华三(H3C)GRE OVER IPsec实验

news2024/11/14 13:27:50

实验拓扑

目录

实验需求

1. 某企业北京总部、上海分支、武汉分支分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网

2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段

3. 北京总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图

4. 北京总部、上海分支、武汉分支配置 GRE over IPsec VPN 连通内网,要求北京总部使用模板来简化配置

5. 总部和分支之间配置 RIPv2 传递内网路由

实验解法

1.配置各设备IP地址

2.配置默认路由

3.配置DHCP

2.配置DHCP地址池

3.在R3、R4上,开启端口获取DHCP地址。

4.配置 GRE over IPsec  VPN

(2)在 R3 上配置 GRE over IPsec VPN

(3)在 R4 上配置 GRE over IPsec VPN

5. 配置 RIP

最后查询


实验需求

1. 某企业北京总部、上海分支、武汉分支分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网

2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段

3. 北京总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图

4. 北京总部、上海分支、武汉分支配置 GRE over IPsec VPN 连通内网,要求北京总部使用模板来简化配置

5. 总部和分支之间配置 RIPv2 传递内网路由

实验解法

1.配置各设备IP地址

R1

[H3C]sysn R1
[R1]int g0/0
[R1-GigabitEthernet0/0]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0]int l0
[R1-LoopBack0]ip add 10.10.10.1 32
[R1-LoopBack0]int l1
[R1-LoopBack1]ip add 192.168.0.1 24
[R1-LoopBack1]int tunnel 0 mode gre
[R1-Tunnel0]ip add 10.1.1.1 24
[R1-Tunnel0]int tunnel 1 mode gre 
[R1-Tunnel1]ip add 10.2.2.1 24

R2

[H3C]sysn R2
[R2]int g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]int g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]int g0/2
[R2-GigabitEthernet0/2]ip add 100.3.3.2 24

R3

[H3C]sysn R3
[R3]int l0
[R3-LoopBack0]ip add 10.10.10.3 32
[R3-LoopBack0]int l1
[R3-LoopBack1]ip add 192.168.1.1 24
[R3-LoopBack1]int tunnel 0 mode gre
[R3-Tunnel0]ip add 10.1.1.3 24

R4

[H3C]sysn R4
[R4]int l0
[R4-LoopBack0]ip add 10.10.10.4 32
[R4-LoopBack0]int l1
[R4-LoopBack1]ip add 192.168.2.1 24
[R4-LoopBack1]int tunnel 1 mode gre
[R4-Tunnel1]ip add 10.2.2.4 24

2.配置默认路由

为R1配置默认路由,使全网可通

[R1]ip route-static 0.0.0.0 0 100.1.1.2

为R3配置默认路由,使全网可通

[R3]ip route-static 0.0.0.0 0 100.2.2.2

为R4配置默认路由,使全网可通

[R4]ip route-static 0.0.0.0 0 100.3.3.2

3.配置DHCP

在R2上配置DHCP,模拟运营商分配IP地址给R3、R4

1.开启DHCP服务

[R2]dhcp enable
[R2]int g0/1
[R2-GigabitEthernet0/1]dhcp select server
[R2-GigabitEthernet0/1]int g0/2
[R2-GigabitEthernet0/2]dhcp select server

2.配置DHCP地址池

[R2]dhcp server ip-pool 1
[R2-dhcp-pool-1]network 100.2.2.0 mask 255.255.255.0
[R2-dhcp-pool-1]gateway-list 100.2.2.2
[R2-dhcp-pool-1]dhcp server ip-pool 2
[R2-dhcp-pool-2]network 100.3.3.0 mask 255.255.255.0
[R2-dhcp-pool-2]gateway-list 100.3.3.2

3.在R3、R4上,开启端口获取DHCP地址。

R3

[R3]int g0/0
[R3-GigabitEthernet0/0]ip add dhcp-alloc

R4

[R4]int g0/0
[R4-GigabitEthernet0/0]ip address dhcp-alloc

检查在R2上是否能查看到已分配IP地址。

4.配置 GRE over IPsec  VPN

步骤1:在 R1 上配置 GRE over IPsec VPN 

在 R1 上配置GRE tunnel 口,指定源目IP为双方 LoopBack 口

[R1]interface tunnel0
[R1-Tunnel0]source LoopBack 0
[R1-Tunnel0]destination 10.10.10.3
[R1-Tunnel0]int tunnel1
[R1-Tunnel1]source l
[R1-Tunnel1]source LoopBack 0
[R1-Tunnel1]destination 10.10.10.4

