锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份

最新推荐文章于 2024-04-25 05:44:07 发布
最新推荐文章于 2024-04-25 05:44:07 发布
阅读量1.1k 收藏 7
点赞数 1
分类专栏: 锐捷网络 文章标签: 网络 IPSec 预共享 加密转换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/132692390
版权

目录

锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份

功能介绍

应用场景

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份

功能介绍

RSR系列路由器支持基于VRRP虚接口IP来进行IPSEC的协商。

应用场景

企业的总部有两个出口路由器用来做IPSEC VPN,一主一备,正常情况下,总部和分支机构的数据从主用路由器转发,企业对网络的可靠性要求比较高,当主用路由器出现故障时,能够自动切换到备用路由器,保证总部和分支机构之间还能够正常传输数据、共享资料,那么可以在总部的两个出口路由器上启用基于VRRP的IPSEC冗余备份的功能。

一、组网需求

某企业总部使用R1、R2两台路由器起VRRP连接至互联网,各分支需通过与总部路由器建立IPSEC VPN来对互访的数据进行加密。

同时为了保证两台出口路由器能够起到冗余备份作用,各分支都与VRRP虚IP建立IPSEC VPN。

二、组网拓扑

三、配置要点

1、配置总部路由器和各分支路由器,使其能够正常访问互联网

2、在总部出口路由器上配置动态态IPSEC VPN隧道

(1)R1 VRRP配置

(2)R2 VRRP配置

3、在总部路由器上配置路由,将各分支网段路由指向出口

(1)配置isakmp策略

(2)配置预共享密钥

(3)配置ipsec加密转换集

(4)配置动态ipsec加密图

(5)将动态ipsec加密图映射到静态的ipsec加密图中

(6)将加密图应用到接口

4、在分支路由器上配置静态IPSEC VPN隧道

5、在分支路由器上配置路由,将总部网段路由指向出口

(1)配置ipsec感兴趣流

(2)配置isakmp策略

(3)配置预共享密钥

(4)配置ipsec加密转换集

(5)配置ipsec加密图

(6)将加密图应用到接口

注意:

  • 需要使用IPSEC互访的IP网段不能重叠。
  • RSR50/RSR50E涉及IPSEC功能必须配备AIM-VPN加密卡(如何查看RSR50/RSR50E是否已经配备AIM-VPN加密卡,请查看本文最后的附录部分)

四、配置步骤

1、配置总部路由器和各分支路由器,使其能够正常访问互联网

       保证在分支路由器上能够ping通总部路由器外网口公网IP地址。

2、在总部路由器R1、R2上部署VRRP

(1)R1 VRRP配置

interface GigabitEthernet 0/0

ip address 10.0.0.2 255.255.255.0

vrrp 1 priority 110//指定R1 VRRP优先级为110(高于默认100),正常情况下使R1为vrrp master

vrrp 1 ip 10.0.0.1//指定VRRP虚IP为10.0.0.1

(2)R2 VRRP配置

interface GigabitEthernet 0/0

ip address 10.0.0.3 255.255.255.0

vrrp 1 ip 10.0.0.1//指定VRRP虚IP为10.0.0.1

3、在总部出口路由器R1、R2上配置动态态IPSEC VPN隧道

(1)配置isakmp策略

crypto isakmp policy 1//创建新的isakmp策略

encryption 3des                         //指定使用3DES进行加密

authentication pre-share//指定认证方式为预共享密码,如使用数字证书配置authentication rsa-sig,如使用数字信封配置authentication digital-email

(2)配置预共享密钥

crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0//配置预共享密钥为ruijie,客户端需配置相同的预共享密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端

(3)配置ipsec加密转换集

crypto ipsec transform-set myset esp-des esp-md5-hmac//指定ipsec使用esp封装des加密、MD5检验

(4)配置动态ipsec加密图

crypto dynamic-map dymymap 5//新建名为dymymap的动态ipsec加密图

set transform-set myset //指定加密转换集为myset

(5)将动态ipsec加密图映射到静态的ipsec加密图中

crypto map mymap 10 ipsec-isakmp dynamic dymymap   //将动态的dymymapipsec加密图映射至静态ipsec加密图mymap中

(6)将加密图应用到接口

interface GigabitEthernet 0/0

crypto map mymap

4、在总部路由器R1、R2上配置路由,将各分支网段路由指向出口

       ip route 192.168.1.0 255.255.255.0 10.0.0.4

ip route 192.168.2.0 255.255.255.0 10.0.0.4

ip route 192.168.3.0 255.255.255.0 10.0.0.4

......

5、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)

(1)配置ipsec感兴趣流

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255  //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。

(2)配置isakmp策略

crypto isakmp keepalive 5 periodic//配置IPSEC DPD探测功能

crypto isakmp policy 1//创建新的isakmp策略

    authentication pre-share         //指定认证方式为预共享密码,如使用数字证书配置authentication rsa-sig,如使用数字信封配置authentication digital-email

    encryption 3des//指定使用3DES进行加密

(3)配置预共享密钥

crypto isakmp key 0 ruijie address 10.0.0.1  //指定peer 10.0.0.1的预共享密钥为ruijie,该密钥必须与总部路由器上配置的密钥一致。如使用数字证书/信封认证则无需配置。

注意:该peer地址为总部路由器R1、R2的VRRP虚IP.

