26-点到多点IPsec典型配置举例
本章节下载: 26-点到多点IPsec典型配置举例 (1.28 MB)
本文档介绍点到多点IPsec的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
如图-1所示,某企业分为总部(Headquarters)和两个分支机构(Branch 1和Branch 2),现需要实现如下需求:
· 为保证总部与分支之间的通信安全,在总部出口设备Device A上采用IPsec安全策略模板的方式分别与分支机构Branch 1的出口设备Device B、Branch 2的出口设备Device C建立IPsec隧道。
· 分支机构Branch 1和Branch 2之间不建立IPsec隧道,通信流量需要经过总部转发。
本举例是在F1080的Ess 9323版本上进行配置和验证的。
· 总部出口设备使用IPsec安全策略模板的方式与分支出口设备建立IPsec隧道,因此Device A不能主动与Device B和Device C建立IPsec隧道,只能作为协商响应方接收对端的协商请求。即总部的Host不能主动访问分支的Host,只有在分支Host成功访问总部Host后,总部Host才能访问分支Host。
· 分支之间不直接建立IPsec隧道,因此分支之间的IPsec隧道需要分支机构双方都主动发起协商请求(如Ping操作)后才能建立。
· 总部和分支出口设备要放行Untrust安全域和Trust安全域间的相关流量以及Untrust安全域和Local安全域间的相关流量。此外,总部出口设备还需要额外再放行Untrust安全域到Untrust安全域间的相关流量。
1. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/2前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:10.1.1.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/8,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:1.1.1.1/24
· 其他配置项使用缺省值
2. 配置安全策略
# 选择“策略 > 安全策略”,进入安全策略配置页面,配置安全策略。
# 单击<新建>按钮,新建安全策略Policy1,放行Untrust安全域到Local安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32,OJGP6包含的IP地址为1.1.3.1/32,目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32。
图-2 新建安全策略Policy1
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy2,放行Local安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32,目的IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32,OJGP6包含的IP地址为1.1.3.1/32。
图-3 新建安全策略Policy2
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy3,放行Untrust安全域到Trust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24,OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24。
图-4 新建安全策略Policy3
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy4,放行Trust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24,目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24,OJGP3包含的IP地址网段为10.1.3.0/24。
图-5 新建安全策略Policy4
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy5,放行Untrust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24,OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24,OJGP3包含的IP地址网段为10.1.3.0/24。
图-6 新建安全策略Policy5
# 单击<确定>按钮,完成配置。
3. 配置IPsec
# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮,新建IKE提议,参数配置如下图所示。
图-7 新建IKE提议
# 单击<确定>按钮,完成配置。
# 选择“VPN > IPsec > 策略”。单击<新建>按钮,新建IPsec策略,参数配置如下图所示(本例共享密钥为123456)。
图-8 新建IPsec策略
# 高级配置内的参数使用缺省值。
# 单击<确定>按钮,完成配置。
4. 配置路由
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,进入IPv4静态路由配置页面,配置缺省路由,配置参数如下图所示。
图-9 配置缺省路由
1. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/2前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:10.1.2.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/8,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:1.1.2.1/24
· 其他配置项使用缺省值
2. 配置安全策略
# 选择“策略 > 安全策略”,进入安全策略配置页面,配置安全策略。
# 单击<新建>按钮,新建安全策略Policy1,放行Untrust安全域到Local安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32,目的IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32。
图-10 新建安全策略Policy1
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy2,放行Local安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32,目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32。
图-11 新建安全策略Policy2
