ip add 192.168.102.8 24

[fire2-Ethernet0/4]q    

[fire2]inter eth0/1

[fire2-Ethernet0/1]ip add 192.168.2.254 24

[fire2]inter Tunnel 20

[fire2-Tunnel10]ip add 192.168.4.2 24

[fire2-Tunnel20]tunnel-protocol gre

[fire2-Tunnel10]source 192.168.102.8 

[fire2-Tunnel10]destination 192.168.101.7

[fire2-Tunnel10]q

[fire2]firewall zone untrust

[fire2-zone-untrust]add interface eth0/4     

[fire2-zone-untrust]add interface Tunnel 20

 

[fire2]firewall zone trust     

[fire2-zone-trust]add interface eth0/1

 

[fire2-zone-untrust]q

[fire2]ip route-static 0.0.0.0 0 192.168.102.7

[fire2]ip route-static 192.168.1.0 24 192.168.4.1

测试结果

 

 

 

总结：×××隧道实际上是虚拟不存在的，通过tunnel口实现远程通信。

 

转载于:https://blog.51cto.com/nshao/1086358