锐捷网络—VPN功能—IPSEC 扩展配置—反向路由注入配置

最新推荐文章于 2024-05-07 09:55:16 发布
最新推荐文章于 2024-05-07 09:55:16 发布
阅读量643 收藏 1
点赞数 1
分类专栏: 锐捷网络 文章标签: 网络 智能路由器 IPSec 反向路由注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/132765767
版权

目录

功能介绍

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

 

功能介绍

       IPSEC反向路由注入,即Reverse Route Injection,一般用于IPSEC VPN总分机构中的总部路由器中。通过该功能,当分支与总部路由器间的IPSEC协商成功后,总部路由器会自动将分支的网段注入路由表中,使总部能够将数据正确地转发到相应的分支上。

      IPSEC反向路由注入功能的实现原理:当分支与总部间的IPSEC协商成功后,总部路由器会通过查看与该分支协商成功的ipsec sa感兴趣流,来了解分支的网段信息,同时将该网段信息添加入路由表,下一跳为分支的IP。

      比如,分支1的IPSEC感兴趣流为:分支网段192.168.1.0/24——>总部网段192.168.0.0/24,当与总部协商成功后,总部路由器对应该该分支的IPSEC感兴趣流为:总部网段192.168.0.0/24——>分支192.168.1.0/24;从感兴趣流中可以了解到该分支需与总部通信的网段为“192.168.1.0/24”,此时总部路由器通过反向路由注入功能,将192.168.1.0/24网段放入路由表,下一跳为分支1的IP地址。

一、组网需求

在总部路由器上通过IPSEC反向路由注入功能动态注入分支的路由信息,以实现总部与分支的正常通信。

二、组网拓扑

三、配置要点

1、配置基本的IPSEC功能

2、在总部路由器上配置反向路由注入功能

3、将反向注入的路由重发布到动态路由协议(可选,以OSPF为例)

四、配置步骤

1、配置基本的IPSEC功能

根据现场环境及客户需求,选择合适的IPSEC部署方案,详细配置参考IPSEC基础配置章节(典型配置--->安全--->IPSEC--->基础配置)

2、在总部路由器上配置反向路由注入功能

crypto dynamic-map dymymap 5

    reverse-route    //配置反向路由注入功能

注意:

  • 通过该功能注入的路由默认管理距离为1,权重为XXX与静态路由一样。可通过扩展参数修改注入路由的管理距离、度量值、也可对注入的路由进行标记。
  • 可通过remote-peer参数指定只对特定的对等体进行反向路由注入。
  • 通过该功能注入的路由可实现与BFD或TRACK联动。

Ruijie(config-crypto-map)#reverse-route ?

  <1-255>      Distance

  bfdConfigure bfd

  remote-peer  Match address of packets to encrypt

  tagSet tag for this route

  trackInstall route depending on tracked item

  weight       Route weight

  <cr>

3、将反向注入的路由重发布到动态路由协议(可选,以OSPF为例)

router ospf 1

    redistribute static subnets

五、配置验证

1、分支1与总部ipsec协商成功后,在总部路由器上可以看到动态生成了一条指向分支的路由:

Ruijie(config)#show ip route

Codes:  C - connected, S - static, R - RIP, B - BGP

        O - OSPF, IA - OSPF inter area

        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

        E1 - OSPF external type 1, E2 - OSPF external type 2

        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

        ia - IS-IS inter area, * - candidate default

Gateway of last resort is no set

C    10.0.0.0/24 is directly connected, GigabitEthernet 0/0

C    10.0.0.1/32 is local host.

C    192.168.0.0/24 is directly connected, Loopback 0

C    192.168.0.1/32 is local host.

S    192.168.1.0/24 [1/0] via 10.0.0.2//分支1的IPSEC VPN成功拨后,总部通过反向注入的路由。注意如果静态路由的下一跳地址是通过默认路由到达,由于默认路由不可用来递归,则会导致反向路由无法注入

2、在分支1上清除对应的ipsec sa,此时总部路由器上对应的路由条目消失:

center#show ip route

Codes:  C - connected, S - static, R - RIP, B - BGP

        O - OSPF, IA - OSPF inter area

        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

        E1 - OSPF external type 1, E2 - OSPF external type 2

        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

        ia - IS-IS inter area, * - candidate default

Gateway of last resort is no set

C    10.0.0.0/24 is directly connected, GigabitEthernet 0/0

C    10.0.0.1/32 is local host.

C    192.168.0.0/24 is directly connected, Loopback 0

C    192.168.0.1/32 is local host.