步骤2:在 R1 上配置 FQDN 名为 zb

[R1]ike identity fqdn zb

步骤3:在 R1 上创建 IKE 提议,使用默认配置即可

[R1-ike-profile-1]ike proposal 1

步骤4:在R1上创建IKE预共享密钥

[R1]ike keychain fz
[R1-ike-keychain-sh]pre-shared-key hostname fz1 key simple 123
[R1-ike-keychain-sh]pre-shared-key hostname fz2 key simple 123

步骤5:在R1上创建IKE Profile

[R1-ike-keychain-fz]ike profile fz1
[R1-ike-profile-fz1]exchange-mode aggressive 
[R1-ike-profile-fz1]match remote identity fqdn fz1
[R1-ike-profile-fz1]priority 1
[R1-ike-profile-fz1]keychain fz

[R1]ike profile fz2
[R1-ike-profile-fz2]exchange-mode aggressive 
[R1-ike-profile-fz2]match remote identity fqdn fz2
[R1-ike-profile-fz2]proposal 1
[R1-ike-profile-fz2]keychain fz

步骤6:在 R1 上创建 IPsec 转换集,对两个分支可以使用同一个转换集

[R1]ipsec transform-set fz
[R1-ipsec-transform-set-sh]esp authentication-algorithm sha1
[R1-ipsec-transform-set-sh]esp encryption-algorithm aes-cbc-128
[R1-ipsec-transform-set-sh]quit

步骤7:在 R1 上分别创建对上海和武汉分支的 IPsec 策略模板

[R1]ipsec policy-template fz1 1
[R1-ipsec-policy-template-fz1-1]transform-set fz
[R1-ipsec-policy-template-fz1-1]ike-profile fz1
[R1-ipsec-policy-template-fz1-1]quit

[R1]ipsec policy-template fz2 1
[R1-ipsec-policy-template-fz2-1]transform-set fz
[R1-ipsec-policy-template-fz2-1]ike-profile fz2

步骤8:在R1上创建IPsec策略,绑定两个模板

[R1]ipsec policy fz1 isakmp template fz1
[R1]ipsec policy fz2 isakmp template fz2

步骤9:在 R1 的公网接口上下发 IPsec 策略

[R1]interface g0/0
[R1-GigabitEthernet0/0]ipsec apply policy fz

(2)在 R3 上配置 GRE over IPsec VPN

1.在 R3 上配置 GRE Tunnel 口

[R3]int Tunnel0
[R3-Tunnel0]source LoopBack 0
[R3-Tunnel0]destination 10.10.10.1

2. 配置ACL

[R3]acl advanced 3000
[R3-acl-ipv4-adv-3000]rule permit ip source 10.10.10.3 0 destination 10.10.10.1 0

3. 在R3上配置FQDN名为fz1

[R3]ike identity fqdn fz1

4. 在R3上创建IKE提议

[R3]ike proposal 1

5. 在 R3 上创建 IKE 预共享密钥,匹配对端公网地址

[R3]ike keychain zb
[R3-ike-keychain-zb]pre-shared-key address 100.1.1.1 key simple 123

6.在 R3 上创建 IKE Profile

[R3]ike profile zb
[R3-ike-profile-zb]exchange-mode agg
[R3-ike-profile-zb]match remote identity fqdn zb
[R3-ike-profile-zb]proposal 1
[R3-ike-profile-zb]keychain zb

7. R3 上创建 IPsec 转换集

[R3]ipsec transform-set zb
[R3-ipsec-transform-set-zb]esp authentication-algorithm sha1
[R3-ipsec-transform-set-zb]esp encryption-algorithm aes-cbc-128

8. 在 R3 上创建 IPsec 策略

[R3]ipsec policy zb 1 isakmp 
[R3-ipsec-policy-isakmp-zb-1]security acl 3000
[R3-ipsec-policy-isakmp-zb-1]remote-address 100.1.1.1
[R3-ipsec-policy-isakmp-zb-1]ike-profile zb
[R3-ipsec-policy-isakmp-zb-1]transform-set zb

9. 在 R3 的公网接口上下发 IPsec 策略

[R3]int g0/0
[R3-GigabitEthernet0/0]ipsec apply policy zb

(3)在 R4 上配置 GRE over IPsec VPN

1.在 R4 上配置 GRE Tunnel 口

[R4]in tunnel0
[R4-Tunnel0]source l0
[R4-Tunnel0]destination 10.10.10.1

2. 配置ACL

[R4]acl advanced 3000
[R4-acl-ipv4-adv-3000]rule permit ip source 10.10.10.4 0 destination 10.10.10.1 0

3. 在 R4 上配置 FQDN 名为 fz2

[R4]ike identity fqdn fz2

4. 在 R4 上创建 IKE 提议

[R4]ike proposal 1

5. 在 R4 上创建 IKE 预共享密钥,匹配对端公网地址

[R4]ike keychain zb
[R4-ike-keychain-zb]pre-shared-key address 100.1.1.1 key simple 123

