H3C-IPsec VPN分支间通过总部互访

最新推荐文章于 2024-05-10 10:17:55 发布
最新推荐文章于 2024-05-10 10:17:55 发布
阅读量1k 收藏 16
点赞数 11
分类专栏: 一个菜鸟网工 文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43483442/article/details/136650959
版权

一、背景简介

最近公司准备上个项目,然后使用的是私有云部署模式,我们这边是有总部和分支,总部和分支采用标准IPsec VPN,现在私有云也通过IPsec VPN接入总部相当于一个分支,但是由于我们分支比较多,因此这边各分支访问业务是通过总部进行中转的方式。最近一周都在折腾这个,一个小问题导致了一直有问题也是很无语。

二、概述

IPsec VPN是一种基于IPsec协议族构建的安全虚拟专用网络技术。它通过在公网上为两个或多个私有网络之间建立IPsec隧道,利用加密和验证算法来确保VPN连接的安全性。IPsec VPN可以保护点对点之间的通信,允许在主机和主机之间、主机和网络安全网关之间或网络安全网关(如路由器、防火墙)之间建立安全的隧道连接。

简单说就是在总部和分部间防火墙公网间建立一个隧道,识别到总部到分部间的流量就走隧道,怎样识别呢?通过ACL进行匹配,前面已经学习过了,感兴趣可以看下。今天这个只是大概记录下这周的踩坑经过,后面好像有专门的章节了解VPN是什么。

拓扑图:

拓扑图
拓扑图

三、IPsec VPN基础

IPsec VPN建立包括两个阶段:阶段一和阶段二。

部署模式也有几种:主模式、野蛮模式等

VPN 基础配置步骤(V7):

  • 基础IP和路由
  • ike proposal
  • ipsec transform-set
  • ike keychain
  • ike profile
  • ipsec policy

3.1 总部与分支建立VPN

总部:

# G0/0接口地址
interface GigabitEthernet0/0
 port link-mode route
 combo enable copper
 ip address 10.0.0.2 255.255.255.0
 nat outbound 3500
# 内网接口地址
interface GigabitEthernet0/1
 port link-mode route
 combo enable copper
 ip address 192.168.80.254 255.255.255.0

# 默认路由
 ip route-static 0.0.0.0 0 10.0.0.1

# 一阶段ike提议,定义加解密认证参数
ike proposal 1
 encryption-algorithm 3des-cbc
 authentication-algorithm md5

# 二阶段提议,定义加解密认证参数
ipsec transform-set 1
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm md5

# ike对等体信息
ike keychain cj
 pre-shared-key address 40.0.0.2 255.255.255.255 key simple 12345678
#
ike keychain SAP
 pre-shared-key address 20.0.0.2 255.255.255.255 key simple 12345678

# 使用acl 3000匹配总部到SAP的感兴趣流量
acl advanced 3000
 rule 0 permit ip source 192.168.80.0 0.0.0.255 destination 172.16.0.0 0.0.3.255

# 使用acl 3002匹配总部到事业部的感兴趣流量
acl advanced 3002
 rule 0 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.168.0 0.0.0.255

# 一般我这边是外网除了建立VPN还需要正常访问外网那就需要NAT转换,但是要禁止转换VPN流量,所有需要将上面两条ACL流量deny,然后peimit所有
acl advanced 3500
 rule 0 deny ip source 192.168.80.0 0.0.0.255 destination 172.16.0.0 0.0.3.255
 rule 1 deny ip source 192.168.168.0 0.0.0.255 destination 172.16.0.0 0.0.3.255
 rule 2 deny ip source 172.16.0.0 0.0.3.255 destination 192.168.168.0 0.0.0.255 rule 1000 permit ip

# 事业部的一阶段profile调用
ike profile cj
 keychain cj
 local-identity address 10.0.0.2
 match remote identity address 40.0.0.2 255.255.255.255
 proposal 1
 
# SAP的一阶段profile调用
ike profile SAP
 keychain SAP
 local-identity address 10.0.0.2
 match remote identity address 20.0.0.2 255.255.255.255
 proposal 1

# 创建名称为zongbu的ipsec策略,一个设备只能创建一个策略,但是一条策略可以有多个链接,以序号区分,使用isakmp方式协商sa,所以这里1为到SAP
ipsec policy zongbu 1 isakmp
 transform-set 1
 security acl 3000
 local-address 10.0.0.2
 remote-address 20.0.0.2
 ike-profile SAP

