De acuerdo

Configuración de un túnel IPSec entre la sucursal y la oficina central con redundancia.

Última respuesta jul. 29, 2021 23:37:26 77 3 2 0 0

Ejemplo para establecer un túnel IPSec entre la sucursal y la sede con una puerta de enlace redundante

 

Hola. En esta publicación conoceremos como establecer un túnel IPSec con puerta de enlace o Gateway redundante para establecer una comunicación entre la oficina central y una sucursal de una empresa.

 

Topología de Red.


a1


Requisitos de red

Como se muestra en la Figura 1, se implementan dos puertas de enlace RouterA y RouterB en la sede para mejorar la seguridad. RouterC en la sucursal se comunica con la sede a través de la red pública.

 

La empresa requiere proteger el tráfico transmitido a través de la red pública entre la sucursal de la empresa y la sede.

 

Los túneles IPSec se pueden configurar entre las puertas de enlace de las sucursales y la puerta de enlace de la sede porque se comunican a través de Internet. La puerta de enlace de la sucursal intenta establecer un túnel IPSec con el RouterA de la puerta de enlace de la oficina central. Si el intento falla, la puerta de enlace de la sucursal establece un túnel IPSec con la puerta de enlace de la oficina central RouterB.


Ruta de Configuración

 

Ruta de configuración

1. Configure direcciones IP para interfaces y configure rutas estáticas para asegurarse de que haya rutas accesibles entre dos extremos.

 

2. Configure una ACL para definir los flujos de datos que protegerá el túnel IPSec.

 

3. Configure una propuesta de IPSec para definir el método de protección del tráfico.

 

4. Configure un par IKE y defina los atributos utilizados para la negociación IKE.

 

5. Cree una política IPSec en RouterA, RouterB y RouterC para determinar los métodos de protección utilizados para proteger diferentes tipos de flujos de datos. En RouterA y RouterB, las políticas IPSec se crean a través de plantillas de políticas IPSec.

 

6. Aplique un grupo de políticas IPSec a una interfaz para que la interfaz pueda proteger el tráfico.

 

Procedimiento

1. Configure una dirección IP para cada interfaz y configure rutas estáticas en RouterA, RouterB y RouterC para asegurarse de que haya rutas accesibles entre ellos.

# Asigne una dirección IP a cada interfaz en el RouterA.

<Huawei> system-view
[Huawei] sysname RouterA
[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1] ip address 60.1.1.1 255.255.255.0
[RouterA-GigabitEthernet0/0/1] quit
[RouterA] interface gigabitethernet 0/0/2
[RouterA-GigabitEthernet0/0/2] ip address 192.168.1.2 255.255.255.0
[RouterA-GigabitEthernet0/0/2] quit

  

# Configure una ruta estática al par en RouterA. Este ejemplo asume que la dirección del siguiente salto en la ruta a la subred de la sede es 60.1.1.2.

[RouterA] ip route-static 70.1.1.0 255.255.255.0 60.1.1.2
[RouterA] ip route-static 192.168.3.0 255.255.255.0 60.1.1.2

 

# Asigne una dirección IP a cada interfaz en el RouterB.

<Huawei> system-view
[Huawei] sysname RouterB
[RouterB] interface gigabitethernet 0/0/1 
[RouterB-GigabitEthernet0/0/1] ip address 60.1.2.1 255.255.255.0
[RouterB-GigabitEthernet0/0/1] quit
[RouterB] interface gigabitethernet 0/0/2
[RouterB-GigabitEthernet0/0/2] ip address 192.168.1.3 255.255.255.0
[RouterB-GigabitEthernet0/0/2] quit

  

# Configure una ruta estática al par en RouterB. Este ejemplo asume que la dirección del siguiente salto en la ruta a la subred de la sede es 60.1.2.2.

