【交换机在江湖】中小型园区/分支出口综合配置举例

digest [复制链接]
发表于 : 2015-9-11 16:23:37 最新回复:2020-02-18 22:12:01
13663 28
交换机在江湖
交换机在江湖 官方号

中小型园区/分支出口综合配置举例

园区网出口简介

园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期**与长期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。

 

  • 区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需求。

  • 园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求

  • 园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全

  • 中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。

 

组网需求

某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如下:

 

  • 总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户都可以访问Internet。

  • 总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。

  • 总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。

  • 总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。

  • 分支可以适当降低可靠性要求。

 

方案介绍

根据用户需求,可以给出如图1所示的综合配置解决方案,该方案具备层次化、模块化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。

图1 中小型园区/分支出口综合配置组网图

【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-1



  • 在网络的接入层部署华为S2700&S3700交换机(ACC1、ACC2、SwitchA),在网络的核心部署华为S5700交换机(CORE),在园区出口部署华为AR3200路由器(RouterA、RouterB、RouterC)。

  • 总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。

  • 总部核心交换机采用两台S5700交换机做堆叠,保证设备级的可靠性。

  • 总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网,保证链路级的可靠性。

  • 总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。

  • 总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。

  • 分支用户的网关直接部署在出口路由器上。

  • 总部两个出口路由器之间部署VRRP,保证可靠性。

  • 总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。

  • 总部两台出口路由器和核心交换机之间部署OSPF,用于发布用户路由,便于后期扩容及维护。

 

配置思路

采用如下思路部署中小型园区/分支出口综合配置举例:

 

部署总部及分支园区内网

总部:部署堆叠、链路聚合,配置各VLAN及IP地址、部署DHCP Server,实现园区内网互通。部门内部通过接入层交换机进行二层互通,部门间通过核心交换机CORE上的VLANIF进行三层互通。

分支:配置接入层交换机及出口路由器的各接口VLAN及IP地址,部署DHCP Server,实现分支园区内网互通。

 

部署VRRP

为了保证总部核心交换机与两个出口路由器之间的可靠性,在两个出口路由器之间部署VRRP,VRRP的心跳报文经过核心交换机进行交互。RouterA为Master设备,RouterB为Backup设备。

为了防止总部RouterA上行链路故障的时候业务断流,将VRRP状态与RouterA的上行口进行联动,保证上行链路故障时VRRP进行快速倒换。

 

部署路由

为了引导各设备的上行流量,在总部核心交换机上配置一条缺省路由,下一跳指向VRRP的虚地址,在总部及分支的出口路由器上各配置一条缺省路由,下一跳指向运营商网络设备的对接地址(公网网关)。

为了引导总部两个出口路由器的回程流量,在两个出口路由器和核心交换机之间部署OSPF,核心交换机上将所有用户网段发布到OSPF里面,通告给两个出口路由器。

为了引导外网用户访问Web服务器的流量,需要在总部的运营商路由器上配置两条目的地址为服务器公网地址的静态路由,下一跳分别指向两个出口路由器的上行口IP地址。并且为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条路由优先,当这条路由失效的时候下一跳指向RouterB的路由生效。

 

部署NAT Outbound

为了使内网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私网地址和公网地址之间的转换。通过ACL匹配A部门的源IP地址,从而实现A部门的用户可以访问Internet,而B部门的用户不能访问Internet。

 

部署NAT Server

为了实现外网用户访问内网Web服务器,在两个出口路由器的上行口上配置NAT Server,实现服务器公网地址和私网地址之间的映射。

 

部署IPSec VPN

为了实现总部和分支之间进行私网VPN互通,在总部出口路由器和分支出口路由器之间部署IPSec VPN,通过Internet构建IPSec VPN,实现总部和分支之间的的安全通信。

说明:
部署总部及分支园区内网所涉及的配置不在本例中给出,请参见《华为S系列园区交换机快速配置》中的“中小园区组网场景”。
 
 
数据规划

详细的数据规划如表1、表2和表3所示。

表1 链路聚合接口规划

【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-2

说明:
所有链路聚合采用LACP模式。
 
 

