• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-典型配置举例

目录

26-点到多点IPsec典型配置举例

本章节下载 26-点到多点IPsec典型配置举例  (1.28 MB)

26-点到多点IPsec典型配置举例

点到多点IPsec典型配置举例

简介

 

本文档介绍点到多点IPsec的典型配置举例。

配置前提

 

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

配置举例

组网需求

图-1所示,某企业分为总部(Headquarters)和两个分支机构(Branch 1Branch 2),现需要实现如下需求:

·     为保证总部与分支之间的通信安全,在总部出口设备Device A上采用IPsec安全策略模板的方式分别与分支机构Branch 1的出口设备Device BBranch 2的出口设备Device C建立IPsec隧道。

·     分支机构Branch 1Branch 2之间不建立IPsec隧道,通信流量需要经过总部转发。

图-1 配置组网图

 

使用版本

本举例是在F1080Ess 9323版本上进行配置和验证的。

配置注意事项

·     总部出口设备使用IPsec安全策略模板的方式与分支出口设备建立IPsec隧道,因此Device A不能主动与Device BDevice C建立IPsec隧道,只能作为协商响应方接收对端的协商请求。即总部的Host不能主动访问分支的Host,只有在分支Host成功访问总部Host后,总部Host才能访问分支Host

·     分支之间不直接建立IPsec隧道,因此分支之间的IPsec隧道需要分支机构双方都主动发起协商请求(如Ping操作)后才能建立。

·     总部和分支出口设备要放行Untrust安全域和Trust安全域间的相关流量以及Untrust安全域和Local安全域间的相关流量。此外,总部出口设备还需要额外再放行Untrust安全域到Untrust安全域间的相关流量。

配置步骤

配置Device A

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 选中接口GE1/0/2前的复选框。

# 单击<编辑>按钮,配置如下。

·     加入到安全域:Trust

·     IP地址/掩码:10.1.1.254/24

·     其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/8,配置如下。

·     加入到安全域:Untrust

·     IP地址/掩码:1.1.1.1/24

·     其他配置项使用缺省值

2.     配置安全策略

# 选择“策略 > 安全策略”,进入安全策略配置页面,配置安全策略。

# 单击<新建>按钮,新建安全策略Policy1,放行Untrust安全域到Local安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32OJGP6包含的IP地址为1.1.3.1/32,目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32

图-2 新建安全策略Policy1

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy2,放行Local安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32,目的IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32OJGP6包含的IP地址为1.1.3.1/32

图-3 新建安全策略Policy2

说明: C:\Users\cKF6849\Desktop\SMB二期\Snap32.bmp

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy3,放行Untrust安全域到Trust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24

图-4 新建安全策略Policy3

说明: C:\Users\cKF6849\Desktop\SMB二期\Snap34.bmp

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy4,放行Trust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24,目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24OJGP3包含的IP地址网段为10.1.3.0/24

图-5 新建安全策略Policy4

说明: C:\Users\cKF6849\Desktop\SMB二期\Snap35.bmp

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy5,放行Untrust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24OJGP3包含的IP地址网段为10.1.3.0/24

图-6 新建安全策略Policy5

说明: C:\Users\cKF6849\Desktop\SMB二期\Snap37.bmp

 

# 单击<确定>按钮,完成配置。

3.     配置IPsec

# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮,新建IKE提议,参数配置如下图所示。

图-7 新建IKE提议

 

# 单击<确定>按钮,完成配置。

# 选择“VPN > IPsec > 策略”。单击<新建>按钮,新建IPsec策略,参数配置如下图所示(本例共享密钥为123456)。

图-8 新建IPsec策略

 

# 高级配置内的参数使用缺省值。

# 单击<确定>按钮,完成配置。

4.     配置路由

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,进入IPv4静态路由配置页面,配置缺省路由,配置参数如下图所示。

图-9 配置缺省路由

 

配置Device B

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 选中接口GE1/0/2前的复选框。

# 单击<编辑>按钮,配置如下。

·     加入到安全域:Trust

·     IP地址/掩码:10.1.2.254/24

·     其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/8,配置如下。

·     加入到安全域:Untrust

·     IP地址/掩码:1.1.2.1/24

·     其他配置项使用缺省值

2.     配置安全策略

# 选择“策略 > 安全策略”,进入安全策略配置页面,配置安全策略。

# 单击<新建>按钮,新建安全策略Policy1,放行Untrust安全域到Local安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32,目的IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32

图-10 新建安全策略Policy1

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy2,放行Local安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32,目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32

图-11 新建安全策略Policy2

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy3,放行Untrust安全域到Trust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24

图-12 新建安全策略Policy3

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy4,放行Trust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24,目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24OJGP3包含的IP地址网段为10.1.3.0/24

图-13 新建安全策略Policy4

 