[RouterB] ip route-static 70.1.1.0 255.255.255.0 60.1.2.2
[RouterB] ip route-static 192.168.3.0 255.255.255.0 60.1.2.2

 

# Asigne una dirección IP a cada interfaz en RouterC.

<Huawei> system-view
[Huawei] sysname RouterC
[RouterC] interface gigabitethernet 0/0/1 
[RouterC-GigabitEthernet0/0/1] ip address 70.1.1.1 255.255.255.0
[RouterC-GigabitEthernet0/0/1] quit
[RouterC] interface gigabitethernet 0/0/2
[RouterC-GigabitEthernet0/0/2] ip address 192.168.3.2 255.255.255.0
[RouterC-GigabitEthernet0/0/2] quit


# Configure una ruta estática al par en RouterC. Este ejemplo asume que la dirección del siguiente salto en la ruta a las puertas de enlace de la oficina central RouterA y RouterB es 70.1.1.2.

[RouterC] ip route-static 0.0.0.0 0.0.0.0 70.1.1.2

 

2. Configure una ACL en el RouterA y el RouterB para definir los flujos de datos que se protegerán


a2


# Configure una ACL en RouterC para definir los flujos de datos desde la subred 192.168.3.0/24 a la subred 192.168.1.0/24.

[RouterC] acl number 3002
[RouterC-acl-adv-3002] rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[RouterC-acl-adv-3002] quit

 

3. Cree una propuesta de IPSec en RouterA, RouterB y RouterC.

# Cree una propuesta IPSec en RouterA.

[RouterA] ipsec proposal tran1
[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[RouterA-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[RouterA-ipsec-proposal-tran1] quit

  

# Cree una propuesta IPSec en RouterB.

[RouterB] ipsec proposal tran1
[RouterB-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[RouterB-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[RouterB-ipsec-proposal-tran1] quit

 

# Cree una propuesta IPSec en RouterC

[RouterC] ipsec proposal tran1
[RouterC-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[RouterC-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[RouterC-ipsec-proposal-tran1] quit

 

Ejecute el comando display ipsec proposal en RouterA, RouterB y RouterC para verificar la configuración de la propuesta de IPSec. La salida del comando en el RouterA se usa como ejemplo.

[RouterA] display ipsec proposal name tran1
IPSec proposal name: tran1
 Encapsulation mode: Tunnel
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-256
                     Encryption     AES-128

 

4. Cree un par IKE en RouterA, RouterB y RouterC.

# Cree una propuesta IKE en RouterA.

[RouterA] ike proposal 5
[RouterA-ike-proposal-5] encryption-algorithm aes-128
[RouterA-ike-proposal-5] authentication-algorithm sha2-256
[RouterA-ike-proposal-5] dh group14
[RouterA-ike-proposal-5] quit

  

# Cree un par IKE en RouterA.

[RouterA] ike peer rut1
[RouterA-ike-peer-rut1] undo version 2
[RouterA-ike-peer-rut1] pre-shared-key cipher Example@123
[RouterA-ike-peer-rut1] ike-proposal 5
[RouterA-ike-peer-rut1] quit

 

# Cree una propuesta IKE en RouterB.

[RouterB] ike proposal 5
[RouterB-ike-proposal-5] encryption-algorithm aes-128
[RouterB-ike-proposal-5] authentication-algorithm sha2-256
[RouterB-ike-proposal-5] dh group14
[RouterB-ike-proposal-5] quit


# Cree un par IKE en RouterB.

[RouterB] ike peer rut1
[RouterB-ike-peer-rut1] undo version 2
[RouterB-ike-peer-rut1] pre-shared-key cipher Example@123
[RouterB-ike-peer-rut1] ike-proposal 5
[RouterB-ike-peer-rut1] quit


a3


# Cree un par IKE en RouterC.

[RouterC] ike proposal 5
[RouterC-ike-proposal-5] encryption-algorithm aes-128
[RouterC-ike-proposal-5] authentication-algorithm sha2-256
[RouterC-ike-proposal-5] dh group14
[RouterC-ike-proposal-5] quit

  

# Cree un par IKE en RouterC.

[RouterC] ike peer rut1
[RouterC-ike-peer-rut1] undo version 2
[RouterC-ike-peer-rut1] ike-proposal 5
[RouterC-ike-peer-rut1] pre-shared-key cipher Example@123
[RouterC-ike-peer-rut1] remote-address 60.1.1.1
[RouterC-ike-peer-rut1] remote-address 60.1.2.1
[RouterC-ike-peer-rut1] quit

  

5. Cree una política IPSec en RouterA, RouterB y RouterC. En RouterA y RouterB, las políticas IPSec se crean a través de plantillas de políticas IPSec.