表2 VLAN规划

【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-3
 

表3 IP地址规划

【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-4
 
 
操作步骤
  1. 配置总部核心交换机CORE和两个出口路由器之间互联的Eth-Trunk

    # 配置核心交换机CORE。

    <HUAWEI> system-view
    [HUAWEI] sysname CORE
    [CORE] interface eth-trunk 3
    [CORE-Eth-Trunk3] mode lacp
    [CORE-Eth-Trunk3] quit
    [CORE] interface eth-trunk 4
    [CORE-Eth-Trunk4] mode lacp
    [CORE-Eth-Trunk4] quit
    [CORE] interface gigabitethernet 0/0/3
    [CORE-GigabitEthernet0/0/3] eth-trunk 3
    [CORE-GigabitEthernet0/0/3] quit
    [CORE] interface gigabitethernet 1/0/3
    [CORE-GigabitEthernet1/0/3] eth-trunk 3
    [CORE-GigabitEthernet1/0/3] quit
    [CORE] interface gigabitethernet 0/0/4
    [CORE-GigabitEthernet0/0/4] eth-trunk 4
    [CORE-GigabitEthernet0/0/4] quit
    [CORE] interface gigabitethernet 1/0/4
    [CORE-GigabitEthernet1/0/4] eth-trunk 4
    [CORE-GigabitEthernet1/0/4] quit
    

    # 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。

    <Huawei> system-view
    [Huawei] sysname RouterA
    [RouterA] interface eth-trunk 1
    [RouterA-Eth-Trunk1] undo portswitch
    [RouterA-Eth-Trunk1] mode lacp-static
    [RouterA-Eth-Trunk1] quit
    [RouterA] interface gigabitethernet 2/0/0
    [RouterA-GigabitEthernet2/0/0] eth-trunk 1
    [RouterA-GigabitEthernet2/0/0] quit
    [RouterA] interface gigabitethernet 2/0/1
    [RouterA-GigabitEthernet2/0/1] eth-trunk 1
    [RouterA-GigabitEthernet2/0/1] quit
    

  2. 配置各接口的所属VLAN及IP地址

    # 配置核心交换机CORE。

    [CORE] vlan 100
    [CORE] quit
    [CORE] interface Eth-Trunk 3
    [CORE-Eth-Trunk3] port link-type trunk
    [CORE-Eth-Trunk3] port trunk allow-pass vlan 100
    [CORE-Eth-Trunk3] quit
    [CORE] interface Eth-Trunk 4
    [CORE-Eth-Trunk4] port link-type trunk
    [CORE-Eth-Trunk4] port trunk allow-pass vlan 100
    [CORE-Eth-Trunk4] quit
    [CORE] interface vlanif 100
    [CORE-Vlanif100] ip address 10.10.100.4 24
    [CORE-Vlanif100] quit
    

    # 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。

    [RouterA] interface Eth-Trunk 1.100
    [RouterA-Eth-Trunk1.100] ip address 10.10.100.2 24
    [RouterA-Eth-Trunk1.100] dot1q termination vid 100
    [RouterA-Eth-Trunk1.100] arp broadcast enable    //使能接口可以处理ARP广播报文功能;AR3200系列路由器V200R003C01及之后的版本默认已经使能了该功能,无需配置。
    [RouterA-Eth-Trunk1.100] quit
    [RouterA] interface gigabitethernet 1/0/0
    [RouterA-GigabitEthernet1/0/0] ip address 202.10.1.2 24
    [RouterA-GigabitEthernet1/0/0] quit
    

    # 配置分支出口路由器RouterC。

    <Huawei> system-view
    [Huawei] sysname RouterC
    [RouterC] interface gigabitethernet 1/0/0
    [RouterC-GigabitEthernet1/0/0] ip address 203.10.1.2 24
    [RouterC-GigabitEthernet1/0/0] quit
    

  3. 部署VRRP。在总部两个出口路由器RouterA和RouterB之间配置VRRP,RouterA为VRRP的Master,RouterB为VRRP的Backup

    # 配置RouterA。

    [RouterA] interface Eth-Trunk 1.100
    [RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1
    [RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 120
    [RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
    [RouterA-Eth-Trunk1.100] quit
    //为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。

    # 配置RouterB。

    [RouterB] interface Eth-Trunk 1.100
    [RouterB-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1
    [RouterB-Eth-Trunk1.100] quit
    

    配置完成后,RouterA和RouterB之间应该能建立VRRP的主备份关系,执行display vrrp命令可以看到RouterA和RouterB的VRRP状态。

    # 查看RouterA的VRRP状态为Master。

    【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-5
    # 查看RouterB的VRRP状态为Backup。
    【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-6
    

4.  部署路由

    1. 部署缺省路由,用于引导各个设备的上行流量

      # 在核心交换机CORE上配置一条缺省路由,下一跳指向VRRP的虚地址。

      [CORE] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1

      # 在总部及分支出口路由器上各配置一条缺省路由,下一跳指向运行商网络设备的对接地址(公网网关)。

      [RouterA] ip route-static 0.0.0.0 0.0.0.0 202.10.1.1
      [RouterB] ip route-static 0.0.0.0 0.0.0.0 202.10.2.1
      [RouterC] ip route-static 0.0.0.0 0.0.0.0 203.10.1.1

