配置两个网关之间通过IPSec VPN互联并通过总部IPSec网关进行NAT后上网

news2024/11/15 17:48:45

规格

适用于V200R002C00及更高版本、所有形态的AR路由器。

操作步骤
  1. 配置RouterA

    <span style="color:#333333"><span style="background-color:#dddddd">#  
     sysname RouterA 
    # 
    acl number 3000  
     rule 5 permit ip destination 10.1.2.0 0.0.0.255  
     rule 10 permit ip destination 10.1.3.0 0.0.0.255 
    # 
    ipsec proposal tran1                                                              
     esp authentication-algorithm sha2-256                                            
     esp encryption-algorithm aes-256    
    # 
    ike proposal 10  
     encryption-algorithm aes-256                                                     
     dh group14                                                                        
     authentication-algorithm sha2-256                                                
     authentication-method pre-share                                                  
     integrity-algorithm hmac-sha2-256                                                
     prf hmac-sha2-256  
    # 
    ike peer c  
     pre-shared-key %^%#0ljf5R_9LXP|Qe=WVA6-Y%'}%^%#  
     ike-proposal 10 
    #                                                                                
    ipsec policy-template temp 1  
     security acl 3000  
     ike-peer c  
     proposal tran1 
    # 
    ipsec policy map1 10 isakmp template temp 
    # 
    interface GigabitEthernet0/0/3  
     undo shutdown  
     ip address 10.1.1.1 255.255.255.0 
    # 
    interface GigabitEthernet0/0/1  
     undo shutdown  
     ip address 1.1.3.1 255.255.255.0  
     ipsec policy map1 
    # 
    firewall zone trust  
    set priority 85  
    add interface GigabitEthernet0/0/3 
    # 
    firewall zone untrust   
     set priority 5   
     add interface GigabitEthernet0/0/1 
    # 
    ip route-static 0.0.0.0 0.0.0.0 1.1.3.2 
    # 
    security-policy  
     rule name policy1   
      source-zone trust   
      destination-zone untrust   
      source-address 10.1.1.0 mask 255.255.255.0   
      destination-address 10.1.2.0 mask 255.255.255.0   
      destination-address 10.1.3.0 mask 255.255.255.0   
      action permit  
     rule name policy2   
      source-zone untrust   
      destination-zone trust   
      source-address 10.1.2.0 mask 255.255.255.0   
      source-address 10.1.3.0 mask 255.255.255.0   
      destination-address 10.1.1.0 mask 255.255.255.0   
      action permit  
     rule name policy3   
      source-zone local   
      destination-zone untrust   
      source-address 1.1.3.1 mask 255.255.255.255   
      action permit  
     rule name policy4   
      source-zone untrust   
      destination-zone local   
      destination-address 1.1.3.1 mask 255.255.255.255   
      action permit 
    # 
    nat-policy  
     rule name policy_nat1   
      source-zone trust   
      destination-zone untrust   
      source-address 10.1.1.0 mask 255.255.255.0   
      destination-address 10.1.2.0 mask 255.255.255.0   
      destination-address 10.1.3.0 mask 255.255.255.0   
      action no-nat  
     rule name policy_nat2   
      source-zone trust   
      source-zone untrust   
      destination-zone untrust   
      source-address 10.1.1.0 mask 255.255.255.0   
      source-address 10.1.2.0 mask 255.255.255.0   
      source-address 10.1.3.0 mask 255.255.255.0   
      action source-nat easy-ip 
    # 
    return</span></span>