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy3,放行Untrust安全域到Trust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24,OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24。
图-12 新建安全策略Policy3
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy4,放行Trust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24,目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24,OJGP3包含的IP地址网段为10.1.3.0/24。
图-13 新建安全策略Policy4
# 单击<确定>按钮,完成配置。
3. 配置IPsec
# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮,新建IKE提议,参数配置如下图所示。
图-14 新建IKE提议
# 单击<确定>按钮,完成配置。
# 选择“VPN > IPsec > 策略”。单击<新建>按钮,新建IPsec策略,参数配置如下图所示(本例共享密钥为123456)。
图-15 新建IPsec策略
# 高级配置内的参数使用缺省值。
# 单击<确定>按钮,完成配置。
4. 配置路由
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,进入IPv4静态路由配置页面,配置缺省路由,配置参数如下图所示。
图-16 配置缺省路由
1. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/2前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:10.1.3.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/8,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:1.1.3.1/24
· 其他配置项使用缺省值
2. 配置安全策略
# 选择“策略 > 安全策略”,进入安全策略配置页面,配置安全策略。
# 单击<新建>按钮,新建安全策略Policy1,放行Untrust安全域到Local安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32,目的IP地址引用的IP地址对象组OJGP6包含的IP地址为1.1.3.1/32。
图-17 新建安全策略Policy1
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy2,放行Local安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP6包含的IP地址为1.1.3.1/32,目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32。
图-18 新建安全策略Policy2
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy3,放行Untrust安全域到Trust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24,OJGP2包含的IP地址网段为10.1.2.0/24,目的IP地址引用的IP地址对象组OJGP3包含的IP地址网段为10.1.3.0/24。
图-19 新建安全策略Policy3
# 单击<确定>按钮,完成配置。
# 单击<新建>按钮,新建安全策略Policy4,放行Trust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24,OJGP2包含的IP地址网段为10.1.2.0/24。
图-20 新建安全策略Policy4
# 单击<确定>按钮,完成配置。
3. 配置IPsec
# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮,新建IKE提议,参数配置如下图所示。
图-21 新建IKE提议
# 单击<确定>按钮,完成配置。
# 选择“VPN > IPsec > 策略”。单击<新建>按钮,新建IPsec策略,参数配置如下图所示(本例共享密钥为123456)。
图-22 新建IPsec策略
# 高级配置内的参数使用缺省值。
# 单击<确定>按钮,完成配置。
4. 配置路由
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,进入IPv4静态路由配置页面,配置缺省路由,配置参数如下图所示。
图-23 配置缺省路由
1. 分支机构的Host可以成功访问总部Host。
# 分支机构Branch 1的Host B可以Ping通总部Host A,如下图所示。
图-24 Host B成功Ping通Host A
# 选择“VPN > IPsec > 监控”,查看Device B上建立的IPsec隧道列表,如下图所示。
图-25 Device B上建立的IPsec隧道列表
# 分支机构Branch 2的Host C可以Ping通总部Host A,如下图所示。
图-26 Host C成功Ping通Host A
# 选择“VPN > IPsec > 监控”,查看Device C上建立的IPsec隧道列表,如下图所示。
图-27 Device C上建立的IPsec隧道列表
# 分支机构主动访问总部,并成功建立IPsec隧道后,总部的Host A也可以访问分支机构Branch 1的Host B和Branch 2的Host C,分别如图-28和图-29所示。
图-28 Host A成功Ping通Host B
图-29 Host A成功Ping通Host C
# 选择“VPN > IPsec > 监控”,查看Device A上建立的IPsec隧道列表,如下图所示。
图-30 Device A上建立的IPsec隧道列表
2. 分支机构可以互相访问。
分支机构的Host要相互访问后才能成功建立IPsec隧道。
# IPsec隧道成功建立后,分支机构Branch 1的Host B可以Ping通分支机构Branch 2的Host C,如下图所示。
图-31 Host B可以Ping通Host C
# 选择“VPN > IPsec > 监控”,查看Device B上建立的IPsec隧道列表,如下图所示。
图-32 Device B上建立的IPsec隧道列表
# IPsec隧道成功建立后,分支机构Branch 2的Host C可以Ping通分支机构Branch 1的Host B,如下图所示。
图-33 Host C可以Ping通Host B
# 选择“VPN > IPsec > 监控”,查看Device C上建立的IPsec隧道列表,如下图所示。
图-34 Device C上建立的IPsec隧道列表
# 选择“VPN > IPsec > 监控”,查看Device A上建立的中转IPsec隧道列表,如下图所示。
图-35 Device A上建立的中转IPsec隧道列表
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!