6.在 R4 上创建 IKE Profile

[R4]ike profile zb
[R4-ike-profile-zb]exchange-mode aggressive 
[R4-ike-profile-zb]match remote identity fqdn zb
[R4-ike-profile-zb]proposal 1
[R4-ike-profile-zb]keychain zb

7.在 R4 上创建 IPsec 转换集

[R4]ipsec transform-set zb
[R4-ipsec-transform-set-zb]esp authentication-algorithm sha1
[R4-ipsec-transform-set-zb]esp encryption-algorithm aes-cbc-128

8.在 R4 上创建 IPsec 策略

[R4]ipsec policy zb 1 isakmp
[R4-ipsec-policy-isakmp-zb-1]sec
[R4-ipsec-policy-isakmp-zb-1]security acl 3000
[R4-ipsec-policy-isakmp-zb-1]remote-add
[R4-ipsec-policy-isakmp-zb-1]remote-address 100.1.1.1
[R4-ipsec-policy-isakmp-zb-1]ike-
[R4-ipsec-policy-isakmp-zb-1]ike-profile zb
[R4-ipsec-policy-isakmp-zb-1]trans
[R4-ipsec-policy-isakmp-zb-1]transform-set zb

9.在 R4 的公网接口上下发 IPsec 策略

[R4]int g0/0
[R4-GigabitEthernet0/0]ipsec app
[R4-GigabitEthernet0/0]ipsec apply poli
[R4-GigabitEthernet0/0]ipsec apply policy zb

5. 配置 RIP

1.在 R1,R3,R4 上分别配置 RIPv2,宣告 Tunnel 口网段和各自业务网段

R1

[R1]rip 
[R1-rip-1]v 2
[R1-rip-1]undo sum
[R1-rip-1]net 192.168.0.1 0.0.0.255
[R1-rip-1]net 10.1.1.0 0.0.0.255
[R1-rip-1]net 10.2.2.0 0.0.0.255

R2

[R3]rip 
[R3-rip-1]v 2
[R3-rip-1]undo sum
[R3-rip-1]net 192.168.1.0 0.0.0.255
[R3-rip-1]net 10.1.1.0 0.0.0.255

R3

[R4]rip
[R4-rip-1]v 2
[R4-rip-1]undo sum
[R4-rip-1]net 192.168.2.0 0.0.0.255
[R4-rip-1]net 10.2.2.0 0.0.0.255

2. 在 R1,R3,R4 上分别配置到达其他两个站点环回口的静态路由,下一跳指向公网

R1

[R1]ip route-static 10.10.10.3 32 100.1.1.2
[R1]ip route-static 10.10.10.4 32 100.1.1.2

R3

[R3]ip route-static 10.10.10.1 32 100.2.2.2

R4

[R4]ip route-static 10.10.10.1 32 100.3.3.2

最后查询

R3

R4

最后ping一下

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/466584.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

电子行业数字工厂管理系统有哪些优点和不足

随着制造业的不断发展,其生产技术也在不断改进,有许多电子企业都在部署数字工厂管理系统,进行数字化转型。如果不了解数字工厂管理系统,盲目部署的话,容易走很多弯路。本文将跟大家探讨一下,电子行业数字工…

本地Linux服务器安装宝塔面板,并公网远程登录

文章目录 前言1. 安装宝塔2. 安装cpolar内网穿透3. 远程访问宝塔4. 固定http地址5. 配置二级子域名6. 测试访问二级子域名 前言 宝塔面板作为建站运维工具,它支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能,可提高运维效率。…

云原生|Packer插件开发在项目中应用

作者:李冠军 神州数码云基地 高级后端开发工程师 云时代我们可以在各云厂商控制台点一点,实例就生成了,但是这个点还是需要自己去点,如果把这些动作写成代码,直接运行,一切就完成了。 这就是Packer的作用…

使用Markdown编辑器

使用Markdown编辑器 欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants 创建一个自定义列表如何创建一个注…

总结833

学习目标: 4月(复习完高数18讲内容,背诵21篇短文,熟词僻义300词基础词) 学习内容: 暴力英语:背《美丽心灵》,背《大独裁者》五六段,六百四十字的文章,明天加…

Java中的序列化与反序列化

序列化和反序列化作为 Java 里一个较为基础的知识点,但我相信很多人能了解的也就是那么几句而已,甚至都不了解,如果再深究问一下 Java 如何实现序列化和反序列化的,就可能不知所措了! 不知道怎么说好,什么是…

GD(兆易创新)系列FLASH进行FPGA和ZYNQ配置固化相关操作

写在前面 本文主要针对使用GD(兆易创新)系列的FLASH做启动配置片时,遇到的相关问题进行简单整理复盘,避免后人踩坑。 本人操作固化芯片型号为:ZYNQ7045、690T(复旦微替代型号V7 690T)。 7系列…