  2. 配置RouterB

    <span style="color:#333333"><span style="background-color:#dddddd">#  
    sysname RouterB 
    # 
    acl number 3000  
     rule 5 permit ip source 10.1.2.0 0.0.0.255 
    # 
    ipsec proposal tran1                                                              
     esp authentication-algorithm sha2-256                                            
     esp encryption-algorithm aes-256    
    # 
    ike proposal 10  
     encryption-algorithm aes-256                                                     
     dh group14                                                                        
     authentication-algorithm sha2-256                                                
     authentication-method pre-share                                                  
     integrity-algorithm hmac-sha2-256                                                
     prf hmac-sha2-256  
    # 
    ike peer a  
     pre-shared-key %^%#St4#CBb9$L>G`5W(HV*BKTnm%^%#  
     ike-proposal 10  
     remote-address 1.1.3.1 
    #                                                                                
    ipsec policy map1 10 isakmp  
     security acl 3000  
     ike-peer a  
     proposal tran1 
    # 
    interface GigabitEthernet0/0/3  
     undo shutdown  
     ip address 10.1.2.1 255.255.255.0 
    # 
    interface GigabitEthernet0/0/1  
     undo shutdown  
     ip address 1.1.5.1 255.255.255.0  
     ipsec policy map1 
    # 
    firewall zone trust  
     set priority 85  
     add interface GigabitEthernet0/0/3 
    # 
    firewall zone untrust   
     set priority 5   
     add interface GigabitEthernet0/0/1 
    #  
    ip route-static 10.1.0.0 255.255.0.0 GigabitEthernet0/0/1 
    # 
    security-policy  
     rule name policy1   
      source-zone trust   
      destination-zone untrust   
      source-address 10.1.2.0 mask 255.255.255.0   
      destination-address 10.1.1.0 mask 255.255.255.0   
      destination-address 10.1.3.0 mask 255.255.255.0   
     action permit  
      rule name policy2   
      source-zone untrust   
      destination-zone trust   
      source-address 10.1.1.0 mask 255.255.255.0   
      source-address 10.1.3.0 mask 255.255.255.0   
      destination-address 10.1.2.0 mask 255.255.255.0   
     action permit  
      rule name policy3   
      source-zone local   
      destination-zone untrust   
      source-address 1.1.5.1 mask 255.255.255.255  
      destination-address 1.1.3.1 mask 255.255.255.255   
     action permit 
      rule name policy4   
      source-zone untrust   
      destination-zone local   
      source-address 1.1.3.1 mask 255.255.255.255   
      destination-address 1.1.5.1 mask 255.255.255.255   
      action permit 
    # 
    return</span></span>

  3. 配置RouterC

    <span style="color:#333333"><span style="background-color:#dddddd">#  
    sysname RouterC 
    # 
    acl number 3000  
     rule 5 permit ip source 10.1.3.0 0.0.0.255 
    # 
    ipsec proposal tran1                                                              
     esp authentication-algorithm sha2-256                                            
     esp encryption-algorithm aes-256    
    # 
    ike proposal 10  
     encryption-algorithm aes-256                                                    
     dh group14                                                                        
     authentication-algorithm sha2-256                                                
     authentication-method pre-share                                                  
     integrity-algorithm hmac-sha2-256                                                
     prf hmac-sha2-256  
    # 
    ike peer a  
     pre-shared-key %^%#LV|sQ=~fUQO:M$CeqaMEnwVD%^%#  
     ike-proposal 10  
     remote-address 1.1.3.1 
    #                                                                                
    ipsec policy map1 10 isakmp  
     security acl 3000  
     ike-peer a  
     proposal tran1 
    # 
    interface GigabitEthernet0/0/3  
     undo shutdown  
     ip address 10.1.3.1 255.255.255.0 
    # 
    interface GigabitEthernet0/0/1 /*configuration of obtaining IP*/  
     undo shutdown  
     ipsec policy map1 
    # 
    firewall zone trust  
     set priority 85  
     add interface GigabitEthernet0/0/3 
    # 
    firewall zone untrust  
     set priority 5   
     add interface GigabitEthernet0/0/1 
    #
    ip route-static 10.1.0.0 255.255.0.0 GigabitEthernet0/0/1 
    # 
    security-policy  
     rule name policy1   
      source-zone trust   
      destination-zone untrust   
      source-address 10.1.3.0 mask 255.255.255.0  
      destination-address 10.1.1.0 mask 255.255.255.0   
      destination-address 10.1.2.0 mask 255.255.255.0   
      action permit  
     rule name policy2   
      source-zone untrust   
      destination-zone trust   
      source-address 10.1.1.0 mask 255.255.255.0   
      source-address 10.1.2.0 mask 255.255.255.0   
      destination-address 10.1.3.0 mask 255.255.255.0   
      action permit  
     rule name policy3  
      source-zone local  
      destination-zone untrust   
      destination-address 1.1.3.1 mask 255.255.255.255   
      action permit  
     rule name policy4   
      source-zone untrust  
      destination-zone local   
      source-address 1.1.3.1 mask 255.255.255.255   
      action permit
    # 
    return</span></span>

