华为ipsec双冗余配置案例

最新推荐文章于 2024-05-07 11:29:45 发布
最新推荐文章于 2024-05-07 11:29:45 发布
阅读量1.7k 收藏 20
点赞数 24
分类专栏: 网络工程 文章标签: 华为 智能路由器
项目工程师余工
本文链接:https://blog.csdn.net/ydaxia110/article/details/135282526
版权

在这里插入图片描述

1、总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。
2、总部核心交换机采用两台交换机做堆叠,保证设备级的可靠性。
3、总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。
4、总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。
5、总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。
6、总部两个出口路由器之间部署VRRP,保证可靠性。
7、总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。
8、总两两台AR上各配一个vpn策略分别和分支对联,分支要配两个vpn方案,并同时引用到一个安全策略中,再在接口上调用策略。

重要地方:
1、vrrp关键配置
[RouterA] interface Eth-Trunk 1.100
[RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1
[RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 150
[RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 60
[RouterA-Eth-Trunk1.100] quit
//为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。

2、核心指向vrrp虚拟网关
[CORE] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1

3、NAT配置
[RouterA] acl 3000
[RouterA-acl-adv-3000] rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 //需要IPSec保护的数据流
[RouterA-acl-adv-3000] rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
[RouterA-acl-adv-3000] rule 15 permit ip source 10.10.10.0 0.0.0.255 //需要进行NAT转换的数据流
[RouterA-acl-adv-3000] quit
//对于华为AR3200系列路由器,如果接口上同时配置了IPSec和NAT,则先执行NAT。所以为了避免把IPSec保护的数据流进行NAT转换,需要NAT引用的ACL规则deny掉需要IPSec保护的数据流,即对“IPSec感兴趣的数据流”做NAT豁免。

4、IKE对等体
[RouterA] ike peer vpn v1
[RouterA-ike-peer-vpn] pre-shared-key cipher huawei123
[RouterA-ike-peer-vpn] ike-proposal 5
[RouterA-ike-peer-vpn] dpd type periodic //配置周期性对等体存活检测
[RouterA-ike-peer-vpn] dpd idle-time 10 //设置对等体存活检测空闲时间为10秒
[RouterA-ike-peer-vpn] remote-address 203.10.1.2
[RouterA-ike-peer-vpn] quit

[RouterB] ike peer vpn v1
[RouterB-ike-peer-vpn] pre-shared-key cipher huawei123
[RouterB-ike-peer-vpn] ike-proposal 5
[RouterB-ike-peer-vpn] dpd type periodic
[RouterB-ike-peer-vpn] dpd idle-time 10
[RouterB-ike-peer-vpn] remote-address 203.10.1.2
[RouterB-ike-peer-vpn] quit

分支:
[RouterC] ike peer vpnr1 v1
[RouterC-ike-peer-vpnr1] pre-shared-key cipher huawei123
[RouterC-ike-peer-vpnr1] ike-proposal 5
[RouterC-ike-peer-vpnr1] dpd type periodic
[RouterC-ike-peer-vpnr1] dpd idle-time 10
[RouterC-ike-peer-vpnr1] remote-address 202.10.1.2
[RouterC-ike-peer-vpnr1] quit
[RouterC] ike peer vpnr2 v1
[RouterC-ike-peer-vpnr2] pre-shared-key cipher huawei123
[RouterC-ike-peer-vpnr2] ike-proposal 5
[RouterC-ike-peer-vpnr2] dpd type periodic
[RouterC-ike-peer-vpnr2] dpd idle-time 10
[RouterC-ike-peer-vpnr2] remote-address 202.10.2.2
[RouterC-ike-peer-vpnr2] quit

[RouterC] ipsec policy ipsec_vpn 10 isakmp
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpnr1
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] quit
[RouterC] ipsec policy ipsec_vpn 20 isakmp
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] security acl 3001
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] ike-peer vpnr2
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] proposal tran1
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] quit

[RouterC] interface GigabitEthernet1/0/0
[RouterC-GigabitEthernet1/0/0] ipsec policy ipsec_vpn
[RouterC-GigabitEthernet1/0/0] quit

