争怎路由网:是一个主要分享无线路由器安装设置经验的网站,汇总WiFi常见问题的解决方法。

29、中小型企业网络对接、双链路冗余、策略路由与NAT的影响

时间:2024/11/21作者:未知来源:争怎路由网人气:


路由器配置VPN,实现财务部门互访,并且AP能够正常关联到总部AC。

3.1、创建环回口
[GW]interface lo0
[GW-LoopBack0]ip address 2.2.2.2 32
说明:该地址是与总部建立Tunnel用的

3.2 定义IKE peer
[GW]ike peer to-center1
[GW-ike-peer-to-center]pre-shared-key simple ccieh3c.taobao.com
[GW-ike-peer-to-center1]remote-address 202.100.1.2
说明:定义了一个策略去往总部,Proposal使用默认的。

3.3 定义IPSEC Proposal
[GW]ipsec proposal to-center
说明:使用默认策略即可

3.4 定义感兴趣流量
[GW]acl number 3000
[GW-acl-adv-3000]rule permit gre source 2.2.2.2 0 destination 1.1.1.1 0
说明:定义GRE的流量为感兴趣流量

3.5定义ipsec policy

[GW]ipsec policy to_center 1 isakmp
[GW-ipsec-policy-isakmp-to_center-1]ike-peer to-center1
[GW-ipsec-policy-isakmp-to_center-1]security acl 3000
[GW-ipsec-policy-isakmp-to_center-1]proposal to-center
说明:用Ipsec Policy模板关联策略。

3.6 定义Tunnel接口
[GW]interface Tunnel 0
[GW-Tunnel0]source lo0
[GW-Tunnel0]destination 1.1.1.1
[GW-Tunnel0]ip address 10.1.1.2 30
说明:定义Tunnel接口,源为自己环回口,目的为总部的环回口

3.7 定义OSPF
[GW]ospf 1 router-id 2.2.2.2
[GW-ospf-1]area 0
[GW-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0
说明:开启OSPF功能

3.8 定义路由过滤
[GW]ip ip-prefix import_static permit 172.16.4.0 24
[GW]ip ip-prefix import_static permit 172.16.1.0 24

[GW]route-policy import-staic-filter permit node 10
[GW-route-policy]if-match ip-prefix import_static

[GW]route-policy import-conn-filter permit node 10
[GW-route-policy]if-match ip-prefix import_static
说明:路由过滤调用,只允许172.16.4.0与1.0通过

[GW]ospf 1
[GW-ospf-1]import-route static route-policy import-static-filter
[GW-ospf-1]import-route direct route-policy import-conn-filter
重分布进OSPF

3.9 调用VPN在Dialer接口
[GW]interface Dialer 1
[GW-Dialer1]ipsec policy to_center
说明:这里在拨号接口调用VPN,而不是物理接口。

【总部IPSEC配置回顾】 IPSEC VPN部署

(1)为什么需要部署Gre Over ipsec
说明:VPN的需求其实非常简单,就是与分部进行安全的访问,当然只允许财务部之间的互访【这个根据需求决定】,这路需要注意,除了这个以外,还有无线AP需要注册到总部来,这个需要通过VPN进行加密连接,但是这里总部是固定IP,而分部则是PPPOE拨号,这个只能通过动态策略模板来进行部署。所以这里需要实施 Gre Over ISPEC。

(2)IKE 对等体配置
[USG-GW]ike peer to-branch
[USG-GW-ike-peer-to-branch]pre-shared-key ccieh3c.taobao.com
[USG-GW-ike-peer-to-branch]undo version 2

(3)IPSEC策略配置
[USG-GW]ipsec proposal to-branch

不需要配置策略 ,默认有md5、des、esp-tunne,当然可以根据自己需求定义。

(4)定义感兴趣流量
[USG-GW]acl number 3004
[USG-GW-acl-adv-3004]rule permit gre source 1.1.1.1 0 destination 2.2.2.2 0
说明:该ACL定义的是GRE的流量,但是匹配有些特殊,该说明在后续说明。