# 2为到事业部的策略
ipsec policy zongbu 3 isakmp
 transform-set 1
 security acl 3002
 local-address 10.0.0.2
 remote-address 40.0.0.2
 ike-profile cj

# 最后在公网接口调用ipsec 策略zongbu
interface GigabitEthernet0/0
 port link-mode route
 combo enable copper
 ip address 10.0.0.2 255.255.255.0
 nat outbound 3500
 ipsec apply policy zongbu

事业部:

事业部和SAP业务只需要分别和总部建立邻居即可。

# 配置接口地址
interface GigabitEthernet0/0
 port link-mode route
 combo enable copper
 ip address 40.0.0.2 255.255.255.0
 nat outbound 3500
 ipsec apply policy cj
#
interface GigabitEthernet0/1
 port link-mode route
 combo enable copper
 ip address 192.168.168.254 255.255.255.0

# 默认路由
 ip route-static 0.0.0.0 0 40.0.0.1
 
# acl 3000匹配到总部的感兴趣流量
acl advanced 3000
 rule 0 permit ip source 192.168.168.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
#
acl advanced 3500
 rule 0 deny ip source 192.168.168.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
 rule 1000 permit ip

# 一阶段协商,协商参数两端需要一致
ike proposal 1
 encryption-algorithm 3des-cbc
 authentication-algorithm md5

# 二阶段协商,协商参数两端需要一致
ipsec transform-set 1
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm md5
 
# 创建cj策略,调用二阶段协商参数,定义两端地址
ipsec policy cj 1 isakmp
 transform-set 1
 security acl 3000
 local-address 40.0.0.2
 remote-address 10.0.0.2
 ike-profile zongbu
 
# 调用keychain和ike提议
ike profile zongbu
 keychain zongbu
 local-identity address 40.0.0.2
 match remote identity address 10.0.0.2 255.255.255.255
 proposal 1
#

# 定义总部对等体信息,key必须两端一致
ike keychain zongbu
 pre-shared-key address 10.0.0.2 255.255.255.255 key simple 12345678

SAP:与事业部原理一致,这里不重复了。

实现总部分别与两端通信。

单向VPN建立
单向VPN建立

3.2 分支间通过总部互联

分支通过总部通信的原理就是感兴趣的匹配上,比如在分支到总部的acl中定义到SAP的感兴趣流,然后在SAP到总部的acl添加到事业部的感兴趣流,nat的acl也需要拒绝掉。

最终总部的acl为如下:

[zongbu]dis acl all
# acl 3000为匹配总部到SAP的感兴趣流,这里添加上事业部到SAP的感兴趣流,目的都为SAP网段
Advanced IPv4 ACL 3000, 3 rules,
ACL's step is 5
 rule 0 permit ip source 192.168.80.0 0.0.0.255 destination 172.16.0.0 0.0.3.255 (6 times matched)
 rule 10 permit ip source 192.168.168.0 0.0.0.255 destination 172.16.0.0 0.0.3.255 (5 times matched)

# acl 3002为总部到事业部的感兴趣流,这里添加SAP到事业部的感兴趣流
Advanced IPv4 ACL 3002, 2 rules,
ACL's step is 5
 rule 0 permit ip source 192.168.80.0 0.0.0.255 destination 192.168.168.0 0.0.0.255 (6 times matched)
 rule 5 permit ip source 172.16.0.0 0.0.3.255 destination 192.168.168.0 0.0.0.255 (5 times matched)

# acl 3500为nat的匹配,需要将上面的流量都先拒绝,然后允许其他所有流量以正常上网转换
Advanced IPv4 ACL 3500, 5 rules,
ACL's step is 5
 rule 0 deny ip source 192.168.80.0 0.0.0.255 destination 172.16.0.0 0.0.3.255 (2 times matched)
 rule 2 deny ip source 192.168.80.0 0.0.0.255 destination 192.168.168.0 0.0.0.255 (2 times matched)
 rule 3 deny ip source 192.168.168.0 0.0.0.255 destination 172.16.0.0 0.0.3.255 (2 times matched)
 rule 4 deny ip source 172.16.0.0 0.0.3.255 destination 192.168.168.0 0.0.0.255
 rule 1000 permit ip

