Realisierungseffekt:
1. Die Zentrale und die Niederlassungen verfügen über feste IP-IPsec-VPN-Verbindungen. Die Netzwerksegmente 192.168.10.0 bis 192.168.20.0 und 192.168.30.0 können aufeinander zugreifen und auf das Internet zugreifen. Die VPN-Ausrüstung der Zentrale wird am Core-Switch umgangen und führt NAT-Traversal auf dem Egress-Router durch.
2. Der gegenseitige Zugriff zwischen den Filialen wird durch das VPN der Zentrale umgangen.
Konfiguration des AR1-Ausgangsrouters für den Hauptsitz:
dis aktuelle-Konfiguration
[V200R003C00]
ACL-Nummer 3000
Regel 5 IP-Quelle 192.168.10.0 0.0.0.255 verweigern Ziel 192.168.20.0 0.0.0.255
// VPN-Netzwerksegment entfernen erste
Regel 10 IP-Quelle 192.168.10.0 0.0.0.255 verweigern Ziel 192.168.30.0 0.0.0 .255
/ /Entfernen Sie zuerst das VPN-Netzwerksegment.
Regel 15 erlaubt IP-Quelle 192.168.10.0 0.0.0.255 //Um auf das externe Netzwerk zuzugreifen.
Regel 20 erlaubt IP-Quelle 172.16.0.0 0.0.0.255 //Um auf das externe Netzwerk zuzugreifen, müssen Sie sicherstellen, dass das VPN Der Host kann auf das öffentliche Netzwerk zugreifen
Schnittstelle GigabitEthernet0/0/0 //Zwei VPN-Traversal-Ports freigeben.
IP-Adresse 1.1.1.2 255.255.255.0
nat Server Protocol UDP Global Current-Interface 4500 Inside 172.16.0.2 4500
Nat Server Protocol UDP Global Current-Interface 500 Inside 172.16 .0.2 500
Nat ausgehend 3000
Schnittstelle GigabitEthernet0/0/1
IP-Adresse 10.0.0.1 255.255.255.0
IP Route-Static 0.0.0.0 0.0.0.0 1.1.1.1
IP Route-Static 172.16.0.0 255.255.255.0 10.0.0.2
IP Route-Static 192.168.10.0 255.255.255.0 10.0.0.2
Konfiguration des Hauptquartier-Core-Switches:
DHCP aktivieren
Schnittstelle Vlanif10
IP-Adresse 192.168.10.1 255.255.255.0
DHCP-Schnittstelle auswählen
Schnittstelle Vlanif100
IP-Adresse 172.16.0.1 255.255.255.0
Schnittstelle Vlanif999
IP-Adresse 10.0.0.2 255.255.255.0
Schnittstelle MEth0/0/1
Schnittstelle GigabitEthernet0/0/1
Port Link-Typ-Zugriffsport
Standard-VLAN 100
Schnittstelle GigabitEthernet0/0/2-
Port Link-Typ-Zugriffsport
Standard-VLAN 999
Schnittstelle GigabitEthernet0/0/3
Port Link-Typ-Zugriffsport
Standard-VLAN 10
ip route-static 192.168.30.0 255.255.255.0 172.16.0.2 // Leiten Sie das Netzwerksegment für den Zugriff auf das VPN vom internen Netzwerk zum VPN weiter.
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 // Mit dem externen Netzwerk verbinden
ip route-static 192.168.20.0 255.255.255.0 172.16.0.2 // Leiten Sie das Netzwerksegment des internen Netzwerks an, um über das VPN auf das VPN zuzugreifen
Alle drei Firewall-Richtlinien sind ohne Einschränkungen zulässig.