项目工程师余工
关注
  • 24
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
思科交换机冗余星形设计,附带sw1核心交换机配置
weixin_40704392的博客
10-08 1168
以太网设计为冗余星形。这意味着每个本地开关(Catalyst 2960)都连接到每个主开关(Catalyst 3750)。由于不同VLAN之间的路由(参见本章)是由主交换机完成的,因此在本地交换机或主交换机上的连接断开的情况下,此功能也可以工作。 两台主交换机配置冗余路由器,使用Cisco热备用路由器协议将虚拟IP地址连接在一起。所有设备的网关地址是各自子网之外的虚拟地址。 sw1 程序 vlan 400 name l1 exit ! vlan 500 name l2 exit ! vlan 600
cisco冗余GET×××配置实例
weixin_34242658的博客
09-11 257
GCKS(config)#do show runBuilding configuration...Current configuration : 3260 bytes!upgrade fpd autoversion 12.4service timestamps debug datetime msecservice timestamps log datetime msecno ...
华为路由器配置IPSEC VPN
最新发布
aaheguosong的博客
05-07 438
AR1为企业分支网关,AR2为企业总部网关,分支与总部通过公网建立通信。分支子网为10.0.10.0/24,总部子网为10.0.20.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支子网较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
三层交换机配置实例及说明
weixin_34393428的博客
01-11 276
Enable//进入私有模式Configureterminal//进入全局模式servicepassword-encryption//对密码进行加密hostnameCatalyst3550-12T1//给三层交换机定义名称enablepassword123456.//enable密码Enablesecret65432...
交换冗余实验
yueyadao的博客
12-10 2320
实验拓扑 实验要求: PC6在VLAN2,PC7在VLAN3 交换机上启用MST,SW2和SW3互为备份根 三层交换机上启用HSRP,互为网关备份 三层交换机上启用动态路由协议,使PC可以访问到路由器的环回0口 三层交换机实现互为冗余备份 模拟器做交换实验局限性很大,所以具体实验是使用真机配置(接口有改动) 使用了两台三层交换机,两台二层交换机,一台路由器(都是cisco的设备) 第一步:先做1...
交换机 vrrp+mstp配置实例
06-24
交换机 vrrp+mstp配置实例 锐捷tac贾文宇 组网需求 switch a 、switch b选用两台锐捷的s5750 ;switch c 、shwich d 选 用锐捷的 s3750和s3760 全网共有两个业务vlan ,为 vlan 10 、vlan 20 Switch a 、switch b 都分别对两vlan起用两vrrp组,实现两组的业务的负载分担和备份。 Switch a、switch b、switch c、switch d 都起用 mstp多生成数协议,并且所有设备都属于同一个mst域,且实例映射一致(vlan 10映射实例1、vlan 20映射实例2 其他vlan映射默认实例0)。 Vlan 10业务以switch a为根桥; vlan 20业务以switch b为根桥;实现阻断网络环路,并能实现不同vlan数据流负载分担功能。
华为 NE20E-S V800R010C10SPC500 配置指南 - PIM配置
04-21
华为NE20E-S V800R010C10SPC500配置指南 - PIM配置】涉及了多个PIM协议相关的配置和优化步骤,这对于构建高效、可靠的组播网络至关重要。以下是对这些知识点的详细说明: 1. **PIM概述**:PIM(Protocol ...
华为 ME60 V800R011C10 配置指南 - 机备份配置
04-02
8. **配置示例**:文档提供了配置实例,包括组网需求分析、配置步骤和注意事项,帮助用户理解并实践机备份的配置华为ME60多业务控制网关的机备份配置旨在提升网络的可靠性和用户业务的连续性,通过备份控制...
H3C 防火墙典型配置案例集整本手册【COMWARE V7平台】.rar
03-22
H3C 防火墙IPsec典型配置案例(V7) H3C 防火墙NAT444典型配置案例(V7) H3C 防火墙NAT典型配置案例(V7) H3C 防火墙堆叠冗余口应用典型配置案例(V7) H3C 防火墙基于ACL包过滤策略的域间策略典型配置案例(V7) H3C 防火墙...
思科与华为设备组建大型网工程实例
05-28
总的来说,"思科与华为设备组建大型网工程实例"这个主题涵盖了许多网络设计、部署和运维的关键知识点,包括但不限于设备选择、网络规划、路由协议、安全策略、管理工具以及故障排除等。实际操作时,需要根据具体需求...
华为HCIE-Security培训视频汇总集【共6期90集】.rar
09-15
10_防火墙路由基础_智能选路_策略路由_案例分析 11_防火墙NAT原理介绍.mp4 12_nat配置_nat_server_目的nat_向nat 华为安全HCIE-第三门-防火墙高级技术(17篇) 1_用户认证_用户_认证域_认证策略 2_用户认证_...
华三网络设备配置冗余备份 irf
07-12
华三核心交换机冗余配置实例配置协议为irf,将两台网络设备虚拟成一台
华为交换设备-企业网络冗余设计
qq_42966610的博客
04-11 1572
步骤三VRRP配置配置vrrp的时候直接把核心交换机其它的vlan配置完毕)(这个交换机的接口是一个路由器,这里这个路由器充当的角色是。步骤四BFD与VRRP联动配置(把下联接口也做配置)步骤一Vlan、Trunk、Eth-Trunk配置。步骤一Vlan、Trunk、Eth-Trunk配置。已经全部配置完了,如果有问题,欢迎大家评论区交流。步骤四BFD与VRRP联动配置。模式,配置的时候一定要注意)已经在图上标注,只配置一个。所有网络设备都配置(除。步骤二 MSTP配置。步骤二 MSTP配置
防火墙——IPSec高可靠性(IPSec5)
m0_49864110的博客
05-18 1146