    2. 部署OSPF。在总部两个出口路由器RouterA、RouterB以及总部核心交换机CORE之间部署OSPF,用于两个出口路由器RouterA和RouterB学习用户网段的回程路由

      # 配置总部出口路由器RouterA。

      [RouterA] ospf 1 router-id 10.1.1.1
      [RouterA-ospf-1] area 0
      [RouterA-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255
      [RouterA-ospf-1-area-0.0.0.0] quit

      # 配置总部出口路由器RouterB。

      [RouterB] ospf 1 router-id 10.2.2.2
      [RouterB-ospf-1] area 0
      [RouterB-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255
      [RouterB-ospf-1-area-0.0.0.0] quit

      # 配置总部核心交换机CORE。

      [CORE] ospf 1 router-id 10.3.3.3
      [CORE-ospf-1] area 0
      [CORE-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255
      [CORE-ospf-1-area-0.0.0.0] network 10.10.10.0 0.0.0.255     //将用户网段发布到OSPF里面
      [CORE-ospf-1-area-0.0.0.0] network 10.10.20.0 0.0.0.255     //将用户网段发布到OSPF里面
      [CORE-ospf-1-area-0.0.0.0] network 10.10.30.0 0.0.0.255    //将Web服务器网段发布到OSPF里面
      [CORE-ospf-1-area-0.0.0.0] quit

      # 配置完成后,RouterA、RouterB和Core之间应该建立OSPF邻居关系,执行display ospf peer命令可以查看OSPF邻居状态为Full,以CORE为例,OSPF邻居状态如下。

      【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-7
      

    3. # 在和总部出口对接的运营商路由器RouterD上配置两条目的地址为服务器公网地址的静态路由,下一跳分别指向两个出口路由器RouterA、RouterB的上行口IP地址。为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条路由优先,当这条路由失效的时候下一跳指向RouterB的路由生效。

      [RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.1.2 preference 40    //下一跳为RouterA的这条路由优先
      [RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.2.2

      当总部出口路由器RouterA的上行链路中断的时候会触发两个动作:1)、两台总部出口路由器VRRP主备切换,这个通过VRRP状态联动总部出口路由器上行口状态来实现。2)、和总部出口对接的运营商路由器RouterD到达内网服务器的路由进行主备切换,这个通过RouterD配置主备路由实现。

          这两个动作保证了当出口路由器RouterA的上行链路中断的时候内网VRRP状态和公网回程主备路由同时切换,保证了来回路径双向可靠性。

      5.  部署NAT Outbound

      1. 在总部及分支出口路由器上定义需要进行NAT转换的数据流

        总部仅部门A允许访问Internet,源IP地址是10.10.10.0/24;分支所有用户都允许访问Internet,源IP地址是10.10.200.0/24。

        # 配置总部出口路由器RouterA。RouterB的配置和RouterA类似。

        [RouterA] acl 3000
        [RouterA-acl-adv-3000] rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255      //需要IPSec保护的数据流
        [RouterA-acl-adv-3000] rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255     
        [RouterA-acl-adv-3000] rule 15 permit ip source 10.10.10.0 0.0.0.255      //需要进行NAT转换的数据流
        [RouterA-acl-adv-3000] quit
        //对于华为AR3200系列路由器,如果接口上同时配置了IPSec和NAT,则先执行NAT。所以为了避免把IPSec保护的数据流进行NAT转换,需要NAT引用的ACL规则deny掉需要IPSec保护的数据流,即对“IPSec感兴趣的数据流”做NAT豁免。

        # 配置分支出口路由器RouterC。

        [RouterC] acl 3000
        [RouterC-acl-adv-3000] rule 5 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
        [RouterC-acl-adv-3000] rule 10 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255
        [RouterC-acl-adv-3000] rule 15 permit ip source 10.10.200.0 0.0.0.255
        [RouterC-acl-adv-3000] quit
        //同样需要配置对“IPSec感兴趣的数据流”做NAT豁免

      2. 在总部及分支出口路由器的上行口上配置NAT转换

        # 配置RouterA。RouterB及RouterC的配置与RouterA类似。

        [RouterA] interface GigabitEthernet1/0/0
        [RouterA-GigabitEthernet1/0/0] nat outbound 3000
        [RouterA-GigabitEthernet1/0/0] quit

      3. 检查配置结果

        # 配置完成后可以通过display nat outbound命令查看NAT转换的配置信息,以RouterA为例详细信息如下。

        【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-8
         

      6.  部署NAT Server

      总部有Web服务器,需在两个出口路由器RouterA和RouterB上都配置NAT Server,实现外网用户访问内网Web服务器。

      # 配置RouterA。

      [RouterA] interface GigabitEthernet1/0/0
      [RouterA-GigabitEthernet1/0/0] nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
      [RouterA-GigabitEthernet1/0/0] quit