(5)动态policy VPN模板
[USG-GW]ipsec policy-template dyl2l 1000
[USG-GW-ipsec-policy-template-dyl2l-1000]security acl 3004
[USG-GW-ipsec-policy-template-dyl2l-1000]ike-peer to-branch
[USG-GW-ipsec-policy-template-dyl2l-1000]proposal to-branch

(6)静态Policy关联动态Policy vpn
[USG-GW]ipsec policy vpn 999 isakmp template dyl2l
说明:静态Policy关联动态 Policy的VPN,之前定义过L2TP OVER IPSEC,所以这里只需要关联即可

(7)接口调用
说明:接口已经调用之前的L2TP,所以不需要管理。

(8)Tunnel接口配置
[USG-GW]interface lo0
[USG-GW-LoopBack0]ip address 1.1.1.1 32

[USG-GW]interface Tunnel 0
[USG-GW-Tunnel0]tunnel-protocol gre
[USG-GW-Tunnel0]ip address 10.1.1.1 30
[USG-GW-Tunnel0]source lo0
[USG-GW-Tunnel0]destination 2.2.2.2
说明:Tunnel接口的定义与平时的配置不一样,平时都是通过公网地址进行配置,但是由于分支是PPPOE环境,所以这里并不能明确指定,所以这里利用一个特性,两边各自建立一个Loopback接口,然后通过GRE的流量来触发VPN的建立,这里形成一个 变相的 Gre over ipsec的现象,这个可以在后续看到现象的时候在分析。

(9)新建Zone,加入对应接口
[USG-GW]firewall zone name gre
[USG-GW-zone-gre]set priority 35
[USG-GW-zone-gre]add interface Tunnel 0

(10)放行VPN到内网的流量,双向
[USG-GW]firewall packet-filter default permit interzone trust gre

(11)VPN需要放行的流量
说明:之前已经放行了L2TP与IPSEC IKE的,所以这里还需要放行一个GRE,因为GRE的流量默认也是拒绝的。
[USG-GW]policy interzone local isp_dx inbound
[USG-GW-policy-interzone-local-isp_dx-inbound]policy 0
[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy service service-set gre
[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy destination 1.1.1.1 0

[USG-GW]policy interzone local isp_lt inbound
[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0
[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy service service-set gre
[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 1.1.1.1 0

说明:该策略之前已经定义好了,只需要增加一个GRE协议进去,另外也是允许访问1.1.1.1,因为要协商GRE。

(12)运行OSPF
说明:在Tunnel中建议跑OSPF协议,当然静态路由也是可以的,但是不方便收敛,而且OSPF可以实现负载均衡效果,因为总部部署的是双ISP。
[USG-GW]ospf 1 router-id 1.1.1.1
[USG-GW-ospf-1]area 0
[USG-GW-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
说明:允许OSPF,保证在Tunnel中双方建立OSPF邻居,在安全的隧道中传输数据。

(13)只允许分支看到指定的路由【也就是需要加密通信的】
说明:在该需求中,我们只需要财务部门之间进行互访,另外分支AP可以正常的注册到AC上面来,所以我们希望的是,双方只看到各自需要的路由,这样只对这些流量加密,其余的则不加密。

静态路由定义
[USG-GW]ip route-static 192.168.21.0 24 192.168.100.254
[USG-GW]ip route-static 192.168.1.251 32 192.168.100.254

[USG-GW]ip ip-prefix import_static permit 192.168.21.0 24
[USG-GW]ip ip-prefix import_static permit 192.168.1.251 32

[USG-GW]route-policy ospf-filter-routing permit node 10
[USG-GW-route-policy]if-match ip-prefix import_static

[USG-GW]ospf 1
[USG-GW-ospf-1]import-route static route-policy import_static
说明:这样的话,当OSPF建立邻居后,对方只会收到这2条静态路由,为了防止 以外的话,做个route-map,里面用ACL匹配只允许这2条进去,这样的好处就是防止以后如果添加了其他静态路由的话,对方也收不到