事业部:

[cj]dis acl all
# acl 3000 为事业部到总部的感兴趣,这里也需要加上到SAP的流量
Advanced IPv4 ACL 3000, 2 rules,
ACL's step is 5
 rule 0 permit ip source 192.168.168.0 0.0.0.255 destination 192.168.80.0 0.0.0.255 (5 times matched)
 rule 5 permit ip source 192.168.168.0 0.0.0.255 destination 172.16.0.0 0.0.3.255 (5 times matched)

# nat的acl,一样deny掉相应的流量,然后放通所有
Advanced IPv4 ACL 3500, 3 rules,
ACL's step is 5
 rule 0 deny ip source 192.168.168.0 0.0.0.255 destination 192.168.80.0 0.0.0.255
 rule 1 deny ip source 192.168.168.0 0.0.0.255 destination 172.16.0.0 0.0.3.255 (2 times matched)
 rule 1000 permit ip

SAP:

[SAP]dis acl all
# SAP到总部流量,增加到达事业部流量
Advanced IPv4 ACL 3000, 2 rules,
ACL's step is 5
 rule 0 permit ip source 172.16.0.0 0.0.3.255 destination 192.168.80.0 0.0.0.255 (5 times matched)
 rule 15 permit ip source 172.16.0.0 0.0.3.255 destination 192.168.168.0 0.0.0.255 (4 times matched)

# NAT对应增加
Advanced IPv4 ACL 3500, 2 rules,
ACL's step is 5
 rule 0 deny ip source 172.16.0.0 0.0.3.255 destination 192.168.0.0 0.0.255.255
 rule 1000 permit ip

如果是使用防火墙配置,完成后一定要检查防火墙安全策略,我这里尝试是需要增加untrust-untrust区域的策略才行。然后ike看到是正常的,在ipsec sa能够看到对应的感兴趣流,如下:

# 事业部sa,能够看到192.168.80.0/24和172.16.0.0/22网段的匹配。
[cj]dis ipsec  sa
-------------------------------
Interface: GigabitEthernet0/0
-------------------------------

  -----------------------------
  IPsec policy: cj
  Sequence number: 1
  Mode: ISAKMP
  -----------------------------
    Tunnel id: 0
    Encapsulation mode: tunnel
    Perfect Forward Secrecy:
    Inside VPN:
    Extended Sequence Numbers enable: N
    Traffic Flow Confidentiality enable: N
    Transmitting entity: Initiator
    Path MTU: 1444
    Tunnel:
        local  address: 40.0.0.2
        remote address: 10.0.0.2
    Flow:
        sour addr: 192.168.168.0/255.255.255.0  port: 0  protocol: ip
        dest addr: 172.16.0.0/255.255.252.0  port: 0  protocol: ip

    [Inbound ESP SAs]
      SPI: 519196545 (0x1ef24f81)
      Connection ID: 21474836480
      Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1843200/1255
      Max received sequence-number: 0
      Anti-replay check enable: Y
      Anti-replay window size: 64
      UDP encapsulation used for NAT traversal: N
      Status: Active

    [Outbound ESP SAs]
      SPI: 3077448557 (0xb76e236d)
      Connection ID: 21474836481
      Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1843200/1255
      Max sent sequence-number: 0
      UDP encapsulation used for NAT traversal: N
      Status: Active

  -----------------------------
  IPsec policy: cj
  Sequence number: 1
  Mode: ISAKMP
  -----------------------------
    Tunnel id: 1
    Encapsulation mode: tunnel
    Perfect Forward Secrecy:
    Inside VPN:
    Extended Sequence Numbers enable: N
    Traffic Flow Confidentiality enable: N
    Transmitting entity: Responder
    Path MTU: 1444
    Tunnel:
        local  address: 40.0.0.2
        remote address: 10.0.0.2
    Flow:
        sour addr: 192.168.168.0/255.255.255.0  port: 0  protocol: ip
        dest addr: 192.168.80.0/255.255.255.0  port: 0  protocol: ip

    [Inbound ESP SAs]
      SPI: 1044057413 (0x3e3b0d45)
      Connection ID: 21474836482
      Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1843199/3044
      Max received sequence-number: 4
      Anti-replay check enable: Y
      Anti-replay window size: 64
      UDP encapsulation used for NAT traversal: N
      Status: Active

    [Outbound ESP SAs]
      SPI: 1192130007 (0x470e75d7)
      Connection ID: 21474836483
      Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1843199/3044
      Max sent sequence-number: 4
      UDP encapsulation used for NAT traversal: N
      Status: Active
分支互访
分支互访

这周我就是在ACL里面多配置了几个rule导致一直不通,然后还有防火墙策略没有搞明白,折腾了好久。这样做的好处就是不需要每个事业部都和SAP建立连接,只需要修改目前的acl感兴趣流匹配即可。以此记录20240311.

