IPsecを介した本社と支店間のプライベートネットワーク通信を実装するファーウェイルーターの例

開発 2023-07-12 02:43:40 訪問数: null

 

ユーザーニーズの背景

楡林本社と西安支店は 2 つのパブリック ネットワーク IP を申請しており、プライベート ネットワーク相互通信、つまり 192.168.1.0 が 192.168.2.0 にアクセスすることを実現するために IPsecPN を構築する必要があります (CSDN の理由により、キーワードは入力できません)。

本社と支店 192.168.1.0 ~ 192.168.2.0 は、12.12.12.12 をテストするためにパブリック ネットワークにアクセスする必要があります。

 

ネットワークトポロジマップ

 

構成アイデア

本社と支店にそれぞれ IP アドレスを設定し、イントラネットを開き、パブリック ネットワークへのデフォルト ルートを設定します。

NAT 変換を使用して、イントラネット ユーザーのインターネット アクセス要件を実現します。

両端で IPsec を作成し、呼び出して、最終的にアクセス ブランチを実現します。

 

実験的なコードのプロセス

パブリック ネットワーク コードは単純すぎるため表示されません。図に従って IP アドレスを構成するだけです。

YL本部

<Huawei>
<Huawei>sy
[Huawei]undo  info-center enable 
[Huawei]sysname YL

[YL]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.

[YL]interface GigabitEthernet 0/0/1
[YL-GigabitEthernet0/0/1]ip address  192.168.1.1 24
[YL-GigabitEthernet0/0/1]dhcp  select interface 
[YL-GigabitEthernet0/0/1]quit

[YL]interface GigabitEthernet 0/0/0
[YL-GigabitEthernet0/0/0]ip ad
[YL-GigabitEthernet0/0/0]ip address  1.1.1.1 24
[YL-GigabitEthernet0/0/0]quit
[YL]
[YL]
[YL]

[YL-acl-adv-3000]rule  deny  ip destination 192.168.2.0 0.0.0.255
[YL-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255
[YL-acl-adv-3000]quit
[YL]
[YL]
[YL]int
[YL]interface g
[YL]interface GigabitEthernet 0/0/0
[YL-GigabitEthernet0/0/0]nat outbound 3000
[YL-GigabitEthernet0/0/0]quit
[YL]
[YL]ip route-static 0.0.0.0 0 1.1.1.2 


[YL]acl 3001 
[YL-acl-adv-3001]rule  permit ip source  192.168.1.0 0.0.0.255 destination  192.168.2.0 0.0.0.255
[YL]ipsec  proposal  yl
[YL-ipsec-proposal-yl]esp authentication-algorithm sha2-256
[YL-ipsec-proposal-yl]esp encryption-algorithm aes-128
[YL-ipsec-proposal-yl]quit

[YL]ipsec policy yl 10 manual 
[YL-ipsec-policy-manual-yl-10]security acl 3001
[YL-ipsec-policy-manual-yl-10]proposal  yl
[YL-ipsec-policy-manual-yl-10]tunnel local 1.1.1.1
[YL-ipsec-policy-manual-yl-10]tunnel  remote  2.2.2.1
[YL-ipsec-policy-manual-yl-10]sa spi inbound esp 12345
[YL-ipsec-policy-manual-yl-10]sa spi outbound esp  54321
[YL-ipsec-policy-manual-yl-10]sa string-key inbound esp cipher huawei.com
[YL-ipsec-policy-manual-yl-10]sa string-key outbound esp cipher huawei.com
[YL-ipsec-policy-manual-yl-10]quit
[YL]interface GigabitEthernet 0/0/0
[YL-GigabitEthernet0/0/0]ipsec policy yl
[YL-GigabitEthernet0/0/0]quit

西安支店

<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname XIAN
[XIAN]dhc enable //开启DHCP
Info: The operation may take a few seconds. Please wait for a moment.done.
[XIAN]un
[XIAN]undo  in en 
Info: Information center is disabled.

