06-典型配置举例

26-点到多点IPsec典型配置举例

点到多点IPsec典型配置举例

简介

本文档介绍点到多点IPsec的典型配置举例。

配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

配置举例

组网需求

如图-1所示，某企业分为总部（Headquarters）和两个分支机构（Branch 1和Branch 2），现需要实现如下需求：

· 为保证总部与分支之间的通信安全，在总部出口设备Device A上采用IPsec安全策略模板的方式分别与分支机构Branch 1的出口设备Device B、Branch 2的出口设备Device C建立IPsec隧道。

· 分支机构Branch 1和Branch 2之间不建立IPsec隧道，通信流量需要经过总部转发。

图-1 配置组网图

配置注意事项

· 总部出口设备使用IPsec安全策略模板的方式与分支出口设备建立IPsec隧道，因此Device A不能主动与Device B和Device C建立IPsec隧道，只能作为协商响应方接收对端的协商请求。即总部的Host不能主动访问分支的Host，只有在分支Host成功访问总部Host后，总部Host才能访问分支Host。

· 分支之间不直接建立IPsec隧道，因此分支之间的IPsec隧道需要分支机构双方都主动发起协商请求（如Ping操作）后才能建立。

· 总部和分支出口设备要放行Untrust安全域和Trust安全域间的相关流量以及Untrust安全域和Local安全域间的相关流量。此外，总部出口设备还需要额外再放行Untrust安全域到Untrust安全域间的相关流量。

配置步骤

配置Device A

1. 配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 选中接口GE1/0/2前的复选框。

# 单击<编辑>按钮，配置如下。

· 加入到安全域：Trust

· IP地址/掩码：10.1.1.254/24

· 其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/8，配置如下。

· 加入到安全域：Untrust

· IP地址/掩码：1.1.1.1/24

· 其他配置项使用缺省值

2. 配置安全策略

# 选择“策略 > 安全策略”，进入安全策略配置页面，配置安全策略。

# 单击<新建>按钮，新建安全策略Policy1，放行Untrust安全域到Local安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32，OJGP6包含的IP地址为1.1.3.1/32，目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32。

图-2 新建安全策略Policy1

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy2，放行Local安全域到Untrust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32，目的IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32，OJGP6包含的IP地址为1.1.3.1/32。

图-3 新建安全策略Policy2

$说明: C:\Users\cKF6849\Desktop\SMB二期\Snap32.bmp$

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy3，放行Untrust安全域到Trust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24，OJGP3包含的IP地址网段为10.1.3.0/24，目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24。

图-4 新建安全策略Policy3

$说明: C:\Users\cKF6849\Desktop\SMB二期\Snap34.bmp$

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy4，放行Trust安全域到Untrust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24，目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24，OJGP3包含的IP地址网段为10.1.3.0/24。

图-5 新建安全策略Policy4

$说明: C:\Users\cKF6849\Desktop\SMB二期\Snap35.bmp$

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy5，放行Untrust安全域到Untrust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24，OJGP3包含的IP地址网段为10.1.3.0/24，目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24，OJGP3包含的IP地址网段为10.1.3.0/24。

图-6 新建安全策略Policy5

$说明: C:\Users\cKF6849\Desktop\SMB二期\Snap37.bmp$

# 单击<确定>按钮，完成配置。

3. 配置IPsec

# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮，新建IKE提议，参数配置如下图所示。

图-7 新建IKE提议

# 单击<确定>按钮，完成配置。

# 选择“VPN > IPsec > 策略”。单击<新建>按钮，新建IPsec策略，参数配置如下图所示（本例共享密钥为123456）。

图-8 新建IPsec策略

# 高级配置内的参数使用缺省值。

# 单击<确定>按钮，完成配置。

4. 配置路由

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，进入IPv4静态路由配置页面，配置缺省路由，配置参数如下图所示。

图-9 配置缺省路由

配置Device B

1. 配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 选中接口GE1/0/2前的复选框。

# 单击<编辑>按钮，配置如下。

· 加入到安全域：Trust

· IP地址/掩码：10.1.2.254/24

· 其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/8，配置如下。

· 加入到安全域：Untrust

· IP地址/掩码：1.1.2.1/24

· 其他配置项使用缺省值

2. 配置安全策略

# 选择“策略 > 安全策略”，进入安全策略配置页面，配置安全策略。

# 单击<新建>按钮，新建安全策略Policy1，放行Untrust安全域到Local安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32，目的IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32。

图-10 新建安全策略Policy1

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy2，放行Local安全域到Untrust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP5包含的IP地址为1.1.2.1/32，目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32。

图-11 新建安全策略Policy2

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy3，放行Untrust安全域到Trust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24，OJGP3包含的IP地址网段为10.1.3.0/24，目的IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24。

图-12 新建安全策略Policy3

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy4，放行Trust安全域到Untrust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP2包含的IP地址网段为10.1.2.0/24，目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24，OJGP3包含的IP地址网段为10.1.3.0/24。

图-13 新建安全策略Policy4

# 单击<确定>按钮，完成配置。

3. 配置IPsec

# 选择“VPN > IPsec > IKE提议”。单击<新建>按钮，新建IKE提议，参数配置如下图所示。

图-14 新建IKE提议

# 单击<确定>按钮，完成配置。

# 选择“VPN > IPsec > 策略”。单击<新建>按钮，新建IPsec策略，参数配置如下图所示（本例共享密钥为123456）。

图-15 新建IPsec策略

# 高级配置内的参数使用缺省值。

# 单击<确定>按钮，完成配置。

4. 配置路由

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，进入IPv4静态路由配置页面，配置缺省路由，配置参数如下图所示。

图-16 配置缺省路由

配置Device C

1. 配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 选中接口GE1/0/2前的复选框。

# 单击<编辑>按钮，配置如下。

· 加入到安全域：Trust

· IP地址/掩码：10.1.3.254/24

· 其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/8，配置如下。

· 加入到安全域：Untrust

· IP地址/掩码：1.1.3.1/24

· 其他配置项使用缺省值

2. 配置安全策略

# 选择“策略 > 安全策略”，进入安全策略配置页面，配置安全策略。

# 单击<新建>按钮，新建安全策略Policy1，放行Untrust安全域到Local安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32，目的IP地址引用的IP地址对象组OJGP6包含的IP地址为1.1.3.1/32。

图-17 新建安全策略Policy1

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy2，放行Local安全域到Untrust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP6包含的IP地址为1.1.3.1/32，目的IP地址引用的IP地址对象组OJGP4包含的IP地址为1.1.1.1/32。

图-18 新建安全策略Policy2

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy3，放行Untrust安全域到Trust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24，OJGP2包含的IP地址网段为10.1.2.0/24，目的IP地址引用的IP地址对象组OJGP3包含的IP地址网段为10.1.3.0/24。

图-19 新建安全策略Policy3

# 单击<确定>按钮，完成配置。

# 单击<新建>按钮，新建安全策略Policy4，放行Trust安全域到Untrust安全域的相关流量，参数配置如下图所示。其中源IP地址引用的IP地址对象组OJGP3包含的IP地址网段为10.1.3.0/24，目的IP地址引用的IP地址对象组OJGP1包含的IP地址网段为10.1.1.0/24，OJGP2包含的IP地址网段为10.1.2.0/24。