华为ipsec双冗余配置案例

1、总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。

2、总部核心交换机采用两台交换机做堆叠,保证设备级的可靠性。

3、总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。

4、总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。

5、总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。

6、总部两个出口路由器之间部署VRRP,保证可靠性。

7、总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。

8、总两两台AR上各配一个vpn策略分别和分支对联,分支要配两个vpn方案,并同时引用到一个安全策略中,再在接口上调用策略。

重要地方:

1、vrrp关键配置

RouterA\] interface Eth-Trunk 1.100 \[RouterA-Eth-Trunk1.100\] vrrp vrid 1 virtual-ip 10.10.100.1 \[RouterA-Eth-Trunk1.100\] vrrp vrid 1 priority 150 \[RouterA-Eth-Trunk1.100\] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 60 \[RouterA-Eth-Trunk1.100\] quit //为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。 2、核心指向vrrp虚拟网关 \[CORE\] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1 3、NAT配置 \[RouterA\] acl 3000 \[RouterA-acl-adv-3000\] rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 //需要IPSec保护的数据流 \[RouterA-acl-adv-3000\] rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 \[RouterA-acl-adv-3000\] rule 15 permit ip source 10.10.10.0 0.0.0.255 //需要进行NAT转换的数据流 \[RouterA-acl-adv-3000\] quit //对于华为AR3200系列路由器,如果接口上同时配置了IPSec和NAT,则先执行NAT。所以为了避免把IPSec保护的数据流进行NAT转换,需要NAT引用的ACL规则deny掉需要IPSec保护的数据流,即对"IPSec感兴趣的数据流"做NAT豁免。 4、IKE对等体 \[RouterA\] ike peer vpn v1 \[RouterA-ike-peer-vpn\] pre-shared-key cipher huawei123 \[RouterA-ike-peer-vpn\] ike-proposal 5 \[RouterA-ike-peer-vpn\] dpd type periodic //配置周期性对等体存活检测 \[RouterA-ike-peer-vpn\] dpd idle-time 10 //设置对等体存活检测空闲时间为10秒 \[RouterA-ike-peer-vpn\] remote-address 203.10.1.2 \[RouterA-ike-peer-vpn\] quit \[RouterB\] ike peer vpn v1 \[RouterB-ike-peer-vpn\] pre-shared-key cipher huawei123 \[RouterB-ike-peer-vpn\] ike-proposal 5 \[RouterB-ike-peer-vpn\] dpd type periodic \[RouterB-ike-peer-vpn\] dpd idle-time 10 \[RouterB-ike-peer-vpn\] remote-address 203.10.1.2 \[RouterB-ike-peer-vpn\] quit 分支: \[RouterC\] ike peer vpnr1 v1 \[RouterC-ike-peer-vpnr1\] pre-shared-key cipher huawei123 \[RouterC-ike-peer-vpnr1\] ike-proposal 5 \[RouterC-ike-peer-vpnr1\] dpd type periodic \[RouterC-ike-peer-vpnr1\] dpd idle-time 10 \[RouterC-ike-peer-vpnr1\] remote-address 202.10.1.2 \[RouterC-ike-peer-vpnr1\] quit \[RouterC\] ike peer vpnr2 v1 \[RouterC-ike-peer-vpnr2\] pre-shared-key cipher huawei123 \[RouterC-ike-peer-vpnr2\] ike-proposal 5 \[RouterC-ike-peer-vpnr2\] dpd type periodic \[RouterC-ike-peer-vpnr2\] dpd idle-time 10 \[RouterC-ike-peer-vpnr2\] remote-address 202.10.2.2 \[RouterC-ike-peer-vpnr2\] quit \[RouterC\] ipsec policy ipsec_vpn 10 isakmp \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] security acl 3001 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] ike-peer vpnr1 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] proposal tran1 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-10\] quit \[RouterC\] ipsec policy ipsec_vpn 20 isakmp \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] security acl 3001 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] ike-peer vpnr2 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] proposal tran1 \[RouterC-ipsec-policy-isakmp-ipsec_vpn-20\] quit \[RouterC\] interface GigabitEthernet1/0/0 \[RouterC-GigabitEthernet1/0/0\] ipsec policy ipsec_vpn \[RouterC-GigabitEthernet1/0/0\] quit

相关推荐
NapleC44 分钟前
HarmonyOS:一多能力介绍:一次开发,多端部署
华为·harmonyos
我爱学习_zwj3 小时前
【鸿蒙HarmonyOS】深入理解router与Navigation
华为·harmonyos
鸿蒙布道师4 小时前
鸿蒙NEXT开发通知工具类(ArkTs)
android·ios·华为·harmonyos·arkts·鸿蒙系统·huawei
鸿蒙布道师4 小时前
鸿蒙NEXT开发网络相关工具类(ArkTs)
android·ios·华为·harmonyos·arkts·鸿蒙系统·huawei
半梅芒果干4 小时前
HarmonyOs @hadss/hmrouter路由接入
华为·harmonyos
unique_pursuit6 小时前
CS144 Lab 6 实战记录:构建 IP 路由器
网络·tcp/ip·智能路由器
jmoych8 小时前
华为数字化转型“三阶十二步法“:战略驱动、系统布局与敏捷落地的实践框架
华为
conkl9 小时前
华为仓颉编程语言基础概述 III(终章)
华为
周胡杰12 小时前
weibo_har鸿蒙微博分享,单例二次封装,鸿蒙微博,微博登录
华为·harmonyos
落笔画忧愁e12 小时前
数据通信学习笔记之OSPF的基础术语-距离矢量路由协议
网络·智能路由器