# 单击<确定>按钮,完成配置。

3.     配置IPsec

# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮,新建IKE提议,参数配置如下图所示。

图-14 新建IKE提议

 

# 单击<确定>按钮,完成配置。

# 选择“VPN > IPsec > 策略”。单击<新建>按钮,新建IPsec策略,参数配置如下图所示(本例共享密钥为123456)。

图-15 新建IPsec策略

 

# 高级配置内的参数使用缺省值。

# 单击<确定>按钮,完成配置。

4.     配置路由

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,进入IPv4静态路由配置页面,配置缺省路由,配置参数如下图所示。

图-16 配置缺省路由

 

配置Device C

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 选中接口GE1/0/2前的复选框。

# 单击<编辑>按钮,配置如下。

·     加入到安全域:Trust

·     IP地址/掩码:10.1.3.254/24

·     其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/8,配置如下。

·     加入到安全域:Untrust

·     IP地址/掩码:1.1.3.1/24

·     其他配置项使用缺省值

2.     配置安全策略

# 选择“策略 > 安全策略”,进入安全策略配置页面,配置安全策略。

# 单击<新建>按钮,新建安全策略Policy1,放行Untrust安全域到Local安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32,目的IP地址引用的IP地址对象组OJGP6包含的IP地址为1.1.3.1/32

图-17 新建安全策略Policy1

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy2,放行Local安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP6包含的IP地址为1.1.3.1/32,目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32

图-18 新建安全策略Policy2

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy3,放行Untrust安全域到Trust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24OJGP2包含的IP地址网段为10.1.2.0/24,目的IP地址引用的IP地址对象组OJGP3包含的IP地址网段为10.1.3.0/24

图-19 新建安全策略Policy3

 

# 单击<确定>按钮,完成配置。

# 单击<新建>按钮,新建安全策略Policy4,放行Trust安全域到Untrust安全域的相关流量,参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP3包含的IP地址网段为10.1.3.0/24,目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24OJGP2包含的IP地址网段为10.1.2.0/24

图-20 新建安全策略Policy4

 

# 单击<确定>按钮,完成配置。

3.     配置IPsec

# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮,新建IKE提议,参数配置如下图所示。

图-21 新建IKE提议

 

# 单击<确定>按钮,完成配置。

# 选择“VPN > IPsec > 策略”。单击<新建>按钮,新建IPsec策略,参数配置如下图所示(本例共享密钥为123456)。

图-22 新建IPsec策略

 

# 高级配置内的参数使用缺省值。

# 单击<确定>按钮,完成配置。

4.     配置路由

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,进入IPv4静态路由配置页面,配置缺省路由,配置参数如下图所示。

图-23 配置缺省路由

 

验证配置

1.     分支机构的Host可以成功访问总部Host

# 分支机构Branch 1Host B可以Ping通总部Host A,如下图所示。

图-24 Host B成功PingHost A

 

# 选择“VPN > IPsec > 监控”,查看Device B上建立的IPsec隧道列表,如下图所示。

图-25 Device B上建立的IPsec隧道列表

 

# 分支机构Branch 2Host C可以Ping通总部Host A,如下图所示。

图-26 Host C成功PingHost A

 

# 选择“VPN > IPsec > 监控”,查看Device C上建立的IPsec隧道列表,如下图所示。

图-27 Device C上建立的IPsec隧道列表

 

# 分支机构主动访问总部,并成功建立IPsec隧道后,总部的Host A也可以访问分支机构Branch 1Host BBranch 2Host C,分别如图-28图-29所示。

图-28 Host A成功PingHost B

 

图-29 Host A成功PingHost C

 

# 选择“VPN > IPsec > 监控”,查看Device A上建立的IPsec隧道列表,如下图所示。

图-30 Device A上建立的IPsec隧道列表

 

2.     分支机构可以互相访问。

说明: 说明

分支机构的Host要相互访问后才能成功建立IPsec隧道。

 

# IPsec隧道成功建立后,分支机构Branch 1Host B可以Ping通分支机构Branch 2Host C,如下图所示。

图-31 Host B可以PingHost C

 

# 选择“VPN > IPsec > 监控”,查看Device B上建立的IPsec隧道列表,如下图所示。

图-32 Device B上建立的IPsec隧道列表

 

# IPsec隧道成功建立后,分支机构Branch 2Host C可以Ping通分支机构Branch 1Host B,如下图所示。

图-33 Host C可以PingHost B

 

# 选择“VPN > IPsec > 监控”,查看Device C上建立的IPsec隧道列表,如下图所示。

图-34 Device C上建立的IPsec隧道列表

 

# 选择“VPN > IPsec > 监控”,查看Device A上建立的中转IPsec隧道列表,如下图所示。

图-35 Device A上建立的中转IPsec隧道列表

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们