Konfiguration des Hauptquartiers FW1:
ACL-Nummer 3000
Regel 5 erlaubt IP-Quelle 192.168.10.0 0.0.0.255 Ziel 192.168.20.0 0.0.0.255
Regel 10 erlaubt IP-Quelle 192.168.30.0 0.0.0.255 Ziel 192.168.20.0 0.0.0.255
ACL-Nummer 3001
Regel 5 erlaubt IP-Quelle 192.168.10.0 0.0.0.255 Ziel 192.168.30.0 0.0.0.255
Regel 10 erlaubt IP-Quelle 192.168.20.0 0.0.0.255 Ziel 192.168.30.0 0.0.0.255
IPSec-Vorschlag prop27111711204
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256
IPSec-Vorschlag Prop28111045368
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256
Ike-Vorschlag Standard
-Verschlüsselungsalgorithmus AES-256 AES-192 AES-128
Dh Group14
Authentifizierungsalgorithmus Sha2-512 Sha2-384 Sha2-256
Authentifizierungsmethode Pre-Share-
Integritätsalgorithmus Hmac-Sha2-256
PRF Hmac-Sha2-256
Ike-Vorschlag 1
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256
Ike-Vorschlag 2
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256
ike peer ike271117112046
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 1
Remote-ID-Typ IP
Remote-ID 2.2.2.1
Lokale ID 1.1.1.2
DPD-Typ Periodisch
Remote-Adresse 2.2.2.1
ike peer ike281110453684
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 2
Remote-ID-Typ IP
Remote-ID 3.3.3.1
Lokale ID 1.1.1.2
DPD-Typ Periodisch
Remote-Adresse 3.3.3.1
IPSec-Richtlinie IPsec2711171120 1 ISAKMP-
Sicherheit ACL 3000
Ike-Peer Ike271117112046
Vorschlag Prop27111711204
Tunnel Local Applied-Interface-
Alias zu GZ
SA-Triggermodus Automatisch
SA-Dauer verkehrsbasiert 10485760
SA-Dauer zeitbasiert 3600
IPSec-Richtlinie IPsec2711171120 2 ISAKMP-
Sicherheit ACL 3001
Ike-Peer Ike281110453684
Vorschlag Prop28111045368
Tunnel Local Applied-Interface-
Alias to-SZ
SA Trigger-Modus Automatisch
SA-Dauer verkehrsbasiert 10485760
SA-Dauer zeitbasiert 3600
Schnittstelle GigabitEthernet1/0/0
Rückgängigmachen des Herunterfahrens
IP-Adresse 172.16.0.2 255.255.255.0
Dienstverwaltung Ping-Zulassung
IPSec-Richtlinie IPSec2711171120
Firewall-Zone lokal,
Priorität 100 festlegen
Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/0
Firewall-Zone nicht vertrauenswürdig,
Priorität 5 festlegen
Firewall-Zone dmz
setzt Priorität 50
IP-Route-Statik 0.0.0.0 0.0.0.0 172.16.0.1
IP-Route-Statik 192.168.10.0 255.255.255.0 172.16.0.1
WEB-Konfiguration von FW1:
2, einer geht zu sz, einer geht zu gz
Um sicherzustellen, dass die beiden Niederlassungen über den Hauptknoten kommunizieren können, müssen zum Hinzufügen dieses Netzwerksegments beide VPNs hinzugefügt werden:
FW2-Konfiguration:
ACL-Nummer 3000
Regel 5 IP-Quelle zulassen 192.168.20.0 0.0.0.255 Ziel 192.168.10.0 0.0.0.255
Regel 10 IP-Quelle zulassen 192.168.20.0 0.0.0.255 Ziel 192.168.30.0 0.0.0.255
Regel 15 verweigern IP-Quelle 192.168.20.0 0.0.0.255 Ziel 192.168.10.0 0.0.0.255
IPSec-Vorschlag prop27111785448
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256
Ike-Vorschlag Standard
-Verschlüsselungsalgorithmus AES-256 AES-192 AES-128
Dh Group14
Authentifizierungsalgorithmus Sha2-512 Sha2-384 Sha2-256
Authentifizierungsmethode Pre-Share-
Integritätsalgorithmus Hmac-Sha2-256
PRF Hmac-Sha2-256
Ike-Vorschlag 1
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256
ike peer ike271117854480
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 1
Remote-ID-Typ IP
Remote-ID 1.1.1.2
Lokale ID 2.2.2.1
DPD-Typ periodisch
Remote-Adresse 1.1.1.2
IPSec-Richtlinie IPsec2711178542 1 ISAKMP-
Sicherheit ACL 3000
Ike-Peer Ike271117854480
Vorschlag Prop27111785448
Tunnel Local Applied-Interface-
Alias to-zongbu SA
Trigger-Modus Automatisch SA
-Dauer verkehrsbasiert 10485760 SA
-Dauer zeitbasiert 3600
Schnittstelle GigabitEthernet1/0/0
Herunterfahren rückgängig machen
IP-Adresse 192.168.20.1 255.255.255.0
DHCP-Schnittstelle auswählen
Schnittstelle GigabitEthernet1/0/1
Rückgängigmachen des Herunterfahrens
IP-Adresse 2.2.2.1 255.255.255.0
Dienstverwaltung Ping-Zulassung
IPSec-Richtlinie IPSec2711178542
Schnittstelle GigabitEthernet1/0/6
Herunterfahren rückgängig machen
Firewall-Zone lokal,
Priorität 100 festlegen
Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/0
Firewall-Zone nicht vertrauenswürdig,
Priorität 5 festlegen,
Schnittstelle GigabitEthernet1/0/1 hinzufügen
Firewall-Zone dmz
setzt Priorität 50
IP Route-Static 0.0.0.0 0.0.0.0 2.2.2.2
Sicherheitsrichtlinien-
Standardaktionserlaubnis
richtlinienbasierte Route
nat-policy
Regelname VPN
Quellzone Vertrauen Zielzone
Untrust
Quelladresse 192.168.20.0 Maske 255.255.255.0
Zieladresse 192.168.10.0 Maske 255.255.255.0
Zieladresse 192.168.30.0 Maske 255.255.255.0
Aktion No-Nat-
Regelname Internet
Quellzone Vertrauen
Zielzone Untrust
Aktion Quelle-Nat Easy-IP
WEB-Konfiguration von FW2:
Der letzte muss manuell zum Netzwerksegment hinzugefügt werden, das zu sz führt.
