本教程详细介绍了如何配置IPSec隧道,以确保分公司与总部间业务数据在公网上的安全传输。通过配置虚拟隧道接口,实现对大量需要保护的数据流进行安全保护,避免使用ACL定义流量特征,简化配置流程。
本案例说明如何配置IPSec隧道保证用户的业务数据在传输过程中的安全。某公司希望对分支与总部之间相互访问的流量进行安全保护。如图1所示,分公司构建了旁挂二层组网直接转发方式的WLAN网络,Router1为公司分支网关,Router2为公司总部网关,分支与总部通过公网建立通信,在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
数据规划
| 表1 数据规划表 |
|
| 配置项 |
数据 |
| AP管理VLAN |
VLAN10 |
| STA业务VLAN |
VLAN20 |
| 分公司有线VLAN |
VLAN50 |
| 总公司有线VLAN |
VLAN60 |
| 分公司DHCP服务器 |
SW1作为DHCP服务器为有线用户、AP和STA分配IP地址 |
| 总公司DHCP服务器 |
SW2作为DHCP服务器 |
| 分公司有线用户IP地址池 |
10.1.50.2~10.1.50.254/24 |
| 总公司有线用户IP地址池 |
10.1.60.2~10.1.60.254/24 |
| AP的IP地址池 |
10.1.10.3~10.1.10.254/24 |
| STA的IP地址池 |
10.1.20.2~10.1.20.254/24 |
| AC的源接口IP地址 |
VLANIF10:10.1.10.1/24 |
| Router1相关配置 |
|
| Router2相关配置 |
|
| AP组 |
|
| 域管理模板 |
|
| SSID模板 |
|
| VAP模板 |
|
配置思路
1.配置接口的IP地址和到对端的静态路由,保证两端路由可达。
2.配置IPSec安全提议,定义IPSec的保护方法。
3.配置IKE对等体,定义对等体间IKE协商时的属性。
4.配置安全框架,并引用安全提议和IKE对等体,确定对何种数据流采取何种保护方法。
5.在Tunnel接口上应用安全框架,使接口具有IPSec的保护功能。
6.配置Tunnel接口的转发路由,将需要IPSec保护的数据流引到Tunnel接口。
7.完成WLAN配置和其它配置,测试。
操作步骤
1.配置网络互通。
# 在Router1上配置接口的IP地址。
<Huawei>system-view
[Huawei] sysname Router1
[Router1] vlan batch 200
[Router1] interface gigabitethernet 0/0/1
[Router1-GigabitEthernet0/0/1] ip address 10.1.10.1 24
[Router1-GigabitEthernet0/0/1] quit
[Router1]interface vlanif 200
[Router1-Vlanif200] ip address 10.1.1.1 24
[Router1-Vlanif200] quit
[Router1] interface gigabitethernet 2/0/0
[Router1-GigabitEthernet2/0/0] port link-type trunk
[Router1-GigabitEthernet2/0/0] port trunk allow-pass vlan 200
[Router1-GigabitEthernet2/0/0] quit
# 在Router1上配置到对端的静态路由。
[Router1] ip route-static 10.1.11.0 255.255.255.0 10.1.10.2
# 在Router2上配置接口的IP地址。
<Huawei>system-view
[Huawei] sysname Router2
[Router2] vlan batch 201
[Router2] interface gigabitethernet 0/0/2
[Router2-GigabitEthernet0/0/2] ip address 10.1.11.1 24
[Router2-GigabitEthernet0/0/2] quit
[Router2
最低0.47元/天 解锁文章
307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