      # 配置RouterB。

      [RouterB] interface GigabitEthernet1/0/0
      [RouterB-GigabitEthernet1/0/0] nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
      [RouterB-GigabitEthernet1/0/0] quit

      # 配置完成后可以通过display nat server命令查看NAT Server的配置信息,以RouterA为例详细信息如下。

      【交换机在江湖】中小型园区/分支出口综合配置举例-1281473-9
      

      本帖被以下专题推荐:

      • x
      • 常规:

      点评 回复

      跳转到指定楼层
      交换机在江湖
      交换机在江湖 官方号 发表于 2015-9-11 16:26:27 已赞(1) 赞(1)

      7、部署IPSec VPN,实现总部和分支之间通过Internet实现私网互通,并且数据通信具有安全保护

      1. 配置ACL,定义需要IPSec保护的数据流

        # 配置总部出口路由器RouterA。

        [RouterA] acl 3001
        [RouterA-acl-adv-3001] rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255      //需要IPSec保护的数据流
        [RouterA-acl-adv-3001] rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255      //需要IPSec保护的数据流
        [RouterA-acl-adv-3001] quit

        # 配置总部出口路由器RouterB。

        [RouterB] acl 3001
        [RouterB-acl-adv-3001] rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
        [RouterB-acl-adv-3001] rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
        [RouterB-acl-adv-3001] quit

        # 配置分支出口路由器RouterC。

        [RouterC] acl 3001
        [RouterC-acl-adv-3001] rule 5 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
        [RouterC-acl-adv-3001] rule 10 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255
        [RouterC-acl-adv-3001] quit

      2. 配置IPSec安全提议

        # 配置总部出口路由器RouterA。总部出口路由器RouterB以及分支出口路由器RouterC的配置和RouterA类似。

        [RouterA] ipsec proposal tran1
        [RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha2-256     //设置ESP协议采用的认证算法
        [RouterA-ipsec-proposal-tran1] esp encryption-algorithm aes-128     //设置ESP协议采用的加密算法
        [RouterA-ipsec-proposal-tran1] quit

      3. 配置IKE安全提议

        # 配置总部出口路由器RouterA。总部出口路由器RouterB以及分支出口路由器RouterC的配置和RouterA类似。

        [RouterA] ike proposal 5
        [RouterA-ike-proposal-5] encryption-algorithm aes-cbc-128
        [RouterA-ike-proposal-5] quit

      4. 配置IKE对等体

        # 配置总部出口路由器RouterA。

        [RouterA] ike peer vpn v1
        [RouterA-ike-peer-vpn] pre-shared-key cipher huawei123
        [RouterA-ike-peer-vpn] ike-proposal 5
        [RouterA-ike-peer-vpn] dpd type periodic    //配置周期性对等体存活检测
        [RouterA-ike-peer-vpn] dpd idle-time 10    //设置对等体存活检测空闲时间为10秒
        [RouterA-ike-peer-vpn] remote-address 203.10.1.2
        [RouterA-ike-peer-vpn] quit

        # 配置总部出口路由器RouterB。

        [RouterB] ike peer vpn v1
        [RouterB-ike-peer-vpn] pre-shared-key cipher huawei123
        [RouterB-ike-peer-vpn] ike-proposal 5
        [RouterB-ike-peer-vpn] dpd type periodic
        [RouterB-ike-peer-vpn] dpd idle-time 10
        [RouterB-ike-peer-vpn] remote-address 203.10.1.2
        [RouterB-ike-peer-vpn] quit

        # 配置分支出口路由器RouterC。

        [RouterC] ike peer vpnr1 v1
        [RouterC-ike-peer-vpnr1] pre-shared-key cipher huawei123
        [RouterC-ike-peer-vpnr1] ike-proposal 5
        [RouterC-ike-peer-vpnr1] dpd type periodic
        [RouterC-ike-peer-vpnr1] dpd idle-time 10
        [RouterC-ike-peer-vpnr1] remote-address 202.10.1.2
        [RouterC-ike-peer-vpnr1] quit
        [RouterC] ike peer vpnr2 v1
        [RouterC-ike-peer-vpnr2] pre-shared-key cipher huawei123
        [RouterC-ike-peer-vpnr2] ike-proposal 5
        [RouterC-ike-peer-vpnr2] dpd type periodic
        [RouterC-ike-peer-vpnr2] dpd idle-time 10
        [RouterC-ike-peer-vpnr2] remote-address 202.10.2.2
        [RouterC-ike-peer-vpnr2] quit