3.10 测试结果
3.10.1 :IKE协商sa查看


3.10.2 OSPF邻居查看


可以看到双方已经成功建立OSPF邻居。

3.10.3 OSPF路由查看

可以看到双方都学到了需要的流量,USG端只需要知道怎么去对方的财务部,并且与AP的管理流量。而分支这边学到了总部这边的财务与AC的地址。

财务部之间互访测试

为财务部的地址进行访问分部的

可以看到是可以相互访问的。

加解密的数据包

可以看到加密数据包一直在增加。

双链路VPN部署【高可用性,包含总部与分部】

说明:在该项目中,可以看到总部是有双线路出口的,也就是说,分支可以跟VPN建立两条链路的VPN,这样的话无论总部哪一条链路出现故障,还能保证VPN的继续使用,而之前的 部署中,只部署了与电信建立VPN,而联通的链路是空闲的,所以这里我们还需要部署与联通建立另外一条链路。

4.2 与主线链路建立VPN【已经建立成功】

4.3 与联通建立另外一条 VPN链路
说明:与总部联通链路建立VPN,必须跟电信的链路一样,在各自创建一个Tunnel接口,来保证双方可以正常建立VPN,与OSPF邻居建立。

4.3.1 总部VPN配置

(1)Loopback口建立
[USG-GW]int lo 1
[USG-GW-LoopBack1]ip address 1.1.1.2 32

(2)IKE策略与IPSEC Proposal
说明:可以直接引用之前的策略配置,因为这个是一样的,可以重复定义。

(3)感兴趣流量 ACL定义
[USG-GW]acl number 3005
[USG-GW-acl-adv-3006]rule 1 permit gre source 1.1.1.2 0 destination 2.2.2.1 0
说明:这里定义了感兴趣流量依然是另外一个环回接口到,分支的另外一个环回接口的流量,走VPN。

(4)动态ipsec policy部署
[USG-GW]ipsec policy-template lt 1000
[USG-GW-ipsec-policy-template-lt-1000]security acl 3005
[USG-GW-ipsec-policy-template-lt-1000]ike-peer to-branch
[USG-GW-ipsec-policy-template-lt-1000]proposal to-branch
说明:动态模板调用了之前的IKE策略与Proposal策略,还调用了感兴趣流量

(5)静态ipsec 关联 动态模板
[USG-GW]ipsec policy vpn_lt 1000 isakmp template lt

(6)调用在出接口
[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_lt

(7) 创建Tunnel接口
[USG-GW]interface Tunnel 1
[USG-GW-Tunnel1]tunnel-protocol gre
[USG-GW-Tunnel1]source LoopBack 1
[USG-GW-Tunnel1]destination 2.2.2.1
[USG-GW-Tunnel1]ip address 10.1.1.5 30

(8)把接口加入zone
[USG-GW]firewall zone gre
[USG-GW-zone-gre]add interface Tunnel 1

(9)策略放行
说明:之前已经把策略放行过了,所以这里不需要再次放行。

(10)VPN需要放行的流量
[USG-GW]policy interzone local isp_lt inbound
[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0
[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 1.1.1.2 0
说明:这里必须放行GRE建立的流量,否则GRE通信不了,导致OSPF邻居建立不了。

(11)OSPF运行与路由策略
[USG-GW]ospf 1
[USG-GW-ospf-1]area 0
[USG-GW-ospf-1-area-0.0.0.0]network 10.1.1.5 0.0.0.0
说明:只需要直接宣告即可,路由策略之前已经调用过了

(12)调用在接口
[USG-GW]int g0/0/2
[USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_lt

4.3.2 分部VPN部署【连总部接联通链路】

(1)定义ike peer
[GW]ike peer to-center2
[GW-ike-peer-to-center2]remote-address 61.128.1.2
[GW-ike-peer-to-center2]pre-shared-key simple ccieh3c.taobao.com
说明:分部是需要定义另外一个策略的,去联通的地址

(2)ipsec Proposal
说明:这里引用之前定义的策略即可。

(3)创建环回口
[GW]interface lo1
[GW-LoopBack1]ip address 2.2.2.1 32

(4)创建Tunnel接口
[GW]interface Tunnel 1
[GW-Tunnel1]source lo1
[GW-Tunnel1]destination 1.1.1.2
[GW-Tunnel1]ip address 10.1.1.6 30

(5)感兴趣流量定义
[GW]acl number 3001
[GW-acl-adv-3001]rule permit gre source 2.2.2.1 0 destination 1.1.1.2 0

