华为ipsec双冗余配置案例

1、总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。

2、总部核心交换机采用两台交换机做堆叠,保证设备级的可靠性。

3、总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。

4、总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。

5、总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。

6、总部两个出口路由器之间部署VRRP,保证可靠性。

7、总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。

8、总两两台AR上各配一个vpn策略分别和分支对联,分支要配两个vpn方案,并同时引用到一个安全策略中,再在接口上调用策略。

重要地方:

1、vrrp关键配置

RouterA\] interface Eth-Trunk 1.100 \[RouterA-Eth-Trunk1.100\] vrrp vrid 1 virtual-ip 10.10.100.1 \[RouterA-Eth-Trunk1.100\] vrrp vrid 1 priority 150 \[RouterA-Eth-Trunk1.100\] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 60 \[RouterA-Eth-Trunk1.100\] quit //为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。 2、核心指向vrrp虚拟网关 \[CORE\] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1 3、NAT配置 \[RouterA\] acl 3000 \[RouterA-acl-adv-3000\] rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 //需要IPSec保护的数据流 \[RouterA-acl-adv-3000\] rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 \[RouterA-acl-adv-3000\] rule 15 permit ip source 10.10.10.0 0.0.0.255 //需要进行NAT转换的数据流 \[RouterA-acl-adv-3000\] quit //对于华为AR3200系列路由器,如果接口上同时配置了IPSec和NAT,则先执行NAT。所以为了避免把IPSec保护的数据流进行NAT转换,需要NAT引用的ACL规则deny掉需要IPSec保护的数据流,即对"IPSec感兴趣的数据流"做NAT豁免。 4、IKE对等体 \[RouterA\] ike peer vpn v1 \[RouterA-ike-peer-vpn\] pre-shared-key cipher huawei123 \[RouterA-ike-peer-vpn\] ike-proposal 5 \[RouterA-ike-peer-vpn\] dpd type periodic //配置周期性对等体存活检测 \[RouterA-ike-peer-vpn\] dpd idle-time 10 //设置对等体存活检测空闲时间为10秒 \[RouterA-ike-peer-vpn\] remote-address 203.10.1.2 \[RouterA-ike-peer-vpn\] quit \[RouterB\] ike peer vpn v1 \[RouterB-ike-peer-vpn\] pre-shared-key cipher huawei123 \[RouterB-ike-peer-vpn\] ike-proposal 5 \[RouterB-ike-peer-vpn\] dpd type periodic \[RouterB-ike-peer-vpn\] dpd idle-time 10 \[RouterB-ike-peer-vpn\] remote-address 203.10.1.2 \[RouterB-ike-peer-vpn\] quit 分支: \[RouterC\] ike peer vpnr1 v1 \[RouterC-ike-peer-vpnr1\] pre-shared-key cipher huawei123 \[RouterC-ike-peer-vpnr1\] ike-proposal 5 \[RouterC-ike-peer-vpnr1\] dpd type periodic \[RouterC-ike-peer-vpnr1\] dpd idle-time 10 \[RouterC-ike-peer-vpnr1\] remote-address 202.10.1.2 \[RouterC-ike-peer-vpnr1\] quit \[RouterC\] ike peer vpnr2 v1 \[RouterC-ike-peer-vpnr2\] pre-shared-key cipher huawei123 \[RouterC-ike-peer-vpnr2\] ike-proposal 5 \[RouterC-ike-peer-vpnr2\] dpd type periodic \[RouterC-ike-peer-vpnr2\] dpd idle-time 10 \[RouterC-ike-peer-vpnr2\] remote-address 202.10.2.2 \[RouterC-ike-peer-vpnr2\] quit \[RouterC\] ipsec policy ipsec_vpn 10 isakmp \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] security acl 3001 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] ike-peer vpnr1 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] proposal tran1 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] quit \[RouterC\] ipsec policy ipsec_vpn 20 isakmp \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] security acl 3001 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] ike-peer vpnr2 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] proposal tran1 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] quit \[RouterC\] interface GigabitEthernet1/0/0 \[RouterC-GigabitEthernet1/0/0\] ipsec policy ipsec_vpn \[RouterC-GigabitEthernet1/0/0\] quit

相关推荐
鸿蒙场景化示例代码技术工程师18 小时前
基于Canvas实现选座功能鸿蒙示例代码
华为·harmonyos
Debroon19 小时前
应华为 AI 医疗军团之战,各方动态和反应
人工智能·华为
鸿蒙布道师20 小时前
鸿蒙NEXT开发对象工具类(TS)
android·ios·华为·harmonyos·arkts·鸿蒙系统·huawei
桃子酱紫君20 小时前
华为配置篇-BGP实验
开发语言·华为·php
马剑威(威哥爱编程)20 小时前
在HarmonyOS NEXT 开发中,如何指定一个号码,拉起系统拨号页面
华为·harmonyos·arkts
GeniuswongAir21 小时前
Flutter极速接入IM聊天功能并支持鸿蒙
flutter·华为·harmonyos
国货崛起1 天前
华为2024年营收逼近历史峰值:终端业务复苏、智能汽车爆发式增长
华为·汽车
文火冰糖的硅基工坊2 天前
[创业之路-343]:创业:一场认知重构与组织进化的双向奔赴
华为·架构·创业·公司·治理
liulilittle2 天前
Linux 高级路由策略控制配置:两个不同路由子网间通信
linux·网络·智能路由器