(4)配置ipsec加密转换集

crypto ipsec transform-set mysetesp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验

(5)配置ipsec加密图

crypto map mymap 5 ipsec-isakmp //新建名称为mymap的加密图

    set peer 10.0.0.1//指定peer地址

    set transform-set myset//指定加密转换集为myset

    match address 101//指定感兴趣流为ACL 101

注意:该peer地址为总部路由器R1、R2的VRRP虚IP。

(6)将加密图应用到接口

interface dialer 0

    crypto map mymap

6、在分支路由器上配置路由,将总部网段路由指向出口

       ip route 192.168.0.0 255.255.255.0 dialer 0

五、配置验证

1、在R1工作正常的情况下,分支与R1建立ipsec vpn

2、将R1的外网口G0/0 shutdown,此时VRRP master切换到R2上。同时由于分支配置了DPD功能,因此检测到R1故障,清除与R1建立的ISAKMP/IPSEC SA;此时若有新的流量访问总部,则会与R2建立ISAKMP/IPSEC SA。

你可知这世上再难遇我
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
锐捷网络入门相关基本命令配置
08-11
【Switch#】configure terminal //由特权模式进入全局配置模式 【Switch(config)#】 4、VLAN模式 【Switch(config)#】vlan 100 //由全局模式进入VLAN模式 【Switch(config-vlan)#】 5、接口模式 【Switch(config)#...
锐捷交换机配置教程
10-10
锐捷交换机配置教程,里面有详细的交换机配置案例,和教程
锐捷无线分级AC部署实施指南——方案部署指导:总部基础网络部署
君逍遥o
11-10 1001
部署完总部基础网络之后,总部就可以访问internet了。 总部基础网络部署,和分级AC关系不大,按照传统方式部署即可,只不过分级AC的部署需要建立在总部基础网络部署的基础上。
锐捷网络——安全域网关(SDG)+WEB认证实施指导
君逍遥o
09-19 1004
1、所有用户都要实名认证接入 2、将内外资源进行分类,所有用户同一时间只能访问一类资源,做到访问隔离 3、对所有用户需要实名日志记录
通过IPsec网络客户端无法访问服务器https
最新发布
高性价比服务器就选:蓝易云
04-25 130
此外,在某些情况下,MTU(最大传输单元)大小也可能影响到使用IPSec VPN进行通信时数据包传输效率及稳定性问题,在默认情况下大多数系统设备MTU值为1500字节,但在经过加密封装后,数据包大小将超过此值,从而导致数据包在传输过程中被分片甚至丢弃.解决方法可以尝试降低MTU值,例如将其设置为1300或1400。有些防火墙规则可能会限制特定类型的流量或者特定端口号(例如:443端口用于HTTPS),所以需要确保这些规则不会影响到你使用VPN访问HTTPS服务。你可以检查VPN的状态和配置来确认这一点。
锐捷RSR系列路由器_安全_NAT 网络地址转换
君逍遥o
08-31 2529
NAT:网络地址转换。正常数据转发时,IP头部的源和目的地址以及端口号是不会被更改的,而使用了NAT技术后,它将更改报文头部内容,实现隐藏内外部主机真实地址、多台主机共享少量IP访问内外部网络、解决IP地址空间重叠、服务器负载均衡等功能
锐捷网络VPN功能IPSec VPN 常见问题和故障
君逍遥o
09-13 2941
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
锐捷RSR系列路由器—VPN功能—GRE 功能配置
君逍遥o
09-05 2061
若总公司和分公司各自的内网之间要能够互相共享资料,并且对数据的安全性要求不高,此时您可以在总公司和分公司的网络设备上建立GRE VPN,它即能实现总公司和分公司之间能够直接互相访问资源。
锐捷动态IPSEC---点对多
qq_50966485的博客
02-04 1972
网络系统管理
锐捷RSR系列路由器—VPN功能—VPDN 2.0 客户端场景配置—L2TP 2.0自发隧道模式-用户本地验证
君逍遥o
09-05 1335
若总公司和分公司各自的内网要能够互相共享资料,且对数据的安全性要求不高,总公司对分公司路由器采用本地的用户名、密码方式进行验证,此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN,且PPP认证采用本地认证。
锐捷学习笔记-34(跨域MPLS VPN Option A)
zhaoxx22的博客
07-31 369
锐捷MPLS VPN Option A配置
1+X锐捷网络设备模拟器基于Ubuntu搭建.zip
04-29
1、锐捷网络设备模拟器最终用户软件许可协议.pdf 2、锐捷网络设备模拟器使用说明...3、锐捷网络设备模拟器功能和已知问题说明(V1.0).xlsx 4、模拟器下载后请先核对好文件哈希值.txt 5、RGOSV1.0 To Examination.ova
配置ipsec步骤详解
12-10
IPSec(IP Security)是 IETF为保证在Internet上传送数据的安全保密性,而制定的框架协议 应用在网络层,保护和认证用IP数据包 是开放的框架式协议,各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护 支持隧道模式和传输模式
网络设备配置备份脚本
06-09
本资源基于tftp做网络设备配置备份,包含华为、华三、锐捷交换机等网络设备配置备份脚本,以及调用参数说明和示例