  4. 验证配置结果。
    1. 配置完成后,PC1在任何时候都可以访问公网,可以ping通RouterB的1.1.5.1,同时在RouterA上可以查看NAT转换session表项。

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display firewall session table</strong>
       Current Total Sessions : 5
        icmp  VPN:public --> public 10.1.1.2:61251[1.1.3.1:2048]-->1.1.5.1:2048
        icmp  VPN:public --> public 10.1.1.2:62019[1.1.3.1:2049]-->1.1.5.1:2048
        icmp  VPN:public --> public 10.1.1.2:62275[1.1.3.1:2050]-->1.1.5.1:2048
        icmp  VPN:public --> public 10.1.1.2:62531[1.1.3.1:2051]-->1.1.5.1:2048
        icmp  VPN:public --> public 10.1.1.2:62787[1.1.3.1:2052]-->1.1.5.1:2048</span></span>

    2. PC2在任何时候可以访问到公网,可以ping通公网的IP地址(假设为1.1.6.1),同时在RouterA上可以查看NAT转换session表项。

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display firewall session table</strong> 
      Current Total Sessions : 5
        icmp  VPN:public --> public 10.1.2.2:61251[1.1.3.1:2053]-->1.1.6.1:2048
        icmp  VPN:public --> public 10.1.2.2:62019[1.1.3.1:2054]-->1.1.6.1:2048
        icmp  VPN:public --> public 10.1.2.2:62275[1.1.3.1:2055]-->1.1.6.1:2048
        icmp  VPN:public --> public 10.1.2.2:62531[1.1.3.1:2056]-->1.1.6.1:2048
        icmp  VPN:public --> public 10.1.2.2:62787[1.1.3.1:2057]-->1.1.6.1:2048</span></span>

    3. PC2发起访问,之后PC1与PC2之间可以相互访问。
    4. 总部RouterA上可以查看到对应的IKE SA。

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display ike sa</strong>      
      IKE SA information :             
          Conn-ID     Peer       VPN   Flag(s)   Phase   RemoteType  RemoteID
        -------------------------------------------------------------------------
           83887864   1.1.5.1:500      RD|A       v2:2   IP          1.1.5.1
           83887652   1.1.5.1:500      RD|A       v2:1   IP          1.1.5.1
        Number of IKE SA : 2 
        --------------------------------------------------------------------------
        Flag Description:                                                             
        RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
        HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
        M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING </span></span>

    5. 分支上RouterB可以查看到对端为总部的IKE SA,RouterB是发起方,标志位为ST。

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterB> <strong>display ike sa</strong>
      IKE SA information :
          Conn-ID    Peer       VPN   Flag(s)   Phase   RemoteType  RemoteID
        -------------------------------------------------------------------------
          62887864   1.1.3.1:500      RD|ST|A   v2:2    IP              1.1.3.1
          62887652   1.1.3.1:500      RD|ST|A   v2:1    IP              1.1.3.1
        Number of IKE SA : 2 
        -------------------------------------------------------------------------
        Flag Description:                                                             
        RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
        HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
        M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING </span></span>

    6. 总部RouterA上可以查看到一对双向的IPSec SA,对应分支RouterB。

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterA> <strong>display ipsec sa brief</strong> 
      Current ipsec sa num:2
      Spu board slot 1, cpu 1 ipsec sa information:                                   
      Number of SAs:2                                                              
          Src address   Dst address     SPI      VPN  Protocol     Algorithm       
      ------------------------------------------------------------------------------- 
           1.1.5.1        1.1.3.1    3923280450        ESP       E:AES-256 A:SHA2_256_128 
           1.1.3.1        1.1.5.1    787858613         ESP       E:AES-256 A:SHA2_256_128 </span></span>

    7. 分支节点RouterB上可以查看到一对双向IPSec SA。

      <span style="color:#333333"><span style="background-color:#dddddd"><RouterB> <strong>display ipsec sa brief</strong> 
      Current ipsec sa num:2
      Spu board slot 1, cpu 1 ipsec sa information:                                   
      Number of SAs:2                                                              
          Src address   Dst address     SPI      VPN  Protocol     Algorithm       
      ------------------------------------------------------------------------------- 
           1.1.3.1        1.1.5.1    787858613          ESP       E:AES-256 A:SHA2_256_128 
           1.1.5.1        1.1.3.1    3923280450         ESP       E:AES-256 A:SHA2_256_128 </span></span>

