华为ipsec双冗余配置案例

1、总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。

2、总部核心交换机采用两台交换机做堆叠,保证设备级的可靠性。

3、总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。

4、总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。

5、总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。

6、总部两个出口路由器之间部署VRRP,保证可靠性。

7、总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。

8、总两两台AR上各配一个vpn策略分别和分支对联,分支要配两个vpn方案,并同时引用到一个安全策略中,再在接口上调用策略。

重要地方:

1、vrrp关键配置

RouterA interface Eth-Trunk 1.100

RouterA-Eth-Trunk1.100 vrrp vrid 1 virtual-ip 10.10.100.1

RouterA-Eth-Trunk1.100 vrrp vrid 1 priority 150

RouterA-Eth-Trunk1.100 vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 60

RouterA-Eth-Trunk1.100 quit

//为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。

2、核心指向vrrp虚拟网关

CORE ip route-static 0.0.0.0 0.0.0.0 10.10.100.1

3、NAT配置

RouterA acl 3000

RouterA-acl-adv-3000 rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 //需要IPSec保护的数据流

RouterA-acl-adv-3000 rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

RouterA-acl-adv-3000 rule 15 permit ip source 10.10.10.0 0.0.0.255 //需要进行NAT转换的数据流

RouterA-acl-adv-3000 quit

//对于华为AR3200系列路由器,如果接口上同时配置了IPSec和NAT,则先执行NAT。所以为了避免把IPSec保护的数据流进行NAT转换,需要NAT引用的ACL规则deny掉需要IPSec保护的数据流,即对"IPSec感兴趣的数据流"做NAT豁免。

4、IKE对等体

RouterA ike peer vpn v1

RouterA-ike-peer-vpn pre-shared-key cipher huawei123

RouterA-ike-peer-vpn ike-proposal 5

RouterA-ike-peer-vpn dpd type periodic //配置周期性对等体存活检测

RouterA-ike-peer-vpn dpd idle-time 10 //设置对等体存活检测空闲时间为10秒

RouterA-ike-peer-vpn remote-address 203.10.1.2

RouterA-ike-peer-vpn quit

RouterB ike peer vpn v1

RouterB-ike-peer-vpn pre-shared-key cipher huawei123

RouterB-ike-peer-vpn ike-proposal 5

RouterB-ike-peer-vpn dpd type periodic

RouterB-ike-peer-vpn dpd idle-time 10

RouterB-ike-peer-vpn remote-address 203.10.1.2

RouterB-ike-peer-vpn quit

分支:

RouterC ike peer vpnr1 v1

RouterC-ike-peer-vpnr1 pre-shared-key cipher huawei123

RouterC-ike-peer-vpnr1 ike-proposal 5

RouterC-ike-peer-vpnr1 dpd type periodic

RouterC-ike-peer-vpnr1 dpd idle-time 10

RouterC-ike-peer-vpnr1 remote-address 202.10.1.2

RouterC-ike-peer-vpnr1 quit

RouterC ike peer vpnr2 v1

RouterC-ike-peer-vpnr2 pre-shared-key cipher huawei123

RouterC-ike-peer-vpnr2 ike-proposal 5

RouterC-ike-peer-vpnr2 dpd type periodic

RouterC-ike-peer-vpnr2 dpd idle-time 10

RouterC-ike-peer-vpnr2 remote-address 202.10.2.2

RouterC-ike-peer-vpnr2 quit

RouterC ipsec policy ipsec_vpn 10 isakmp

RouterC-ipsec-policy-isakmp-ipsec_vpn-10 security acl 3001

RouterC-ipsec-policy-isakmp-ipsec_vpn-10 ike-peer vpnr1

RouterC-ipsec-policy-isakmp-ipsec_vpn-10 proposal tran1

RouterC-ipsec-policy-isakmp-ipsec_vpn-10 quit

RouterC ipsec policy ipsec_vpn 20 isakmp

RouterC-ipsec-policy-isakmp-ipsec_vpn-20 security acl 3001

RouterC-ipsec-policy-isakmp-ipsec_vpn-20 ike-peer vpnr2

RouterC-ipsec-policy-isakmp-ipsec_vpn-20 proposal tran1

RouterC-ipsec-policy-isakmp-ipsec_vpn-20 quit

RouterC interface GigabitEthernet1/0/0

RouterC-GigabitEthernet1/0/0 ipsec policy ipsec_vpn

RouterC-GigabitEthernet1/0/0 quit

相关推荐
●VON27 分钟前
HarmonyKit | 时间戳转换:自动识别秒/毫秒与双向转换器实现
华为·harmonyos·鸿蒙
国服第二切图仔1 小时前
HarmonyOS APP《画伴梦工厂》开发第44篇-页面路由注册与动态加载——main_pages配置
深度学习·华为·harmonyos
我是小a3 小时前
「财务管家」智能记账应用:HarmonyOS NEXT 页面布局设计与实现详解
华为·harmonyos·鸿蒙·鸿蒙系统
心中有国也有家6 小时前
使用 DevEco Studio 配置 Flutter 鸿蒙签名
学习·flutter·华为·harmonyos
爱吃大芒果6 小时前
鸿蒙 ArkTS 网络工程进阶:@ohos.net.http 模块下的长连接、超时与防内存泄漏实战
华为·harmonyos
FrameNotWork7 小时前
HarmonyOS 6.0 沉浸式状态栏与安全区域适配实战
华为·harmonyos
绝世番茄7 小时前
鸿蒙原生ArkTS布局方式之Stack+Opacity叠加淡入淡出深度解析
华为·harmonyos·鸿蒙
心中有国也有家7 小时前
鸿蒙Flutter开发环境从零搭建教程(Windows/macOS双平台·避坑版)
学习·flutter·华为·harmonyos
国服第二切图仔8 小时前
HarmonyOS APP《画伴梦工厂》开发第43篇-多模块架构设计——模块拆分与依赖管理
华为·harmonyos
心中有国也有家10 小时前
Flutter 鸿蒙适配第一步:从 hive 迁移到 hive\_ce
hive·学习·flutter·华为·harmonyos