NAT-Konfiguration:
Das VPN, das kein NAT macht, muss oben platziert werden.
Dasjenige, das zu sz geht, muss ebenfalls hinzugefügt werden. Insgesamt gibt es zwei Netzwerksegmente.
Das NAT für das externe Netzwerk
Im Bild wird die VPN-Richtlinie nicht in NAT konvertiert und als erste oben platziert, und die Internet-NAT-Richtlinie wird als zweite platziert.
Nachdem die Internet-NAT-Konfiguration abgeschlossen ist, gibt es eine zusätzliche Adresse, die nicht verschlüsselt ist:
FW3-Konfiguration:
ACL-Nummer 3000
Regel 5 erlaubt IP-Quelle 192.168.30.0 0.0.0.255 Ziel 192.168.10.0 0.0.0.255
Regel 10 erlaubt IP-Quelle 192.168.30.0 0.0.0.255 Ziel 192.168.20.0 0.0.0.255
IPSec-Vorschlag prop28111041145
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256
Ike-Vorschlag Standard
-Verschlüsselungsalgorithmus AES-256 AES-192 AES-128
Dh Group14
Authentifizierungsalgorithmus Sha2-512 Sha2-384 Sha2-256
Authentifizierungsmethode Pre-Share-
Integritätsalgorithmus Hmac-Sha2-256
PRF Hmac-Sha2-256
Ike-Vorschlag 1
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256
ike peer ike281110411459
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 1
Remote-ID-Typ IP
Remote-ID 1.1.1.2
Lokale ID 3.3.3.1
DPD-Typ periodisch
Remote-Adresse 1.1.1.2
IPSec-Richtlinie IPsec2811104114 1 ISAKMP-
Sicherheit ACL 3000
Ike-Peer Ike281110411459
Vorschlag Prop28111041145
Tunnel Local Applied-Interface-
Alias zu BJ SA
-Triggermodus Automatisch
SA-Dauer verkehrsbasiert 10485760
SA-Dauer zeitbasiert 3600
Schnittstelle GigabitEthernet0/0/0
Herunterfahren rückgängig machen
IP-Bindung VPN-Instanz Standard-
IP-Adresse 10.1.1.10 255.255.255.0
Alias GE0/METH
Dienstverwaltung https-Zulassung
Schnittstelle GigabitEthernet1/0/1
Herunterfahren rückgängig machen
IP-Adresse 192.168.30.1 255.255.255.0
Service-Verwaltung Ping Erlaubnis
DHCP Schnittstelle auswählen
Schnittstelle Virtual-if0
Schnittstelle NULL0
Firewall-Zone lokal,
Priorität 100 festlegen
Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/1
Firewall-Zone nicht vertrauenswürdig,
Priorität 5 festlegen,
Schnittstelle GigabitEthernet1/0/0 hinzufügen
Firewall-Zone dmz
setzt Priorität 50
IP Route-Static 0.0.0.0 0.0.0.0 3.3.3.3
Sicherheitsrichtlinien-
Standardaktionserlaubnis
nat-policy
Regelname to-vpn
Quellzone vertrauen
Zielzone nicht vertrauenswürdig
Quelladresse 192.168.30.0 Maske 255.255.255.0
Zieladresse 192.168.10.0 Maske 255.255.255.0
Zieladresse 192.168.20.0 Maske 255.255.255.0
Aktion no-nat
Regelname to-internet
Quellzone Vertrauen
Zielzone Untrust
Quelladresse 192.168.30.0 Maske 255.255.255.0
Aktion Quell-Nat Easy-IP
FW3-Webkonfiguration:
Das letzte Netzwerksegment muss manuell hinzugefügt werden
NAT-Konfiguration:
Identisch mit der GZ-Branch-Konfiguration