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1143199.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python正则表达式一点通

正则作为处理字符串的一个实用工具&#xff0c;在Python中经常会用到&#xff0c;比如爬虫爬取数据时常用正则来检索字符串等等。正则表达式已经内嵌在Python中&#xff0c;通过导入re模块就可以使用&#xff0c;作为刚学Python的新手大多数都听说”正则“这个术语。 今天来给…

Vue+el-image-viewer显示tiff图片,并能够切换图片中的帧

一、简述 在前端界面显示tiff图片&#xff0c;并能够点击翻页按钮切换tiff图片中的帧&#xff0c;接收到后端传来的buffer&#xff0c;在前端处理后进行展示 二、使用工具 引入Tiff.js文件&#xff0c;引入前先进行下载安装 import Tiff from tiff.js引入显示图片组件 comp…

Openssl数据安全传输平台014:OCCI的安装配置和使用:Centos8-Oracle19c代码跑通 + Window-Oracle11g代码没跑通(不影响本项目)

文章目录 0 代码仓库1 启动Centos oracle数据库2 Winsows安装配置OCCI库2.1 下载文件2.2 VS 配置2.2.1 VC包含目录2.2.2 VC库目录2.2.3 连接器-附加依赖项2.2.4 代码测试-Oracle11g2.2.4.1 准备2.2.4.2 代码测试 3 Centos安装配置occi库3.1 下载instantclient库文件压缩包3.2 w…

LeetCode:1465. 切割后面积最大的蛋糕(C++)

目录 1465. 切割后面积最大的蛋糕 题目描述&#xff1a; 实现代码与解析&#xff1a; 贪心 原理思路&#xff1a; 1465. 切割后面积最大的蛋糕 题目描述&#xff1a; 矩形蛋糕的高度为 h 且宽度为 w&#xff0c;给你两个整数数组 horizontalCuts 和 verticalCuts&#xff…

HPV感染的风险:闫会宁主任分析酒店环境中的常见因素

人类乳头瘤病毒(HPV)是一种普遍存在的病毒&#xff0c;其存在和传播方式多种多样。近年来&#xff0c;人们对于HPV的认识不断深入&#xff0c;知道其在酒店环境中的传播风险。本文将探讨哪些情况下在酒店可能感染HPV。 一、HPV的传播方式 HPV主要通过直接接触传播&#xff0c…

编程实例:眼镜店顾客档案管理系统软件,可以登记顾客信息查询历史记录,视力检查登记查询,配镜销售单开单打印

编程实例&#xff1a;眼镜店顾客档案管理系统软件&#xff0c;可以登记顾客信息查询历史记录&#xff0c;视力检查登记查询&#xff0c;配镜销售单开单打印 编程系统化课程总目录及明细&#xff0c;点击进入了解详情。 https://blog.csdn.net/qq_29129627/article/details/1340…

centos 安装ifconfig等

通过ip addr查看IP ip addr 安装ifconfig yum search ifconfig yum -y install net-tools.x86_64 设置静态IP cd /etc/sysconfig/network-scripts/ cat ifcfg-ens33 vi ifcfg-ens33 文本demo&#xff1a; TYPEEthernet PROXY_METHODnone BROWSER_ONLYno BOOTPROTOstatic DEFRO…

【shell】pis_monitor.sh

#!/bin/bashread -p "请输入要查询的PID:" pidecho "--------------------------------"echo "进程PID:$pid"p_arr("进程命令 11" "进程所属用户 1" "CPU占用率 2" "CPU内存占用率 4" "进程开始运…

yolov8-pose的数据集标注

labelme标注工具 1.环境配置 conda create -n labelme sudo apt-get install python3-pyqt5 # PyQt5 sudo pip3 install labelme2.激活虚拟环境,并启动labelme conda activate labelme labelme参考链接:图片标注工具Labelme的安装及使用方法 3.数据集标注 在标注时,我…