IPSec通道链路固定IP接入,备IPSec通道链路采用固定或拨号接入(需要建立多个IPSec)将IPSec策略应用到Tunnel接口中,然后多个物理接口做备份(只需要建立一个IPSecIPSec高可用-主备链路_vpp ipsec主备_静下心来敲木鱼的博客-CSDN博客。IPSec高可用——设备冗余实验配置_静下心来敲木鱼的博客-CSDN博客。冗余的两台FW做机热备,在物理口上引用IPSec安全策略(正常配置IPSec高可用-隧道化链路备份_静下心来敲木鱼的博客-CSDN博客。
华为vrrp(虚拟路由冗余协议)
weixin_73918876的博客
10-22 421
三层交换机(先创建vlan 10 20,三层交换机与二层交换机的接口为trunk,允许vlan通过,再设置链路聚合模式,之后进入vlan配置网关ip(这个ip地址不能与vrrp里面的虚拟ip进行重合,进入vlan之后,在vlan模式下配置vrrp相关命令)3. 网络透明性:对于网络中的其他设备来说,VRRP提供了一个统一的虚拟路由器,无需了解路由器的具体配置和故障转移过程。5. 备份路由器监听VRRP通告,一旦主路由器故障或离线,备份路由器中的一个将会接管主路由器的IP地址和网络流量处理。
华为路由器 IPSec VPN 配置
一直被模仿,从未被超越
05-31 7788
上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通。PC1 不能访问 PC2,反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
华为防火墙ipsec vp*实例配置
weixin_45457085的博客
03-22 1万+
拓扑介绍 FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口 通过在inter上搭建IPSec实现方内网互通 配置思路 1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。 2、IPSEC配置 a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。 b、ike proposal(ike提案),如果是通过IKE自动协商..
企业路由出口,策略路由及冗余配置
A soul tortured by desire
06-23 8033
参照本人文章《华为策略路由,实现线选路上网》https://blog.csdn.net/WannaHaha/article/details/106859778 背景 虽然策略路由可以实现根据不同源地址选择不同运营商网络,可是要是有一个运营商出现故障时,原来通过策略路由实现连接Internet的PC1就会断开!!! 要求: 很多情况下,公司不允许出现断网情况,但是运行商会有一些不可预估的问题出现 想解决此问题只能使用出口,在一条链路断了,可以跳转到另一个链路,实现企业出口,..
华为IPSEC 野蛮模式配置
05-12
配置华为IPSec野蛮模式需要以下步骤: 1. 创建安全策略 ``` security policy 10 action permit local selector 10.0.0.0/24 remote selector 20.0.0.0/24 ``` 其中,security policy 10是安全策略的编号,action permit表示允许通过,local selector是本地子网,remote selector是远程子网。 2. 创建IPSec策略 ``` ipsec proposal proposal1 esp authentication-algorithm sha1 esp encryption-algorithm des ah authentication-algorithm sha1 ah encryption-algorithm des ipsec policy policy1 isakmp security acl number 2000 proposal proposal1 pfs dh-group2 remote-address 20.0.0.0 ``` 其中,ipsec proposal是IPSec提案,ipsec policy是IPSec策略,security acl number是ACL编号,proposal是提案名称,pfs表示Perfect Forward Secrecy,remote-address是远程主机地址。 3. 创建IKE策略 ``` ike proposal proposal1 authentication-method pre-shared-key dh-group2 encryption-algorithm des integrity-algorithm sha1 ike peer peer1 ike-proposal proposal1 pre-shared-key cipher %^%#LSJL9d$eQmW(]a9@G<g6hS#W%1yXn9iqk{PQD!%i%^%# ike-version v1 remote-address 20.0.0.1 ``` 其中,ike proposal是IKE提案,ike peer是IKE对端,pre-shared-key是预共享密钥,remote-address是远程主机地址。 4. 创建VPN实例 ``` ip vpn-instance vpn1 ipv4-family route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity route-target export 100:1 route-target import 100:1 ``` 其中,ip vpn-instance是VPN实例,ipv4-family是IPv4族,route-distinguisher是路由区分器,vpn-target是VPN目标,route-target是路由目标。 5. 创建VPN接口 ``` interface Tunnel1 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.0 tunnel-protocol ipsec tunnel-policy policy1 tunnel source 10.0.0.1 tunnel destination 20.0.0.1 ``` 其中,interface Tunnel1是VPN接口,ip binding vpn-instance是绑定VPN实例,ip address是IP地址,tunnel-protocol是隧道协议,tunnel-policy是隧道策略,tunnel source是隧道源地址,tunnel destination是隧道目的地址。 配置完成后,可以通过ping测试隧道是否正常工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值