(6)定义ipsec policy
[GW]ipsec policy to_center 2 isakmp
[GW-ipsec-policy-isakmp-to_center-2]security acl 3001
[GW-ipsec-policy-isakmp-to_center-2]ike-peer to-center2
[GW-ipsec-policy-isakmp-to_center-2]proposal to-center

(7)调用在拨号接口

OSPF宣告以及路由策略
[GW]ospf 1
[GW-ospf-1]area 0
[GW-ospf-1-area-0.0.0.0]network 10.1.1.6 0.0.0.0

说明:加入宣告即可,路由策略在之前已经做过了。

4.3.3 测试VPN建立

说明:在USG上面可以看到有一个IPSEC VPN测试建立,而H3C这边的路由,则有2个。说明VPN是建立成功的。

可以看到,邻居只建立了一个,还是之前的邻居。在通常情况下可以有2个邻居的。

这里的原因是USG防火墙上面,把对于同一个源地址,建立的2条VPN链路看成一条,所以默认情况下,只能从最先建立的VPN使用,另外一条做备用状态。

主备切换测试

把USG的主接口shutdown掉后。

可以看到提示,之前的接口已经down了,而这个新的邻居已经建立


说明:可以看到该类型只能实现主备复用,而不能支持同时建立,负载均衡的情况,这是USG特性的限制,所以也没什么办法,如果是思科的话,是肯定支持的。

4.3.4 总部与分部VPN全部配置,以及建立VPN的过程思路总结

总部VPN配置部分【附带注释】
(1)ike peer配置部分

ike peer to-branch
pre-shared-key ccieh3c.taobao.com
undo version 2
说明:这里与分别的密钥同步即可,另外注意关闭ike的version 2

(2)ipsec Proposal部分
ipsec proposal to-branch
说明:有默认配置,可以不需要配置,根据自己需求来决定

(3)感兴趣流量部分
acl number 3004 【用于电信】
rule 5 permit gre source 1.1.1.1 0 destination 2.2.2.2 0
#
acl number 3005【用于网通】
rule 1 permit gre source 1.1.1.2 0 destination 2.2.2.1 0
说明:一个用于电信做Tunnel的,一个个联通做Tunnel的,要区分开来。

(4)动态ipsec 策略模板
ipsec policy-template dx 999
security acl 3004
ike-peer to-branch
proposal to-branch
#
ipsec policy-template lt 1000
security acl 3005
ike-peer to-branch
proposal to-branch
说明:由于分别是PPPOE这样的动态方式拨入的,所以IP地址并不明确,所以我们需要定义动态模板来实现接入。

(5)静态ipsec 策略

ipsec policy vpn_dx 1000 isakmp template dx
#
ipsec policy vpn_lt 1000 isakmp template lt
说明:由于动态的策略是不能定义在接口下的,所以必须用静态的关联,然后调用在接口下,然后一个静态模板只能关联一个动态模板,当然高版本的系统支持多个。

(6)接口调用
这里就不在给出了,电信的调用在电信的接口,联通的调用在联通的接口即可

(7)Tunnel接口配置
interface Tunnel0
tunnel-protocol gre
ip address 10.1.1.1 255.255.255.252
source 1.1.1.1
destination 2.2.2.2

interface Tunnel1
tunnel-protocol gre
ip address 10.1.1.5 255.255.255.252
source 1.1.1.2
destination 2.2.2.1
说明:该类型主要是与对方建立2个Tunnel,用来做OSPF建立等,因为默认情况下VPN是不支持组播与广播的。还需要注意的地方就是,默认情况下USG是没有封装的,所以注意封装为GRE

(8) Tunnel接口加入Zone,与策略放行
firewall zone name gre
set priority 35
add interface Tunnel0
add interface Tunnel1

firewall packet-filter default permit interzone trust gre
说明:这里必须加入Zone,接口才能正常运行,另外需要放行trust与gre的双向流量,这样的话VPN的流量就可以访问了,而且也不影响内部网络访问外网的策略。