本文由 mdnice 多平台发布

不喜欢热闹的孩子
关注
  • 11
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPSec分支实验配置(安全模板)
m0_49864110的博客
05-22 581
目录 基础配置--配置IP接口、接口加入安全区域、路由 按照图配置相关接口地址 安全区域 路由 安全策略配置 向服务组添加IKE、IPSec协商使用的ISAKMP报文 总部配置 分支1(静态IP地址)配置 分支2(动态IP地址)配置 IPSec配置 总部配置 分支1(静态IP地址)配置 分支2(动态IP地址)配置 基础配置--配置IP接口、接口加入安全区域、路由 按照图配置相关接口地址 FW1、FW2都配置固定公网IP地址 FW4-通过配置固定地址来模拟动态获....
H3C-V7-ipsec配置.docx
08-31
H3C IPsec 配置指导V7版本,适用H3C网关路由器(MSR、SR系列V7版本)、下一代防火墙设备
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
H3C分支机构动态IP使用IPSEC OVER GRE接入总部案例
最新发布
normanhere的博客
05-10 582
这个案例中的分支机构,由于是动态获取的IP所以分支总部IPSEC PROFILE中,并没有指定分支的IP地址;##########创建IKE PROFILE,指定共享密钥,本段地址标识,对端地址标识,IKE提议和模式为野蛮模式######################创建IPSEC 模板,调用IPSEC转换集,指定本端IP,调用IKE PROFILE################创建IPSEC POLICY 调用转换集,调用IKE PROFILE 调用感兴趣流,指定对端IP地址#########
H3C IPsec分支经由总部互通
qq_23930765的博客
11-08 1267
这里先配置IKE Keychain,配置与分支协商采用的预共享密钥,由于分支设备无公网IP,这里需要采用name的方式,这里配置分支一的name为123,分支的name为234,分支name需要与分支侧设置的一致。#配置安全ACL,匹配感兴趣流,这里的配置非常重要,尽管分支一和分支二之并不直接建立ipsec,然后还是需要在ACL中对分支一到分支二的内网流量进行匹配,这一点非常重要。#配置IPsec策略,这里采用IPsec策略模板的方式,分别配置对应分支IPsec安全提议和安全ACL。
基于华三HCL模拟器IPSec VPN组网与配置
MAY的博客
05-23 6045
IPsec在互联网中提供端到端的数据报通信安全,通过加密和认证方式保护IP数据报及其封装的数据。IPsec是一个框架协议,包括AH、ESP、SA、IKE等协议。IPsec可以采用直接传输和隧道封装两种模式工作,在通过互联网承载的站点VPN中通常采用隧道模式。隧道模式是将原始IP数据报作为有效载荷封装在IPsec报头里。
华三IPsec VPN 实验配置(地址固定)
2301_77161465的博客
01-09 2294
本篇讲的是新华三IPsec VPN的配置,场景是在两端IP地址都是在固定的情况下,里面的配置都有加注释,较友好
IPSEC-分支-分支必须经过总部.docx
08-03
IPSEC-分支-分支必须经过总部.docx
H3C路由器技术专题之IPsec篇.chm
02-27
目录: 1.基础知识篇 1.1 理解篇 1.2 IPsec基本原理 2.典型配置案例资料 2.1 ACG常见IPSEC对接案例 2.2 ERG2路由器IPSEC对接 ...2.9 一总多分支IPSEC场景 2.10 两端设备均在私网建立IPSEC场景 .......
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1356
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
两分公支的IPSec***流量走总部测试
weixin_34049032的博客
10-21 278
一.概述: 在论坛上看到一个朋友发帖希望两个分支IPSEC ***流量经过总部,如是搭建拓扑测试了一下,因为跑两个VM版的ASA8.42机器性能不过,所以用PIX8.0来代替ASA,应该主要配置都跟ASA8.0差不多。二.基本思路:A.两个分支互访流量利用已有的到总公司的IPSec ***连接B.修改感兴趣,使得分支分支的流量能走总部再到分支三.测试拓扑:四.基本配置:A.广州总部防火墙FW...
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
11-28 3000
华为防火墙总部加多分部ipsec-vpn nat穿越,vpn核心旁挂式组网案例命令行和web配置
总部A防火墙和分部B防火墙做了sangfor VPN ,总部A防火墙和分部C AC也做了sangfor VPN ,分部B怎么和分部C直接互相互访
玩人工智能的辣条哥的博客