      5. 配置安全策略

        # 配置总部出口路由器RouterA。

        [RouterA] ipsec policy ipsec_vpn 10 isakmp
        [RouterA-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001
        [RouterA-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpn
        [RouterA-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1
        [RouterA-ipsec-policy-isakmp-ipsec_vpn-10] quit

        # 配置总部出口路由器RouterB。

        [RouterB] ipsec policy ipsec_vpn 10 isakmp
        [RouterB-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001
        [RouterB-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpn
        [RouterB-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1
        [RouterB-ipsec-policy-isakmp-ipsec_vpn-10] quit

        # 配置分支出口路由器RouterC。

        [RouterC] ipsec policy ipsec_vpn 10 isakmp
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpnr1
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-10] quit
        [RouterC] ipsec policy ipsec_vpn 20 isakmp
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-20] security acl 3001
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-20] ike-peer vpnr2
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-20] proposal tran1
        [RouterC-ipsec-policy-isakmp-ipsec_vpn-20] quit

      6. 接口上引用安全策略组

        # 在总部出口路由器RouterA的接口上引用安全策略组。

        [RouterA] interface GigabitEthernet1/0/0
        [RouterA-GigabitEthernet1/0/0] ipsec policy ipsec_vpn
        [RouterA-GigabitEthernet1/0/0] quit

        # 在总部出口路由器RouterB的接口上引用安全策略组。

        [RouterB] interface GigabitEthernet1/0/0
        [RouterB-GigabitEthernet1/0/0] ipsec policy ipsec_vpn
        [RouterB-GigabitEthernet1/0/0] quit

        # 在分支出口路由器RouterC的接口上引用安全策略组。

        [RouterC] interface GigabitEthernet1/0/0
        [RouterC-GigabitEthernet1/0/0] ipsec policy ipsec_vpn
        [RouterC-GigabitEthernet1/0/0] quit

      7. 检查配置结果

        # 配置完成后,可以执行display ike sa命令查看由IKE建立的安全联盟信息,以RouterC为例,由IKE建立的安全联盟信息如下。

        [RouterC] display ike sa
            Conn-ID  Peer            VPN   Flag(s)                Phase  
          ---------------------------------------------------------------
                7    202.10.2.2      0     RD|ST                  2     
                4    202.10.2.2      0     RD                     2     
                2    202.10.2.2      0     RD                     1     
                6    202.10.1.2      0     RD|ST                  2     
                5    202.10.1.2      0     RD                     2     
                3    202.10.1.2      0     RD                     1     
        
          Flag Description:
          RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
          HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

        # 配置完成后,可以执行display ipsec sa命令查看安全联盟的相关信息,以RouterC为例,安全联盟信息如下。

        [RouterC] display ipsec sa
        
        ===============================
        Interface: GigabitEthernet1/0/0
         Path MTU: 1500
        ===============================
        
          -----------------------------
          IPSec policy name: "ipsec_vpn"
          Sequence number  : 10
          Acl Group        : 3001
          Acl rule         : 5
          Mode             : ISAKMP
          -----------------------------
            Connection ID     : 5
            Encapsulation mode: Tunnel
            Tunnel local      : 203.10.1.2
            Tunnel remote     : 202.10.1.2
            Flow source       : 10.10.200.0/255.255.255.0 0/0
            Flow destination  : 10.10.10.0/255.255.255.0 0/0
            Qos pre-classify  : Disable
        
            [Outbound ESP SAs] 
              SPI: 969156085 (0x39c425f5)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887313920/1521
              Max sent sequence-number: 8
              UDP encapsulation used for NAT traversal: N
        
            [Inbound ESP SAs] 
              SPI: 1258341975 (0x4b00c657)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887436080/1521
              Max received sequence-number: 10
              Anti-replay window size: 32
              UDP encapsulation used for NAT traversal: N
        
          -----------------------------
          IPSec policy name: "ipsec_vpn"
          Sequence number  : 10
          Acl Group        : 3001
          Acl rule         : 10
          Mode             : ISAKMP
          -----------------------------
            Connection ID     : 6
            Encapsulation mode: Tunnel
            Tunnel local      : 203.10.1.2
            Tunnel remote     : 202.10.1.2
            Flow source       : 10.10.200.0/255.255.255.0 0/0
            Flow destination  : 10.10.20.0/255.255.255.0 0/0
            Qos pre-classify  : Disable
        
            [Outbound ESP SAs] 
              SPI: 4217384908 (0xfb602fcc)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887283200/1522
              Max sent sequence-number: 10
              UDP encapsulation used for NAT traversal: N
        