(9)VPN需要放行的流量

policy interzone local isp_dx inbound 【用于电信的策略】
policy 0
action permit
policy service service-set udp
policy service service-set esp
policy service service-set l2tp
policy service service-set gre
policy destination 1.1.1.1 0
policy destination 202.100.1.2 0

policy interzone local isp_lt inbound 【用于联通的策略】
policy 0
action permit
policy service service-set udp
policy service service-set esp
policy service service-set l2tp
policy service service-set gre
policy destination 61.128.1.2 0
policy destination 1.1.1.2 0
说明:这里电信的策略里面,放行了UDP ESP L2TP与GRE,这些都是需要明确放行的,因为默认情况下USG是拒绝的,不处理这些数据包,不放行的话,导致VPN的建立与数据传输有问题,而目的地址指定是因为GRE的建立需要放行这个流量通过,否则GRE通信不了,导致OSPF建立不了。联通也是一样。

(10)OSPF的配置
ip route-static 192.168.1.251 255.255.255.255 192.168.100.254
ip route-static 192.168.21.0 255.255.255.0 192.168.100.254

ip ip-prefix import_static index 10 permit 192.168.21.0 24
ip ip-prefix import_static index 20 permit 192.168.1.251 32

route-policy ospf-filter-routing permit node 10
if-match ip-prefix import_static

ospf 1 router-id 1.1.1.1
import-route static route-policy import_static
area 0.0.0.0
network 10.1.1.1 0.0.0.0
network 10.1.1.5 0.0.0.0
说明:路由协议的运用使得双方建立了动态路由协议,当然我们并不希望所有的流量都可以访问,所以这里必须定义一个路由过滤来允许我们希望给对方的路由,其余的则不发送。

分部VPN配置部分【附带注释】
(1)ike peer配置部分
ike peer to-center1
pre-shared-key simple ccieh3c.taobao.com
remote-address 202.100.1.2
#
ike peer to-center2
pre-shared-key simple ccieh3c.taobao.com
remote-address 61.128.1.2
#
说明:一个用来与电信建立VPN,另外一个与联通的链路建立

(2)ipsec proposal 配置
ipsec proposal to-center
说明:这个可以通用的,而且有默认策略,所以不需要建立多个,安全策略可以根据自己需求定义。

(3)感兴趣流量配置
acl number 3000
rule 5 permit ip source 2.2.2.2 0 destination 1.1.1.1 0
acl number 3001
rule 0 permit gre source 2.2.2.1 0 destination 1.1.1.2 0
说明:一个ACL用于电信用的VPN,另外一个用于联通的VPN

(4)ipsec 策略配置部分
ipsec policy to_center 1 isakmp
security acl 3000
ike-peer to-center1
proposal to-center
#
ipsec policy to_center 2 isakmp
security acl 3001
ike-peer to-center2
proposal to-center
说明:该策略绑定了之前定义的策略,一个用于电信VPN建立,另外用于联通VPN建立

(5)拨号接口调用

两边路由的说明
说明:在实际工作中,一般直接默认路由指向出口ISP即可,这样既可以包含VPN的流量,也包含访问Internet的流量。[/v_act]

4.3.5分析VPN建立过程,以及整个VPN实现的效果

说明:可以看到VPN的配置有几个特殊支持,1、Tunnel接口的配置,不是以公网接口作为源目,而是定义了两对环回口作为各自Tunnel的源与目,这主要是因为分支机构那边没有固定IP地址,所以根本不能明确指定对方的IP,所以这里用私网地址用来固定双方地址,如果建立GRE成功,那么就得依靠VPN了。 2、ACL的定义,正常情况下,gre over ipsec的建立,ACL定义则以双方公网地址的gre流量为感兴趣流量,但是这里定义的却为私网地址定义的,这是为了能够触发VPN流量的建立。

(1)这里VPN的建立,主要依靠OSPF周期性的发送数据包用来与地方建立邻居,由于是Tunnel接口,所以要封装GRE,源IP为:2.2.2.2,目的地址为:1.1.1.1

关键词:29、中小型企业网络对接、双链路冗余、策略路由与NAT的影响




Copyright © 2012-2018 争怎路由网(http://www.zhengzen.com) .All Rights Reserved 网站地图 友情链接

免责声明:本站资源均来自互联网收集 如有侵犯到您利益的地方请及时联系管理删除,敬请见谅!

QQ:1006262270   邮箱:kfyvi376850063@126.com   手机版