화웨이 방화벽 본부와 여러 지점 ipsec-vpn nat traversal, VPN 코어 측면 장착 네트워킹 케이스 명령줄 및 웹 구성

프로그래밍 언어 2023-12-27 18:08:34 독서 시간: null

여기에 이미지 설명을 삽입하세요.

실현 효과:

1. 본사와 지점은 고정 IP ipsec VPN 연결을 가지고 있으며 네트워크 세그먼트 192.168.10.0 ~ 192.168.20.0과 192.168.30.0은 서로 접속이 가능하며 인터넷 접속이 가능합니다. 본사 VPN 장비는 코어 스위치에서 우회되어 송신 라우터에서 NAT 통과를 수행합니다.

2. 지점 간 상호 접속은 본사 VPN을 통해 우회됩니다.

본사 AR1 송신 라우터 구성:

dis 현재 구성
[V200R003C00]

acl 번호 3000
규칙 5 거부 IP 소스 192.168.10.0 0.0.0.255 대상 192.168.20.0 0.0.0.255
//VPN 네트워크 세그먼트 제거 첫 번째
규칙 10 거부 ​​IP 소스 192.168.10.0 0.0.0.255 대상 192.168.30.0 0.0.0 . 255
/ /먼저 VPN 네트워크 세그먼트
규칙을 제거합니다. 15 allowed ip source 192.168.10.0 0.0.0.255 //외부 네트워크에 액세스하려면
규칙 20 allowed ip source 172.16.0.0 0.0.0.255 //외부 네트워크에 액세스하려면 VPN이 호스트는 공용 네트워크에 액세스할 수 있습니다

인터페이스 GigabitEthernet0/0/0 //두 개의 VPN 통과 포트 해제
IP 주소 1.1.1.2 255.255.255.0
nat 서버 프로토콜 udp global current-interface 4500 inside 172.16.0.2 4500
nat server Protocol udp global current-interface 500 inside 172.16 .0.2 500
nat 아웃바운드 3000

인터페이스 GigabitEthernet0/0/1
IP 주소 10.0.0.1 255.255.255.0

ip 경로-정적 0.0.0.0 0.0.0.0 1.1.1.1
ip 경로-정적 172.16.0.0 255.255.255.0 10.0.0.2
ip 경로-정적 192.168.10.0 255.255.255.0 10.0.0.2

본사 코어 스위치 구성:

DHCP 활성화

인터페이스 Vlanif10
IP 주소 192.168.10.1 255.255.255.0
dhcp 선택 인터페이스

인터페이스 Vlanif100
IP 주소 172.16.0.1 255.255.255.0

인터페이스 Vlanif999
IP 주소 10.0.0.2 255.255.255.0

인터페이스 MEth0/0/1

인터페이스 GigabitEthernet0/0/1
포트 링크 유형 액세스
포트 기본 VLAN 100

인터페이스 GigabitEthernet0/0/2
포트 링크 유형 액세스
포트 기본 VLAN 999

인터페이스 GigabitEthernet0/0/3
포트 링크 유형 액세스
포트 기본 VLAN 10

ip Route-static 192.168.30.0 255.255.255.0 172.16.0.2 //내부 네트워크에서 VPN에 액세스하기 위한 네트워크 세그먼트를 VPN으로 지정
ip Route-static 0.0.0.0 0.0.0.0 10.0.0.1 //외부 네트워크에 연결
ip Route-static 192.168.20.0 255.255.255.0 172.16.0.2 //내부 네트워크의 네트워크 세그먼트를 VPN에 액세스하도록 지시합니다.

세 가지 방화벽 정책은 모두 제한 없이 허용됩니다.

본부 FW1 구성:

acl 번호 3000
규칙 5 IP 소스 허용 192.168.10.0 0.0.0.255 대상 192.168.20.0 0.0.0.255
규칙 10 IP 소스 허용 192.168.30.0 0.0.0.255 대상 192.168.20.0 0.0.0.255

acl 번호 3001
규칙 5 IP 소스 허용 192.168.10.0 0.0.0.255 대상 192.168.30.0 0.0.0.255
규칙 10 IP 소스 허용 192.168.20.0 0.0.0.255 대상 192.168.30.0 0.0.0.255

ipsec 제안 prop27111711204
캡슐화 모드 자동
esp 인증 알고리즘 sha2-256
esp 암호화 알고리즘 aes-256
ipsec 제안 prop28111045368
캡슐화 모드 자동
esp 인증 알고리즘 sha2-256
esp 암호화 알고리즘 aes-256

ike 제안 기본
암호화 알고리즘 aes-256 aes-192 aes-128
dh group14
인증 알고리즘 sha2-512 sha2-384 sha2-256
인증 방법 사전 공유
무결성 알고리즘 hmac-sha2-256
prf hmac-sha2-256

ike 제안 1
암호화 알고리즘 aes-256
dh group14
인증 알고리즘 sha2-256
인증 방법 사전 공유
무결성 알고리즘 hmac-sha2-256
prf hmac-sha2-256

ike 제안 2
암호화 알고리즘 aes-256
dh group14
인증 알고리즘 sha2-256
인증 방법 사전 공유
무결성 알고리즘 hmac-sha2-256
prf hmac-sha2-256

ike 피어 ike271117112046
교환 모드 자동
사전 공유 키 adminadmin
ike-제안 1
원격 ID 유형 IP
원격 ID 2.2.2.1
로컬 ID 1.1.1.2
dpd 유형 주기적
원격 주소 2.2.2.1

ike 피어 ike281110453684
교환 모드 자동
사전 공유 키 adminadmin
ike-제안 2
원격 ID 유형 IP
원격 ID 3.3.3.1
로컬 ID 1.1.1.2
dpd 유형 주기적
원격 주소 3.3.3.1

ipsec 정책 ipsec2711171120 1 isakmp
보안 acl 3000
ike-peer ike271117112046
제안 prop27111711204
터널 로컬 적용 인터페이스
별칭 to-gz
sa 트리거 모드 자동
sa 기간 트래픽 기반 10485760
sa 기간 시간 기반 3600

ipsec 정책 ipsec2711171120 2 isakmp
보안 acl 3001
ike-peer ike281110453684
제안 prop28111045368
터널 로컬 적용 인터페이스
별칭 to-sz
sa 트리거 모드 자동
sa 기간 트래픽 기반 10485760
sa 기간 시간 기반 3600