            [Inbound ESP SAs] 
              SPI: 654720480 (0x27063de0)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887436080/1522
              Max received sequence-number: 10
              Anti-replay window size: 32
              UDP encapsulation used for NAT traversal: N
        
          -----------------------------
          IPSec policy name: "ipsec_vpn"
          Sequence number  : 20
          Acl Group        : 3001
          Acl rule         : 5
          Mode             : ISAKMP
          -----------------------------
            Connection ID     : 4
            Encapsulation mode: Tunnel
            Tunnel local      : 203.10.1.2
            Tunnel remote     : 202.10.2.2
            Flow source       : 10.10.200.0/255.255.255.0 0/0
            Flow destination  : 10.10.10.0/255.255.255.0 0/0
            Qos pre-classify  : Disable
        
            [Outbound ESP SAs] 
              SPI: 240759500 (0xe59b2cc)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887436800/1521
              Max sent sequence-number: 0
              UDP encapsulation used for NAT traversal: N
        
            [Inbound ESP SAs] 
              SPI: 3888073495 (0xe7bf4b17)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887436800/1521
              Max received sequence-number: 0
              Anti-replay window size: 32
              UDP encapsulation used for NAT traversal: N
        
          -----------------------------
          IPSec policy name: "ipsec_vpn"
          Sequence number  : 20
          Acl Group        : 3001
          Acl rule         : 10
          Mode             : ISAKMP
          -----------------------------
            Connection ID     : 7
            Encapsulation mode: Tunnel
            Tunnel local      : 203.10.1.2
            Tunnel remote     : 202.10.2.2
            Flow source       : 10.10.200.0/255.255.255.0 0/0
            Flow destination  : 10.10.20.0/255.255.255.0 0/0
            Qos pre-classify  : Disable
        
            [Outbound ESP SAs] 
              SPI: 2751917383 (0xa406ed47)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887436800/1522
              Max sent sequence-number: 0
              UDP encapsulation used for NAT traversal: N
        
            [Inbound ESP SAs] 
              SPI: 739146604 (0x2c0e7b6c)
              Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
              SA remaining key duration (bytes/sec): 1887436800/1522
              Max received sequence-number: 0
              Anti-replay window size: 32
              UDP encapsulation used for NAT traversal: N

      8. 检查配置结果

      # 通过ping命令验证总部和分支之间的连通性。

      PC1>ping 10.10.200.2
      
      Ping 10.10.200.2: 32 data bytes, Press Ctrl_C to break
      From 10.10.200.2: bytes=32 seq=1 ttl=126 time=140 ms
      From 10.10.200.2: bytes=32 seq=2 ttl=126 time=235 ms
      From 10.10.200.2: bytes=32 seq=3 ttl=126 time=266 ms
      From 10.10.200.2: bytes=32 seq=4 ttl=126 time=140 ms
      From 10.10.200.2: bytes=32 seq=5 ttl=126 time=141 ms
      
      --- 10.10.200.2 ping statistics ---
        5 packet(s) transmitted
        5 packet(s) received
        0.00% packet loss
        round-trip min/avg/max = 140/184/266 ms

      PC3>ping 10.10.200.2
      
      Ping 10.10.200.2: 32 data bytes, Press Ctrl_C to break
      From 10.10.200.2: bytes=32 seq=1 ttl=126 time=156 ms
      From 10.10.200.2: bytes=32 seq=2 ttl=126 time=297 ms
      From 10.10.200.2: bytes=32 seq=3 ttl=126 time=156 ms
      From 10.10.200.2: bytes=32 seq=4 ttl=126 time=141 ms
      From 10.10.200.2: bytes=32 seq=5 ttl=126 time=109 ms
      
      --- 10.10.200.2 ping statistics ---
        5 packet(s) transmitted
        5 packet(s) received
        0.00% packet loss
        round-trip min/avg/max = 109/171/297 ms

      可以看到,PC1和PC5、PC3和PC5之间都是可以互通的,公司总部和分支之间可以通过运营商网络组建的私网VPN进行互通。

      # 验证企业总部各部门与公网之间的连通性,以企业总部的公网网关202.10.1.1作为测试地址。

      PC1>ping 202.10.1.1
      
      Ping 202.10.1.1: 32 data bytes, Press Ctrl_C to break
      From 202.10.1.1: bytes=32 seq=1 ttl=253 time=235 ms
      From 202.10.1.1: bytes=32 seq=2 ttl=253 time=109 ms
      From 202.10.1.1: bytes=32 seq=3 ttl=253 time=79 ms
      From 202.10.1.1: bytes=32 seq=4 ttl=253 time=63 ms
      From 202.10.1.1: bytes=32 seq=5 ttl=253 time=63 ms
      
      --- 202.10.1.1 ping statistics ---
        5 packet(s) transmitted
        5 packet(s) received
        0.00% packet loss
        round-trip min/avg/max = 63/109/235 ms
      PC3>ping 202.10.1.1
      
      Ping 202.10.1.1: 32 data bytes, Press Ctrl_C to break
      Request timeout!
      Request timeout!
      Request timeout!
      Request timeout!
      Request timeout!
      
