华为ipsec双冗余配置案例

1、总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。

2、总部核心交换机采用两台交换机做堆叠,保证设备级的可靠性。

3、总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。

4、总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。

5、总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。

6、总部两个出口路由器之间部署VRRP,保证可靠性。

7、总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。

8、总两两台AR上各配一个vpn策略分别和分支对联,分支要配两个vpn方案,并同时引用到一个安全策略中,再在接口上调用策略。

重要地方:

1、vrrp关键配置

[RouterA] interface Eth-Trunk 1.100

[RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1

[RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 150

[RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 60

[RouterA-Eth-Trunk1.100] quit

//为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。

2、核心指向vrrp虚拟网关

[CORE] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1

3、NAT配置

[RouterA] acl 3000

[RouterA-acl-adv-3000] rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 //需要IPSec保护的数据流

[RouterA-acl-adv-3000] rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

[RouterA-acl-adv-3000] rule 15 permit ip source 10.10.10.0 0.0.0.255 //需要进行NAT转换的数据流

[RouterA-acl-adv-3000] quit

//对于华为AR3200系列路由器,如果接口上同时配置了IPSec和NAT,则先执行NAT。所以为了避免把IPSec保护的数据流进行NAT转换,需要NAT引用的ACL规则deny掉需要IPSec保护的数据流,即对"IPSec感兴趣的数据流"做NAT豁免。

4、IKE对等体

[RouterA] ike peer vpn v1

[RouterA-ike-peer-vpn] pre-shared-key cipher huawei123

[RouterA-ike-peer-vpn] ike-proposal 5

[RouterA-ike-peer-vpn] dpd type periodic //配置周期性对等体存活检测

[RouterA-ike-peer-vpn] dpd idle-time 10 //设置对等体存活检测空闲时间为10秒

[RouterA-ike-peer-vpn] remote-address 203.10.1.2

[RouterA-ike-peer-vpn] quit

[RouterB] ike peer vpn v1

[RouterB-ike-peer-vpn] pre-shared-key cipher huawei123

[RouterB-ike-peer-vpn] ike-proposal 5

[RouterB-ike-peer-vpn] dpd type periodic

[RouterB-ike-peer-vpn] dpd idle-time 10

[RouterB-ike-peer-vpn] remote-address 203.10.1.2

[RouterB-ike-peer-vpn] quit

分支:

[RouterC] ike peer vpnr1 v1

[RouterC-ike-peer-vpnr1] pre-shared-key cipher huawei123

[RouterC-ike-peer-vpnr1] ike-proposal 5

[RouterC-ike-peer-vpnr1] dpd type periodic

[RouterC-ike-peer-vpnr1] dpd idle-time 10

[RouterC-ike-peer-vpnr1] remote-address 202.10.1.2

[RouterC-ike-peer-vpnr1] quit

[RouterC] ike peer vpnr2 v1

[RouterC-ike-peer-vpnr2] pre-shared-key cipher huawei123

[RouterC-ike-peer-vpnr2] ike-proposal 5

[RouterC-ike-peer-vpnr2] dpd type periodic

[RouterC-ike-peer-vpnr2] dpd idle-time 10

[RouterC-ike-peer-vpnr2] remote-address 202.10.2.2

[RouterC-ike-peer-vpnr2] quit

[RouterC] ipsec policy ipsec_vpn 10 isakmp

[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001

[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpnr1

[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1

[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] quit

[RouterC] ipsec policy ipsec_vpn 20 isakmp

[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] security acl 3001

[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] ike-peer vpnr2

[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] proposal tran1

[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] quit

[RouterC] interface GigabitEthernet1/0/0

[RouterC-GigabitEthernet1/0/0] ipsec policy ipsec_vpn

[RouterC-GigabitEthernet1/0/0] quit

相关推荐
AORO_BEIDOU2 小时前
单北斗+鸿蒙系统+国产芯片,遨游防爆手机自主可控“三保险”
华为·智能手机·harmonyos
博览鸿蒙3 小时前
鸿蒙操作系统(HarmonyOS)的应用开发入门
华为·harmonyos
Damon小智10 小时前
HarmonyOS NEXT 技术实践-基于基础视觉服务的多目标识别
华为·harmonyos
匹马夕阳13 小时前
华为笔记本之糟糕的体验
华为·笔记本电脑
egekm_sefg13 小时前
华为、华三交换机纯Web下如何创关键VLANIF、操作STP参数
网络·华为
无线认证x英利检测1 天前
进网许可认证、交换路由设备检测项目更新25年1月起
网络·智能路由器
岳不谢1 天前
华为DHCP高级配置学习笔记
网络·笔记·网络协议·学习·华为
爱笑的眼睛111 天前
uniapp 极速上手鸿蒙开发
华为·uni-app·harmonyos
K.P1 天前
鸿蒙元服务从0到上架【第三篇】(第二招有捷径)
华为·harmonyos·鸿蒙系统
网络安全Jack1 天前
防火墙技术与网络安全
web安全·智能路由器·php