终于找到一个很赞的相亲社交软件了,而且还是公众号java+vue

目前&#xff0c;相亲已经成为了时下的热门话题&#xff0c;越来越多的单身男女找不到心仪的另一半&#xff0c;忙碌的工作&#xff0c;空余时间很少。其次离开校园之后&#xff0c;圈子变小&#xff0c;也没有渠道认识到新的朋友&#xff0c;种种情况影响下&#xff0c;单身的…

PHP-FIG底层原理以及所有规范

PHP-FIG是PHP Framework Interoperability Group的简称&#xff0c;是一个致力于制定PHP规范和标准化的组织。它的目标是提高不同PHP框架之间的互操作性和兼容性&#xff0c;促进PHP开发社区的合作和共享。 PSR标准规范了一些常用的编码规范、类自动加载规范、接口规范等。这些…

大数据-Storm流式框架(六)---Kafka介绍

Kafka简介 Kafka是一个分布式的消息队列系统(Message Queue)。 官网&#xff1a;Apache Kafka 消息和批次 kafka的数据单元称为消息。消息可以看成是数据库表的一行或一条记录。 消息由字节数组组成&#xff0c;kafka中消息没有特别的格式或含义。 消息有可选的键&#x…

龙芯3A5000上安装微信

原文链接&#xff1a;龙芯3A5000上安装微信 hello&#xff0c;大家好啊&#xff0c;今天给大家带来一篇在龙芯3A5000上安装微信的文章&#xff0c;主要给大家展示一下在龙芯架构上使用微信的情况&#xff0c;看看内置浏览器、看一看、小程序等是否能正常打开使用。 1、查看系统…

将项目部署到Windows操作系统中,并且访问该项目

&#x1f3c5;我是默&#xff0c;一个在CSDN分享笔记的博主。&#x1f4da;&#x1f4da; &#x1f31f;在这里&#xff0c;我要推荐给大家我的专栏《Linux》。&#x1f3af;&#x1f3af; &#x1f680;无论你是编程小白&#xff0c;还是有一定基础的程序员&#xff0c;这个专…

react实现步进器

创建一个步进器组件&#xff0c;包含当前步骤&#xff08;currentStep&#xff09;的状态以及前进和后退的操作&#xff1a; import React, { useState } from react;function Stepper() {const [currentStep, setCurrentStep] useState(1);const handleNext () > {setCu…

大厂面试题-Java并发编程基础篇(五)

目录 一、为什么ConcurrentHashMap中key不允许为null 考察目标 问题解析 回答 二、ThreadLocal会出现内存泄漏吗&#xff1f; 考察目的 问题解析 回答 三、什么是CompletableFuture&#xff1f; 问题分析 问题解答 四、什么条件下会产出死锁&#xff0c;如何避免死…

万字解析设计模式之单例模式

一、概述 1.1简介 单例模式&#xff08;Singleton Pattern&#xff09;是 Java 中最简单的设计模式之一。这种类型的设计模式属于创建型模式&#xff0c;它提供了一种创建对象的最佳方式。 这种模式涉及到一个单一的类&#xff0c;该类负责创建自己的对象&#xff0c;同时确保…

MyBatis-Plus 实战教程二 核心功能

这里写目录标题 核心功能条件构造器QueryWrapperUpdateWrapperLambdaQueryWrapper 自定义SQL基本用法多表关联 Service接口CRUD基本用法Lambda批量新增 仓库地址 核心功能 条件构造器 除了新增以外&#xff0c;修改、删除、查询的SQL语句都需要指定where条件。因此BaseMapper…

6 个最佳 Windows 免费磁盘分区管理器

几乎所有新的笔记本电脑和 PC 都只有一个分区 C:\&#xff0c;与安装了 Windows 的分区相同。不太精通技术的用户开始按照计算机呈现给他们的方式使用计算机&#xff1b;他们将所有文档、个人文件&#xff08;例如图片、歌曲、电影等&#xff09;放在同一个分区上。整个驱动器上…

vite中将css,js文件归类至文件夹

build: {chunkSizeWarningLimit: 1500,rollupOptions: {output: {// 最小化拆分包manualChunks(id) {if (id.includes(node_modules)) {return id.toString().split(node_modules/)[1].split(/)[0].toString()}},// 用于从入口点创建的块的打包输出格式[name]表示文件名,[hash]…