      --- 202.10.1.1 ping statistics ---
        5 packet(s) transmitted
        0 packet(s) received
        100.00% packet loss

      可以看到,部门A(PC1)的用户可以访问公网,部门B(PC3)的用户不能访问公网。

      配置文件

      • 总部核心交换机CORE的配置文件

        #
        sysname CORE
        #
        vlan batch 100
        #
        interface Vlanif100
         ip address 10.10.100.4 255.255.255.0
        #
        interface Eth-Trunk3
         port link-type trunk
         port trunk allow-pass vlan 100
         mode lacp
        
        #
        interface Eth-Trunk4
         port link-type trunk
         port trunk allow-pass vlan 100
         mode lacp
        
        #
        interface GigabitEthernet0/0/3
         eth-trunk 3
        #
        interface GigabitEthernet0/0/4
         eth-trunk 4
        #
        interface GigabitEthernet1/0/3
         eth-trunk 3
        #
        interface GigabitEthernet1/0/4
         eth-trunk 4
        #
        ospf 1 router-id 10.3.3.3
         area 0.0.0.0
          network 10.10.100.0 0.0.0.255
          network 10.10.10.0 0.0.0.255
          network 10.10.20.0 0.0.0.255
          network 10.10.30.0 0.0.0.255
        #
        ip route-static 0.0.0.0 0.0.0.0 10.10.100.1
        #
        return
      • 总部出口路由器RouterA的配置文件

        #
         sysname RouterA
        #
        acl number 3000  
         rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
         rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
         rule 15 permit ip source 10.10.10.0 0.0.0.255 
        acl number 3001  
         rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
         rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
        #
        ipsec proposal tran1
         esp authentication-algorithm sha2-256 
         esp encryption-algorithm aes-128
        #
        ike proposal 5
         encryption-algorithm aes-cbc-128
        #
        ike peer vpn v1
         pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
         ike-proposal 5
         dpd type periodic
         dpd idle-time 10
         remote-address 203.10.1.2
        #
        ipsec policy ipsec_vpn 10 isakmp
         security acl 3001
         ike-peer vpn
         proposal tran1
        #
        interface Eth-Trunk1
         undo portswitch
         mode lacp-static
        #
        interface Eth-Trunk1.100
         dot1q termination vid 100
         ip address 10.10.100.2 255.255.255.0 
         vrrp vrid 1 virtual-ip 10.10.100.1
         vrrp vrid 1 priority 120
         vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
         arp broadcast enable
        #
        interface GigabitEthernet1/0/0
         ip address 202.10.1.2 255.255.255.0 
         ipsec policy ipsec_vpn
         nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
         nat outbound 3000
        #
        interface GigabitEthernet2/0/0
         eth-trunk 1
        #
        interface GigabitEthernet2/0/1
         eth-trunk 1
        #
        ospf 1 router-id 10.1.1.1 
         area 0.0.0.0 
          network 10.10.100.0 0.0.0.255 
        #
        ip route-static 0.0.0.0 0.0.0.0 202.10.1.1
        #
        return
      • 总部出口路由器RouterB的配置文件

        #
         sysname RouterB
        #
        acl number 3000  
         rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
         rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
         rule 15 permit ip source 10.10.10.0 0.0.0.255 
        acl number 3001  
         rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
         rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 
        #
        ipsec proposal tran1
         esp authentication-algorithm sha2-256 
         esp encryption-algorithm aes-128
        #
        ike proposal 5
         encryption-algorithm aes-cbc-128
        #
        ike peer vpn v1
         pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
         ike-proposal 5
         dpd type periodic
         dpd idle-time 10
         remote-address 203.10.1.2
        #
        ipsec policy ipsec_vpn 10 isakmp
         security acl 3001
         ike-peer vpn
         proposal tran1
        #
        interface Eth-Trunk1
         undo portswitch
         mode lacp-static
        #
        interface Eth-Trunk1.100
         dot1q termination vid 100
         ip address 10.10.100.3 255.255.255.0 
         vrrp vrid 1 virtual-ip 10.10.100.1
         arp broadcast enable
        #
        interface GigabitEthernet1/0/0
         ip address 202.10.2.2 255.255.255.0 
         ipsec policy ipsec_vpn
         nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
         nat outbound 3000
        #
        interface GigabitEthernet2/0/0
         eth-trunk 1
        #
        interface GigabitEthernet2/0/1
         eth-trunk 1
        #
        ospf 1 router-id 10.2.2.2 
         area 0.0.0.0 
          network 10.10.100.0 0.0.0.255 
        #
        ip route-static 0.0.0.0 0.0.0.0 202.10.2.1
        #
        return
      • 分支出口路由器RouterC的配置文件