锐捷网络RGNOS-基础配置指南.pdf
10-13
这份基础配置指南主要涵盖了在RGNOS上进行基本网络配置的步骤和技巧。 第一章介绍了如何使用命令行界面。在命令模式中,用户可以输入各种指令来配置和监控设备。有几种不同的命令模式,包括用户模式、特权模式和...
锐捷交换机备份配置文件的操作方法[汇编].pdf
10-13
锐捷交换机备份配置文件的操作方法 在本文中,我们将详细介绍锐捷交换机备份配置文件的...锐捷交换机备份配置文件的操作方法是网络管理员和交换机管理员必备的技能之一,对于网络的稳定运行和维护具有非常重要的意义。
锐捷网络VPN功能—XAUTH认证—客户端的安装
君逍遥o
09-13 1306
支持的客户端类型: 1. 支持windows客户端:“RG-Windows_IPSec_Setup_1.1(1)_Build20131018.exe” 2. 支持Android客户端:“RG_Android_IPSec_Setup_1.1(1)_Build20131018.exe” 3. IOS自带客户端,无需我司提供 客户端软件需要使用“安装包制作程序”制作,可从RTR版本管理系统(仅向锐捷工程师开放)下载。
IPSEC VPN动态配置(示例)
无心
04-20 1598
EG1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset,没有指定就写R1一致的。R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集,名字为myset。R1(config-crypto-map)#set transform-set myset //指定加密转换集为”myset“
锐捷配置IPSEC VPN静态隧道
m0_74862906的博客
12-10 1699
使用IPSEC VPN静态隧道,掌握IPSEC VPN静态隧道配置
锐捷IPsec配置指令
05-16
以下是锐捷设备IPsec VPN的常用配置指令: 1. 创建IPsec策略 ``` ipsec policy add <name> <action> <src> <dst> <proto> <s_port> <d_port> <crypt> <auth> <pfs> ``` 具体参数说明: - `<name>`:IPsec策略名称,自定义命名。 - `<action>`:数据包处理方式,可选参数为`encrypt`、`decrypt`、`ipsec`、`clear`。 - `<src>`:源地址,可以是单个IP地址、网段或者`any`。 - `<dst>`:目的地址,可以是单个IP地址、网段或者`any`。 - `<proto>`:协议类型,可选参数为`ah`、`esp`、`ipcomp`。 - `<s_port>`:源端口,可选参数为`any`或者具体的端口号。 - `<d_port>`:目的端口,可选参数为`any`或者具体的端口号。 - `<crypt>`:加密算法,可选参数为`des`、`3des`、`aes128`、`aes192`、`aes256`。 - `<auth>`:认证算法,可选参数为`hmac-md5`、`hmac-sha1`、`hmac-sha2-256`、`hmac-sha2-384`、`hmac-sha2-512`。 - `<pfs>`:PFS(Perfect Forward Secrecy)算法,可选参数为`group1`、`group2`、`group5`、`group14`、`group19`、`group20`。 例如,创建一个名为`myipsec`的IPsec策略,源地址为`10.0.0.0/24`,目的地址为`192.168.0.0/24`,协议类型为`esp`,加密算法为`aes256`,认证算法为`hmac-sha2-512`,PFS算法为`group5`,数据包处理方式为`encrypt`,则指令为: ``` ipsec policy add myipsec encrypt 10.0.0.0/24 192.168.0.0/24 esp any any aes256 hmac-sha2-512 group5 ``` 2. 配置IPsec连接 ``` ipsec peer add <name> <addr> <auth> <crypt> <pfs> <local> <remote> <mode> ``` 具体参数说明: - `<name>`:IPsec连接名称,自定义命名。 - `<addr>`:远程IP地址。 - `<auth>`:认证算法,可选参数为`hmac-md5`、`hmac-sha1`、`hmac-sha2-256`、`hmac-sha2-384`、`hmac-sha2-512`。 - `<crypt>`:加密算法,可选参数为`des`、`3des`、`aes128`、`aes192`、`aes256`。 - `<pfs>`:PFS(Perfect Forward Secrecy)算法,可选参数为`group1`、`group2`、`group5`、`group14`、`group19`、`group20`。 - `<local>`:本地IP地址。 - `<remote>`:远程IP地址。 - `<mode>`:模式,可选参数为`main`(主模式)或`aggressive`(快速模式)。 例如,创建一个名为`myvpn`的IPsec连接,本地IP地址为`192.168.1.1`,远程IP地址为`10.0.0.1`,认证算法为`hmac-sha1`,加密算法为`aes128`,PFS算法为`group2`,模式为`main`,则指令为: ``` ipsec peer add myvpn 10.0.0.1 hmac-sha1 aes128 group2 192.168.1.1 10.0.0.1 main ``` 以上是锐捷设备IPsec VPN的常用配置指令,具体使用时还需根据实际需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值