[XIAN]interface GigabitEthernet 0/0/0
[XIAN-GigabitEthernet0/0/0]ip ad
[XIAN-GigabitEthernet0/0/0]ip address  2.2.2.1 24
[XIAN-GigabitEthernet0/0/0]quit

[XIAN]interface GigabitEthernet 0/0/1
[XIAN-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[XIAN-GigabitEthernet0/0/1]dhcp  select interface 
[XIAN-GigabitEthernet0/0/1]quit
[XIAN]

[XIAN]acl 3000 //为私网用户开启NAT转换,使其可以访问公网,也就是图中loopback地址,12.12.12.12
[XIAN-acl-adv-3000]rule  deny ip destination 192.168.1.0 0.0.0.255 //访问私网192.168.1.0不进行NAT转换
[XIAN-acl-adv-3000]rule  permit ip source  192.168.2.0 0.0.0.255//允许192.168.1.0 私网访问互联网
[XIAN-acl-adv-3000]quit

[XIAN]interface GigabitEthernet 0/0/0 
[XIAN-GigabitEthernet0/0/0]nat outbound  3000 //出口调用策略
[XIAN-GigabitEthernet0/0/0]quit

[XIAN]ip route-static 0.0.0.0 0 2.2.2.2 //默认路由到公网
[XIAN]



[XIAN]
[XIAN]
[XIAN]acl 3001
[XIAN-acl-adv-3001]rule  permit ip source  192.168.2.0 0.0.0.255 destination  192.168.1.0 0.0.0.255 //定义需要保护的数据
[XIAN-acl-adv-3001]quit

[XIAN]ipsec  proposal xian //创建安全提议,名称“xian”
[XIAN-ipsec-proposal-xian]esp encryption-algorithm aes-128
[XIAN-ipsec-proposal-xian]esp authentication-algorithm  sha2-256
[XIAN-ipsec-proposal-xian]quit

[XIAN]ipsec policy xian 10 manual //创建IPsec策略,名称xian,编号10
[XIAN-ipsec-policy-manual-xian-10]security  acl 3001 //调用安全策略
[XIAN-ipsec-policy-manual-xian-10]proposal xian //调用安全提议
[XIAN-ipsec-policy-manual-xian-10]tunnel  remote 1.1.1.1 //设置隧道终点IP
[XIAN-ipsec-policy-manual-xian-10]tunnel local  2.2.2.1 //设置隧道起点IP 
[XIAN-ipsec-policy-manual-xian-10]sa spi inbound  esp 54321 //SPI密钥,和总部密钥相反
[XIAN-ipsec-policy-manual-xian-10]sa  spi  outbound  esp 12345//SPI密钥,和总部密钥相反

[XIAN-ipsec-policy-manual-xian-10]sa string-key  inbound  esp cipher huawei.com
[XIAN-ipsec-policy-manual-xian-10]sa string-key  outbound  esp  cipher  huawei.com
[XIAN-ipsec-policy-manual-xian-10]quit

[XIAN]interface GigabitEthernet 0/0/0 //出口下调用IPsec策略
[XIAN-GigabitEthernet0/0/0]ipsec  policy xian
[XIAN-GigabitEthernet0/0/0]quit
[XIAN]

テスト

 パケットキャプチャテスト

 

おすすめ

転載: blog.csdn.net/NeverGUM/article/details/113839751
おすすめ
ランキング
[データベース] H2 DateBaseの使用を拡大します
この世界を行い、あなたは人々が軽蔑与えます
2109-Docker课上问题总结
nuxコマンドの概要sedコマンドの詳細な説明
関係図、資本図の開発
ログアウトし、すべて閉じブラウザ/タブを閉じます
プログラミングの基礎再テストアサルト
Camera Calibration in Computer Vision Algorithms
人工知能: あなたのための未来の仕事
検証メソッドpublic抽象...異常原因と解決のためのクエリに失敗しました:JavaのJPAは、java.lang.IllegalArgumentExceptionが報告しました
アーカイブ
もっと
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)
2024-04-28(12)
2024-04-27(29)
2024-04-26(22)
2024-04-25(31)
2024-04-24(30)
2024-04-23(31)

コードワールド

© 2018 codetd.com