网络运维|L2TP和IPSec的结合来用
2020-06-15 22:35 作者:admin
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,在这里介绍下L2TP和IPSec结合使用的意义,网络安全运维,从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
应用OSPF的GRE隧道
内网设备要传输的某些数据公网设备不支持时,可配置GRE隧道来传输。当内网设备较多时可以在设备和内网设备之间配置动态路由,使用户端发送的报文由隧道传输。
组网需求
如图10-60所示,网络A和网络B通过USG_A和USG_B连接到Internet。
网络环境描述如下:
· USG_A和USG_B路由可达。
· USG_A和USG_B之间使用三层隧道协议GRE,实现网络A和网络B互联。
· PC1和PC2上分别指定USG_A、USG_B为自己的缺省网关。
· 启用动态路由协议OSPF。USG_A、USG_B的GRE隧道接口以及内网接口IP地址加入同一个OSPF进程。
图 配置应用OSPF的GRE隧道组网图
配置思路
对于USG_A和USG_B,配置思路相同。如下:
1. 完成接口基本配置。
2. 分别创建GRE隧道接口,并配置GRE隧道接口的IP地址、源地址和目的地址。
3. 开启本地策略和转发策略。
4. 将GRE隧道接口、内网接口加入到同一个OSPF进程。
操作步骤
· 配置USG_A。
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中,单击GE0/0/1对应的。
c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:trust
§ IP地址:10.1.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
d. 单击“应用”。
e. 在“接口列表”中,单击GE0/0/2对应的。
f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:untrust
§ IP地址:200.1.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
g. 单击“应用”。
2. 配置GRE隧道接口。
说明:
GRE隧道接口可以加入到任意一个安全区域。当GRE隧道接口和源端接口(源端地址所属的接口)不在同一安全区域中时,需要配置域间包过滤,使两个安全区域能够互相访问。
a. 选择“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,单击“新建”。
c. 配置GRE隧道接口参数。
3. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 配置Local安全区域和Untrust安全区域之间的安全策略。
. 选择“防火墙 > 安全策略 > 本地策略”。
i. 在“本地策略”中单击“新建”。配置如下参数:
§ 源安全区域:untrust
§ 源地址:200.10.1.0/24
§ 动作:permit
ii. 单击“应用”。
a. 配置Trust安全区域和Untrust安全区域之间的安全策略。
i. 选择“防火墙 > 安全策略 > 转发策略”。
ii. 在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:trust
§ 目的安全区域:untrust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 动作:permit
iii. 单击“应用”。
iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:untrust
§ 目的安全区域:trust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 动作:permit
v. 单击“应用”。
1. 将GRE隧道接口、内网接口加入到同一个OSPF进程。
a. 选择“路由 > 动态 > OSPF”。
b. 单击OSPF列表中的“新建”。
c. 新建OSPF进程,配置参数如下:
§ 进程ID:1
§ 路由器ID:200.1.1.1
其他配置项采用缺省值。
a. 单击OSPF进程1对应的,进入OSPF进程配置界面。
b. 在“OSPF进程ID:1”导航树中选择“基本配置 > 区域配置”。
c. 单击“新建”,新建区域。
d. 配置新建区域的参数如下:
§ 区域:0.0.0.0
§ 网段IP:10.1.1.0
§ 正/反掩码:0.0.0.255
其他配置项采用缺省值。
e. 单击“确定”。
f. 在“OSPF进程ID:1”导航树中选择“基本配置 > 网络配置”。
g. 单击“新建”,新建网段IP。
h. 配置新建网段的参数如下:
§ 区域:0.0.0.0
§ 网段IP:40.1.1.0
§ 正/反掩码:0.0.0.255
其他配置项采用缺省值。
i. 单击“确定”。
· 配置USG_B。
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中,单击GE0/0/1对应的。
c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:trust
§ IP地址:192.168.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
d. 单击“应用”。
e. 在“接口列表”中,单击GE0/0/2对应的。
f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:untrust
§ IP地址:200.10.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
g. 单击“应用”。
2. 配置GRE隧道接口。
说明:
GRE隧道接口可以加入到任意一个安全区域。当GRE隧道接口和源端接口(源端地址所属的接口)不在同一安全区域中时,需要配置域间包过滤,使两个安全区域能够互相访问。
a. 选择“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,单击“新建”。
c. 配置GRE隧道接口参数。
3. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 配置Local安全区域和Untrust安全区域之间的安全策略。
. 选择“防火墙 > 安全策略 > 本地策略”。
i. 在“本地策略”中单击“新建”。配置如下参数:
§ 源安全区域:untrust
§ 源地址:200.1.1.0/24
§ 动作:permit
ii. 单击“应用”。
a. 配置Trust安全区域和Untrust安全区域之间的安全策略。
i. 选择“防火墙 > 安全策略 > 转发策略”。
ii. 在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:trust
§ 目的安全区域:untrust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 动作:permit
iii. 单击“应用”。
iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:untrust
§ 目的安全区域:trust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 动作:permit
v. 单击“应用”。
1. 将GRE隧道接口、内网接口加入到同一个OSPF进程。
a. 选择“路由 > 动态 > OSPF”。
b. 单击OSPF列表中的“新建”。
c. 新建OSPF进程,配置参数如下:
§ 进程ID:1
§ 路由器ID:200.10.1.1
其他配置项采用缺省值。
a. 单击OSPF进程1对应的,进入OSPF进程配置界面。
b. 在“OSPF进程ID:1”导航树中选择“基本配置 > 区域配置”。
c. 单击“新建”,新建区域。
d. 配置新建区域的参数如下:
§ 区域:0.0.0.0
§ 网段IP:192.168.1.0
§ 正/反掩码:0.0.0.255
其他配置项采用缺省值。
e. 单击“确定”。
f. 在“OSPF进程ID:1”导航树中选择“基本配置 > 网络配置”。
g. 单击“新建”,新建网段IP。
h. 配置新建网段的参数如下:
§ 区域:0.0.0.0
§ 网段IP:40.1.1.0
§ 正/反掩码:0.0.0.255
其他配置项采用缺省值。
i. 单击“确定”。
结果验证
1. 配置完成后,从PC1 ping PC2,发现可以ping通。
2. 选择“路由 > 监控 > 路由表”,可以查看到到达对端网络的路由,使用的协议为OSPF,出接口为GRE隧道接口。
3. 分别在USG_A和USG_B上查看GRE隧道的建立情况。以USG_A为例。查看到有通过GRE隧道加封装和解封装的报文数,说明GRE隧道建立成功。如图10-63所示。
图10-63 查看USG_A的GRE隧道信息
以上文章由北京艾锑无限科技发展有限公司整理