De acuerdo

Tráfico de multidifusión utilizando un túnel GRE encriptando con IPSec con firewalls.

Última respuesta jul. 29, 2021 12:33:35 202 1 6 0 0

GRE sobre transmisión encriptada IPSec del tráfico de multidifusión de la cámara en el firewall

 

1. Topología:

La topología de red existente se muestra en la figura, las sucursales reenvian el tráfico de multidifusión de la cámara a HQ, el SW1 (dos switches físicos establecidos en la pila) es el gateway de la cámara, RP es LSW2.

 

d1


2. Requisito:

El tráfico de la cámara de multidifusión no es seguro, por lo que se planea agregar un firewall en la sede y la sucursal, y el uso de IPSec encriptar el tráfico.

 

3. Análisis de solución:

3.1 El tráfico de la cámara es tráfico de multidifusión, IPSec no puede cifrar directamente el tráfico de multidifusión, para resolver este problema, se debe considerar el GRE sobre IPSec.

 

3.2 Se solicita la redundancia, por lo que se utilizarán dos firewalls para establecer la alta disponibilidad en HQ y sucursales.

 

3.3 El tiempo de interrupción del servicio se limita lo más corto posible, por lo que el firewall se implementará en modo fuera de ruta o out-of-path

 

Entonces la solución está a continuación:


d2


4. Descripción de la solución:

4.1 Los firewalls funcionan en modo fuera de ruta y establecen la alta disponibilidad.

 

Notas: Esta sección describe solo el diseño del firewall de la sucursal. El diseño del firewalls de la sede es similar.

 

4.2 Solo hay un enlace entre SW1 y FW (FW1 y FW2), por lo que usaremos la subinterfaz para distinguir el tráfico saliente y el tráfico entrante. (Por ejemplo, el vlan 10 se usa para el tráfico de SW1 al Firewall, el vlan 20 se usa para el tráfico de Firewall a SW1)

 

4.3 Configurar VRRP en FW para la subinterfaz E0/0/0.10 y E0/0/0.20;

 

4.4 Establecimiento del túnel GRE entre el firewalls HQ y el firewalls de la sucursal, utilizando la dirección IP virtual E0 / 0 / 0.20 como dirección IP de origen.

 

Usando la dirección IP virtual, establezca el túnel GRE, puede hacer redundancia.

 

4.5 Configuración de la ruta estática en el firewall, cuando el destino es la fuente de multidifusión, el siguiente salto es el túnel GRE.

 

4.6 Establecimiento de IPSec y la IP de origen de la ACL de IPSec es la dirección IP si la dirección IP virtual E0/0/0.20 en el firewall de la sucursal, la IP de destino es la dirección IP de la dirección IP virtual E0/0/0.20 en el firewall de HQ.

 

4.7 Configuración de rutas relacionadas. (Excepto la ruta que configuramos en el siguiente paso)


4.8 En SW1, la configuración de una ruta estática cuyo destino es la IP de origen de multidifusión y el siguiente salto es la dirección IP virtual de E0/0/ 0.10 del firewall de la sucursal; y en el R1 configurando una ruta estática, esa IP de destino es la dirección IP de la cámara y el siguiente salto es la dirección IP virtual de E0 / 0 / 0.10 del firewall HQ.

 

5. Configuración:

La configuración no es compleja y no se describe en este caso.

 

Este caso de configuración es de referencia pero sirve como guía para una futura implementación con algún escenario parecido.

 

Saludos.

 

FIN.


También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

user_4000619
Publicado 2021-7-29 12:33:35
gracias
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.