03-05 435
总部AF 8.0.75分部B AF8.0.48分部C AC 13.0.62。
教育行业无线部署场景及方案——方案部署指导:分支总部通路的部署、部署中心和分支的分级关系、部署认证
君逍遥o
11-09 101
部署完分支总部的通路之后,分支AC和总部AC之就可以互访了。 分支总部之前的通路,如果是普教,一般以教育城域网(相当于专线)为主,VPN为辅; 如果是企业,一般以VPN为主,专线为辅。分支总部通路的部署,和分级AC关系不大,按照传统方式部署即可,只不过分级AC的部署需要建立在分支总部通路部署的基础上。
H3C IPsec实验
呦菜呦爱玩的博客
07-22 3471
组网需求 1. 按照图示配置 IP 地址 2. 在 R1 和 R3 上配置默认路由连通公网 3. 在 R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问
总部ipsec 与分部连通 出差人员通过 l2tp 拨号与总部连接 去访问分部
qq_25979659的博客
01-22 1134
总部ipsec vpn 与分部连通 出差人员通过 l2tp 拨号与总部连接 去访问分部 网络拓扑图 一、分部能ping 通总部的公网地址 二、二地的IPSec 搭建 二地的协商配置一直即可 # ipsec proposal def esp authentication-algorithm sha2-256 esp encryption-al
H3C-防火墙L2TP VPN的配置方法(华三
m0_68265458的博客
04-10 1440
H3C-防火墙L2TP VPN的配置方法(华三
h3c ipsec 配置
06-06
以下是基本的H3C IPSec配置步骤: 1. 配置IKE策略 [H3C] ike proposal 1 [H3C-ike-proposal-1] encryption-algorithm aes [H3C-ike-proposal-1] authentication-algorithm sha2 [H3C-ike-proposal-1] dh group14 [H3C-ike-proposal-1] sa duration 28800 [H3C-ike-proposal-1] quit 2. 配置IPSec策略 [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] esp authentication-algorithm sha2 [H3C-ipsec-proposal-1] esp encryption-algorithm aes [H3C-ipsec-proposal-1] sa duration 28800 [H3C-ipsec-proposal-1] quit 3. 设置IKE策略和IPSec策略的预共享密钥 [H3C] ike peer VPN-Peer1 1.1.1.1 [H3C-ike-peer-VPN-Peer1] pre-shared-key simple password [H3C-ike-peer-VPN-Peer1] ike proposal 1 [H3C-ike-peer-VPN-Peer1] quit [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] transform esp [H3C-ipsec-proposal-1] quit 4. 配置IPSec VPN [H3C] ipsec policy VPN-Policy1 isakmp [H3C-ipsec-isakmp-VPN-Policy1] ike-peer VPN-Peer1 [H3C-ipsec-isakmp-VPN-Policy1] proposal 1 [H3C-ipsec-isakmp-VPN-Policy1] quit [H3C] ipsec policy VPN-Policy1 security acl 3001 [H3C-ipsec-acl-3001-VPN-Policy1] quit [H3C] interface GigabitEthernet0/0/1 [H3C-GigabitEthernet0/0/1] ip address 10.1.1.1 255.255.255.0 [H3C-GigabitEthernet0/0/1] quit [H3C] acl number 3001 [H3C-acl-basic-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C-acl-basic-3001] quit 以上是基本的H3C IPSec配置步骤,需要根据具体的场景和需求进行调整和修改。建议在实际配置前,先仔细阅读官方文档和相关资料,确保理解和掌握相关知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不喜欢热闹的孩子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值