实验32大量分支GREoverIPSec接入的简易配置精Word文档格式.docx
《实验32大量分支GREoverIPSec接入的简易配置精Word文档格式.docx》由会员分享,可在线阅读,更多相关《实验32大量分支GREoverIPSec接入的简易配置精Word文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
172.16.10.1。
分部一设备为SecBlade防火墙插卡;
172.16.30.1。
分部二设备为SecPathV3防火墙;
软件版本Release1662P07;
公网出接口G0/1:
172.16.20.1。
因特网设备为S7503E-S交换机;
软件版本Release6616P01;
实验中所用接口为G0/0/25:
172.16.10.2,G0/0/27:
172.16.30.2,G0/0/28:
192.168.20.1。
三、
配置步骤
1)
基本配置
各个设备的接口和区域的配置。
分部的IP地址本应该为动态获取,这里为了简化配置,直接改为静态了。
路由配置:
中心:
iproute-static0.0.0.00.0.0.0172.16.10.2
//公网路由
iproute-static2.2.2.2255.255.255.25510.0.0.2
//将业务数据流引向Tunnel接口,从而触发GRE封装
分部一:
iproute-static0.0.0.00.0.0.0172.16.30.2
iproute-static1.1.1.1255.255.255.25510.0.0.1
//将业务数据流引向Tunnel接口,从而触发GRE封装
分部二:
iproute-static0.0.0.00.0.0.0172.16.20.2preference60
iproute-static1.1.1.1255.255.255.25510.0.0.1preference60
2)
GRE配置
中心设备:
interfaceTunnel1
ipaddress10.0.0.1255.255.255.0
tunnel-protocolgrep2mp
//这里默认采用GRE,改为P2MP
source192.168.10.1
//源封装地址为回环接口Lookback1的地址
grep2mpbranch-network-mask255.255.255.0
//采用P2MP的封装模式,无表示对端的封装地址为多少,只能设置一个掩码表示范围
分部一设备:
ipaddress10.0.0.2255.255.255.0
source192.168.10.2
destination192.168.10.1
//分部设备对中心设备来与是点到点的类型,直接封装相应的源地址和目标地址就行了
ipaddress10.0.0.3255.255.255.0
source192.168.10.3
3)
IPSec配置
在本实验中,分部的IP都不是固定的,都为动态获取所得,所以,IKE的协商方式这里采用野蛮模式
ikelocal-namefw1
//IKE本端名字(千万不能忘记)
ikepeer10
exchange-modeaggressive
pre-shared-keycipher$c$3$/3EvhWhcCcw0SYCWzLohIg2r1bGeCVY=
id-typename
remote-namefw2
remote-addressfw2dynamic
//此处可以不做配置,如果不做配置默认为所有IP地址,如图所示:
ipsecproposal10
//安全提议采用默认的配置即可,也可以自行更改,默认为:
ipsecpolicy-templatezb110
ike-peer10
proposal10
//总部的类型为点到多点,所以这里采用模板的方法,这样无法配置ACL进行数据流匹配
ipsecpolicycnc10isakmptemplatezb1
//模板的应用方式
interfaceGigabitEthernet0/3
portlink-moderoute
ipaddress172.16.10.1255.255.255.0
ipsecpolicycnc
aclnumber3000
rule0permitipsource192.168.10.20destination192.168.10.10
ikelocal-namefw2//配置本端名字
pre-shared-keycipher$c$3$UaPgUwWG/SiXbHB6XVbtbAVmEBQk1AE=
remote-namefw1
remote-address172.16.10.1
#
ipsecproposal10//采用默认,这里也可以不做配置
ipsecpolicyfb10isakmp
securityacl3000
//分部为点到点模式,不用配置模板,此里的acl可以用于中心设备的反向匹配
pre-shared-keycipherKqbfKcrPdHA=
remote-namefw1
rule0permitipsource192.168.10.30destination192.168.10.10
4)
连通性测试
只能由分部触发建立,中心侧无法触发。
[H3C]ping-a2.2.2.21.1.1.1
PING1.1.1.1:
56
databytes,pressCTRL_Ctobreak
Requesttimeout
Replyfrom1.1.1.1:
bytes=56Sequence=2ttl=255time=1ms
bytes=56Sequence=3ttl=255time=1ms
bytes=56Sequence=4ttl=255time=1ms
bytes=56Sequence=5ttl=255time=1ms
---1.1.1.1pingstatistics---
5packet(s)transmitted
4packet(s)received
20.00%packetloss
round-tripmin/avg/max=1/1/1ms
[H3C]
<
Quidway>
ping-a3.3.3.31.1.1.1
bytes=56Sequence=1ttl=255time=1ms
5packet(s)received
0.00%packetloss
中心设备情况:
H3C>
displayikesa
totalphase-1SAs:
2
connection-id
peer
flag
phase
doi
status
-----------------------------------------------------------------------
1
172.16.30.1
RD
1
IPSEC
--
3
172.16.20.1
2
4
flagmeaning
RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUT
分部一与分部二都已经成功建立隧道
查看IPSecSA隧道
displayipsecsa
===============================
Interface:
GigabitEthernet0/3
pathMTU:
1500
=========
升级会员 