你可知这世上再难遇我
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
锐捷网络入门相关基本命令配置
08-11
【Switch#】configure terminal //由特权模式进入全局配置模式 【Switch(config)#】 4、VLAN模式 【Switch(config)#】vlan 100 //由全局模式进入VLAN模式 【Switch(config-vlan)#】 5、接口模式 【Switch(config)#...
ipv4反向路由配置
hzj_001的博客
08-24 1580
反向路由 rp_filter - INTEGER 0 - 表示不进行源地址反向路由验证 1 - 表示对收到的包进行反向路由验证,如果路由得到的接口不是,报文收到的接口,将把包丢掉,这是种比较严格的检查。参考RFC3704 2 - 表示一种宽松的检查模式,如果收上来的包的源IP地址进行反向路由后,找不到出口,这是源地址路由才失败,将包丢掉。 系统推荐使用使用严格模式检查,这种检查方式可以防止DD...
锐捷网络VPN功能IPSec VPN 常见问题和故障
君逍遥o
09-13 3253
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
华为反向路由注入的作用
ducanwang的博客
05-07 436
同时,反向路由会增加交换机的负担,因此,在大规模网络环境中使用反向路由时,需要仔细评估对性能的影响,并进行适当的优化和管理。其中,{destination network} 是目标网络的 IP 地址,{mask} 是网络掩码,{next hop} 是下一跳的 IP 地址。目标网络是指要访问的网络地址,下一跳是指数据包从当前网络出发时,要经过的下一个路由器或交换机的地址。其中,{interface name} 是接口的名称,{route-map name} 是之前创建的反向路由策略的名称。
Django18——反向路由及在视图中的使用
Blog of Lytracy
05-23 966
文章目录1、反向路由的概念2、给url起名字3、命名空间4、reverse功能5、示例——获取反向路由的url 在网站开发中,最多的元素就是a标签了,每个网站都是由不同的链接组合起来,让用户通过点击进入不同的页面进而服务用户的。 在实际的业务开展中,很多URL的资源标识名并不是一成不变的,而是根据公司业务进行不断的改变,如果页面上的所有a标签的跳转都是写成字符串常量形式的话,那么如果一旦有一个业务的资源标识发生了改变,那么开发人员将会对所有的页面上的a标签进行手动修改内容,那简直是无法想象的工作量。 所以,
反向路由
谭明骏编程
05-15 2500
反向路由是CakePHP的特性,用于允许您轻松地更改你的URL结构而不需要修改所有的代码。通过使用路由数组定义您的url,您可以稍后配置路线和生成的url将自动更新。 如果你使用字符串创建url: $this->Html->link('View', '/posts/view/' + $id); 然后决定/职位应该被称为“文章”相反,你会经历整个应用程序重命名的url。然而,如果你定义你的链接
linux内核的反向路由检查机制
jyshappy的博客
05-30 1527
今天遇到一个问题,eth1, eth2 双网卡,都配有IP, 默认网关在eth1 上。 尝试给另一个网卡加上同样的默认网关。 插入之后,发现ens161 无法访问, ens256 可以访问。 删除此条路由,ens161 可以访问,ens256无法访问。 route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10
锐捷动态IPSEC---点对多
qq_50966485的博客
02-04 1998
网络系统管理
等保测评-华为、华三、锐捷路由、交换设备配置
08-04
等保测评相关路由、交换机设备配置
接入层交换机配置模板-锐捷S2900
03-21
接入层交换机配置模板-锐捷S2900
L2L反向路由注入实验
11-22
一个关于IPSEC的RRL相关资源.如果您想全面的了解VPN,这本书对您有帮助.
锐捷网络RGNOS-路由协议配置指南.pdf
10-13
锐捷网络RGNOS-路由协议配置指南.pdf
锐捷路由器RSR77配置指南
最新发布
05-28
RG-RSR77-X&RSR-M&RSR77 V5.0&RSR50E-80 V5.0系列路由器RGOS 10.4(3b136)p4版本配置指南(V1.0)
锐捷网络VPN功能—XAUTH认证—XAUTH+VPE配置案例
君逍遥o
09-13 510
VPE可以将MPLS VPN和IP VPN结合起来,形成全网的VPN解决方案。 客户端设备可以使用带域名的用户名,通过VPDN拨号或xauth认证,通过域名动态的分配VRF,进入VPN专网。
三层网络 VLAN 静态路由反向路由设置简记
NULL BLOG
02-28 7153
三层网络 VLAN 静态路由反向路由设置简记 中心交换机设置 设置 VLAN 中心交换机全局路由(指向出口路由器路由器 LAN 接口设置(注意子网掩码匹配),连接到中心交换机 VLAN 9 端口 针对三层网络 VLAN 的路由器,根据中心交换机设置情况,向路由器添加反向(静态)路由表。
linux内核路由反向检查,Linux路由設置 反向路由設置
weixin_42548708的博客
04-30 256
反向路由設置:route add –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209route del –net 192.168.200.0 netmask 255.255.255.0 gw 172.31.1.209routeroute命令來配置並查看內核路由表的配置情況。例如:(1) 添加到主機的路由。#route add –ho...
测试山石防火墙 接口中 逆向路由 设置与urpf是否有关
塞子 迷糊地....
11-03 5047
测试山石防火墙 接口中 逆向路由 设置与urpf是否有关 对于山石防火墙接口上的 "逆向路由"设置一直不理解. 问了几次,专业回复都说是 这是"会话保持"功能. 与"urpf"功能无关. 个人总是感觉有些怀疑.今天我来用虚拟机测试一下. 防火墙使用的是 SG6000-CloudEdge-5.5R4P21-VM01.qcow2 所有测试只判断去向数据包的处理结果. 如果被drop就说明不转发. 如果建立了session就说它是转发. 没有讨论反向回来数据的转发情况. 设备连接结构 (192.168.20
Flask学习笔记:路由反向路由
qq_41805514的博客
06-21 2137
#-*- coding:utf-8 -*- from flask import Flask, request, url_for app = Flask(__name__) # 路由 @app.route("/") # 视图函数 def index(): return "&lt;h1&gt;Hello World!&lt;/h1&gt;" # 新的user路由 @app.route("/u...
锐捷网络项目实施配置规范V2.pdf
09-06
锐捷网络项目实施配置规范

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值