        #
         sysname RouterC
        #
        acl number 3000  
         rule 5 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 
         rule 10 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255 
         rule 15 permit ip source 10.10.200.0 0.0.0.255 
        acl number 3001  
         rule 5 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 
         rule 10 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255 
        #
        ipsec proposal tran1
         esp authentication-algorithm sha2-256 
         esp encryption-algorithm aes-128
        #
        ike proposal 5
         encryption-algorithm aes-cbc-128
        #
        ike peer vpnr1 v1
         pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
         ike-proposal 5
         dpd type periodic
         dpd idle-time 10
         remote-address 202.10.1.2
        #
        ike peer vpnr2 v1
         pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
         ike-proposal 5
         dpd type periodic
         dpd idle-time 10
         remote-address 202.10.2.2
        #
        ipsec policy ipsec_vpn 10 isakmp
         security acl 3001
         ike-peer vpnr1
         proposal tran1
        #
        ipsec policy ipsec_vpn 20 isakmp
         security acl 3001
         ike-peer vpnr2
         proposal tran1
        #
        interface GigabitEthernet1/0/0
         ip address 203.10.1.2 255.255.255.0 
         ipsec policy ipsec_vpn
         nat outbound 3000
        #
        ip route-static 0.0.0.0 0.0.0.0 203.10.1.1
        #
        return
      • 总部运营商路由器RouterD的配置文件

        #
         sysname RouterD
        #
        interface GigabitEthernet1/0/0
         ip address 202.10.1.1 255.255.255.0 
        #
        interface GigabitEthernet2/0/0
         ip address 202.10.2.1 255.255.255.0 
        #
        ip route-static 202.10.100.0 255.255.255.0 202.10.1.2 preference 40
        ip route-static 202.10.100.0 255.255.255.0 202.10.2.2
        #
        return
      • 分支运营商路由器RouterE的配置文件

        #
         sysname RouterE
        #
        interface GigabitEthernet1/0/0
         ip address 203.10.1.1 255.255.255.0 
        #
        return

      本帖子中包含更多资源

      您需要 登录 才可以下载或查看,没有帐号?注册

      x
      • x
      • 常规:

      点评 回复

      Monica
      Monica  导师 发表于 2015-9-11 16:55:05 已赞(0) 赞(0)

      这个经常用到,理一理

      • x
      • 常规:

      点评 回复

      kmyd
      kmyd  大师 发表于 2015-9-11 16:55:10 已赞(0) 赞(0)

      好资料,感谢分享!!

      • x
      • 常规:

      点评 回复

      kaixiao
      kaixiao   发表于 2015-9-13 10:34:51 已赞(0) 赞(0)

      感谢分享!

      • x
      • 常规:

      点评 回复

      海之南
      海之南   发表于 2016-1-18 10:28:55 已赞(0) 赞(0)

      华为做得很好,只有技术透明,产品才能推得出去。这个内容只要我们一级的维护人员看得懂,不用说,一旦有业务,立马推华为。

      • x
      • 常规:

      点评 回复

      w00175133
      w00175133   发表于 2015-11-25 19:10:07 已赞(0) 赞(0)

      写的不错,很详细,顶!

      • x
      • 常规:

      点评 回复

      user_2806327
      user_2806327  新锐 发表于 2015-11-25 19:13:06 已赞(0) 赞(0)

      非常经典的案例,很实用详细,顶起!

      • x
      • 常规:

      点评 回复

      wsh_lydx_4991
      wsh_lydx_4991   发表于 2015-11-25 19:20:05 已赞(0) 赞(0)

      很经典的组网,很完整详细的配置过程,可见楼主写的很用心。拿着这个案例就可以完整的部署一个中小型网络了。

      • x
      • 常规:

      点评 回复

      千页豆腐
      千页豆腐   发表于 2015-11-25 19:23:36 已赞(0) 赞(0)

      模拟了一下中小园区企业组网,学到的东西简直不要太多,综合型案例,真是学习必备

      • x
      • 常规:

      点评 回复

      123
      返回列表
      发表回复
      您需要登录后才可以回帖 登录 | 注册

      警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
      如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
      登录参与交流分享

      登录参与交流分享

      登录