为类创建事务码,读取EXCEL并显示报表简单版

屏幕以及字段定义 DATA: go_container TYPE REF TO cl_gui_custom_container. DATA: lv_subrc TYPE i,gv_action TYPE int4,lt_filetab TYPE filetable,ls_filetab TYPE file_table.DATA: gv_exit TYPE flag . DATA: lt_input TYPE TABLE OF alsmex_tabline,…

人脸识别概述

博主简介 博主是一名大二学生,主攻人工智能研究。感谢让我们在CSDN相遇,博主致力于在这里分享关于人工智能,c,Python,爬虫等方面知识的分享。 如果有需要的小伙伴可以关注博主,博主会继续更新的&#xff0c…

封装 (encapsulation)--计算机程序术语

封装,即隐藏对象的属性和实现细节,仅对外公开接口,控制在程序中属性的读和修改的 访问级别;将抽象得到的数据和行为(或功能)相结合,形成一个有机的整体,也就是将数据与操作数据的 源代码进行有机的结合&…

以轻量级服务器niginx为核心的JavaWeb项目:第一章 项目设计

这里写目录标题 一 需求分析与环境搭建1.需求分析2.环境搭建1.2.1首先配置mysql环境1.2.2 配置maven环境 二 打成War包,发到linux上 一 需求分析与环境搭建 1.需求分析 2.环境搭建 1.2.1首先配置mysql环境 先查找一下mysql环境 [roothadoop122 ~]# mysql --vers…

SpringCloudAlibaba分布式事务——Seata

Seata 本专栏学习内容来自尚硅谷周阳老师的视频 有兴趣的小伙伴可以点击视频地址观看 分布式事务问题 在使用分布式之前,一般都是单机单库或者是单机多库的情况,一个服务对应一个数据库或者多个数据库,这样事务的问题可以通过Transaction解决…

Python学习:Anaconda23.3.1+spyder5.4.3+Python3.10.11环境配置

问题1:Anaconda安装配置教程(真的非常详细的安装过程,还带环境配置) 【参考文献】本文链接:Windows安装Anaconda使用教程_在奋斗的大道的博客-CSDN博客 问题2:Anaconda半天打不开,就在这转啊转…

MYSQL(六)函数

函数是指一段可以直接被另一端程序调用的代码 字符串函数 update employees set workn lpad(workno,5, 0); 数值函数 根据数据库的函数,生成一个六位数的随机验证码 select rpad(round(rand()*1000000, 0), 6, 0); 日期函数 流程函数

尚融宝24-标的管理

目录 一、需求介绍 (一)借款人申请借款 (二)流程 二、生成新标的 三、标的列表 (一)后端 (二)前端 四、标的详情 (一)后端 (二&#xf…

FPGA动态配置si5338输出差分时钟,提供工程源码和技术支持

目录 1、前言2、设计框图3、si5338原理图设计4、si5338使用流程5、vivado工程详解6、上板调试验证并演示7、福利:工程代码的获取 1、前言 如今的FPGA板卡随着FPGA本身性能的提高也越来越高端,特别是在高速接口方面表现得越发明显,以Xilinx的…

Redis(10)哨兵

redis哨兵 哨兵配置步骤步骤一 启动redis节点步骤二 配置哨兵节点第三步 设置主从复制第四步 查看状态第五步 验证哨兵配置是否成功第六步 测试 哨兵配置步骤 本文将介绍redis哨兵的配置步骤。Redis哨兵是一种用于监控Redis主从复制和自动故障转移的系统 Redis哨兵是Redis的核…

“探索C++非质变算法:如何更高效地处理数据“

📖作者介绍:22级树莓人(计算机专业),热爱编程<目前在c++阶段>——目标Windows,MySQL,Qt,数据结构与算法,Linux,多线程&…

无线电设备发射型号核准证(SRRC)

SRRC认证简介 SRRC为国家无线电管理委员会State Radio Regulatory Commission of the People’s Republic of China SRMC认证(又称SRRC认证)自1999年6月1日起,中国信息产业部(Ministry of Information Industry,MII)强制规定,所有在中国境内销售及使用的…

【c语言】static静态变量

创作不易&#xff0c;本篇文章如果帮助到了你&#xff0c;还请点赞支持一下♡>&#x16966;<)!! 主页专栏有更多知识&#xff0c;如有疑问欢迎大家指正讨论&#xff0c;共同进步&#xff01; 给大家跳段街舞感谢支持&#xff01;ጿ ኈ ቼ ዽ ጿ ኈ ቼ ዽ ጿ ኈ ቼ ዽ ጿ…