# Cree una plantilla de política IPSec en RouterA y aplique la plantilla de política IPSec a una política IPSec.

[RouterA] ipsec policy-template use1 10
[RouterA-ipsec-policy-templet-use1-10] ike-peer rut1
[RouterA-ipsec-policy-templet-use1-10] proposal tran1
[RouterA-ipsec-policy-templet-use1-10] quit
[RouterA] ipsec policy policy1 10 isakmp template use1

 

# Cree una plantilla de política IPSec en RouterB y aplique la plantilla de política IPSec a una política IPSec.

[RouterB] ipsec policy-template use1 10
[RouterB-ipsec-policy-templet-use1-10] ike-peer rut1
[RouterB-ipsec-policy-templet-use1-10] proposal tran1
[RouterB-ipsec-policy-templet-use1-10] quit
[RouterB] ipsec policy policy1 10 isakmp template use1

  

# Cree una política IPSec en RouterC.

[RouterC] ipsec policy policy1 10 isakmp
[RouterC-ipsec-policy-isakmp-policy1-10] ike-peer rut1
[RouterC-ipsec-policy-isakmp-policy1-10] proposal tran1
[RouterC-ipsec-policy-isakmp-policy1-10] security acl 3002
[RouterC-ipsec-policy-isakmp-policy1-10] quit

 

6. Aplique un grupo de políticas IPSec a una interfaz de RouterA, RouterB y RouterC.

# Aplique un grupo de políticas IPSec a una interfaz de RouterA.

[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1] ipsec policy policy1
[RouterA-GigabitEthernet0/0/1] quit

  

# Aplique un grupo de políticas IPSec a una interfaz de RouterB.

[RouterB] interface gigabitethernet 0/0/1
[RouterB-GigabitEthernet0/0/1] ipsec policy policy1
[RouterB-GigabitEthernet0/0/1] quit

 

# Aplique un grupo de políticas IPSec a una interfaz de RouterC.

[RouterC] interface gigabitethernet 0/0/1
[RouterC-GigabitEthernet0/0/1] ipsec policy policy1
[RouterC-GigabitEthernet0/0/1] quit


Verifique la configuración.

# Una vez completadas las configuraciones, la PC C puede hacer ping a la PC A con éxito. Los datos transmitidos entre la PC C y la PC A están encriptados.

 

# Ejecute el comando display ike sa en RouterA para verificar la información sobre el túnel establecido con RouterC.

[RouterA] display ike saIKE SA information :
   Conn-ID  Peer          VPN   Flag(s)   Phase   RemoteType  RemoteID
  ---------------------------------------------------------------------------
  24366    70.1.1.1:500         RD        v1:2    IP          70.1.1.1
  24274    70.1.1.1:500         RD        v1:1    IP          70.1.1.1
                                   
  Number of IKE SA : 2
  ---------------------------------------------------------------------------
                                                           
  Flag Description:           
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING

 

# Ejecute el comando display ike sa en RouterC. La salida del comando se muestra de la siguiente manera:

[RouterC] display ike saIKE SA information :
  Conn-ID  Peer          VPN   Flag(s)   Phase   RemoteType  RemoteID
  --------------------------------------------------------------------------
   937    60.1.1.1:500         RD|ST     v1:2    IP          60.1.1.1
   936    60.1.1.1:500         RD|ST     v1:1    IP          60.1.1.1
                                   
  Number of IKE SA : 2
  --------------------------------------------------------------------------
                                                           
  Flag Description:           
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING


Saludos.


FIN.



También te puede interesar:

Configuración de interfaces lógicas en dispositivos de red

Protocolo orientado a conexión y no conexión, TCP vs UDP

Configuración de Routing Basado en Políticas PBR

 

Conoce más de esta línea de productos en:

Foro de routers de Huawei

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 



  • x
  • convención:

edelchino
Publicado 2021-7-29 23:37:26
Excelente publicación de uso para algunos.
Ver más
  • x
  • convención:

edelchino
edelchino Publicado 2021-7-29 23:37 (0) (0)
 
user_4000619
user_4000619 Publicado 2021-8-8 23:39 (0) (0)
 

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.