인터페이스 GigabitEthernet1/0/0
실행 취소 종료
IP 주소 172.16.0.2 255.255.255.0
서비스 관리 ping 허용
ipsec 정책 ipsec2711171120

방화벽 영역 로컬
우선순위 100으로 설정

방화벽 영역 신뢰
설정 우선 순위 85
추가 인터페이스 GigabitEthernet0/0/0
추가 인터페이스 GigabitEthernet1/0/0

방화벽 영역 신뢰하지 않음 우선
순위 5로 설정

방화벽 영역 dmz
우선순위 50으로 설정

IP 경로-정적 0.0.0.0 0.0.0.0 172.16.0.1
IP 경로-정적 192.168.10.0 255.255.255.0 172.16.0.1

FW1의 웹 구성:

2, 하나는 sz로 가고, 하나는 gz로 갑니다.
여기에 이미지 설명을 삽입하세요.

두 지점이 본사 노드를 통해 통신할 수 있도록 하려면 이 네트워크 세그먼트를 추가하려면 두 VPN을 모두 추가해야 합니다.
여기에 이미지 설명을 삽입하세요.

여기에 이미지 설명을 삽입하세요.

FW2 구성:

acl 번호 3000
규칙 5 IP 소스 허용 192.168.20.0 0.0.0.255 대상 192.168.10.0 0.0.0.255
규칙 10 IP 소스 허용 192.168.20.0 0.0.0.255 대상 192.168.30.0 0.0.0.255
규칙 15 IP 거부 소스 192.168.20.0 0.0.0.255 대상 192.168.10.0 0.0.0.255

ipsec 제안 prop27111785448
캡슐화 모드 자동
esp 인증 알고리즘 sha2-256
esp 암호화 알고리즘 aes-256

ike 제안 기본
암호화 알고리즘 aes-256 aes-192 aes-128
dh group14
인증 알고리즘 sha2-512 sha2-384 sha2-256
인증 방법 사전 공유
무결성 알고리즘 hmac-sha2-256
prf hmac-sha2-256

ike 제안 1
암호화 알고리즘 aes-256
dh group14
인증 알고리즘 sha2-256
인증 방법 사전 공유
무결성 알고리즘 hmac-sha2-256
prf hmac-sha2-256

ike 피어 ike271117854480
교환 모드 자동
사전 공유 키 adminadmin
ike-제안 1
원격 ID 유형 IP
원격 ID 1.1.1.2
로컬 ID 2.2.2.1
dpd 유형 주기적
원격 주소 1.1.1.2

ipsec 정책 ipsec2711178542 1 isakmp
보안 acl 3000
ike-peer ike271117854480
제안 prop27111785448
터널 로컬 적용 인터페이스
별칭 to-zongbu
sa 트리거 모드 자동
sa 기간 트래픽 기반 10485760
sa 기간 시간 기반 3600

인터페이스 GigabitEthernet1/0/0
종료 취소
IP 주소 192.168.20.1 255.255.255.0
dhcp 선택 인터페이스

인터페이스 GigabitEthernet1/0/1
실행 취소 종료
IP 주소 2.2.2.1 255.255.255.0
서비스 관리 ping 허용
ipsec 정책 ipsec2711178542

인터페이스 GigabitEthernet1/0/6
종료 취소

방화벽 영역 로컬
우선순위 100으로 설정

방화벽 영역 신뢰
설정 우선 순위 85
추가 인터페이스 GigabitEthernet0/0/0
추가 인터페이스 GigabitEthernet1/0/0

방화벽 영역 신뢰 해제 우선
순위 5
설정 인터페이스 GigabitEthernet1/0/1 추가

방화벽 영역 dmz
우선순위 50으로 설정

IP 경로 고정 0.0.0.0 0.0.0.0 2.2.2.2

보안 정책
기본 작업 허용

정책 기반 경로

nat-policy
규칙 이름 vpn
소스 영역 신뢰
대상 영역 비신뢰 소스
주소 192.168.20.0 마스크 255.255.255.0
대상 주소 192.168.10.0 마스크 255.255.255.0
대상 주소 192.168.30.0 마스크 255.255.255.0
작업 no-nat
규칙 이름 인터넷
원본 영역 신뢰
대상 영역 신뢰하지 않음
작업 source-nat easy-ip

FW2의 웹 구성:

마지막 항목은 sz로 이동하는 네트워크 세그먼트에 수동으로 추가해야 합니다.
여기에 이미지 설명을 삽입하세요.

NAT 구성:

NAT를 하지 않는 VPN을 맨 위에 올려야 하며,
여기에 이미지 설명을 삽입하세요.
sz로 가는 VPN도 추가해야 한다. 네트워크 세그먼트는 총 2개이다.
여기에 이미지 설명을 삽입하세요.
외부 네트워크용 NAT는
여기에 이미지 설명을 삽입하세요.

그림에서는 VPN 정책이 NAT로 변환되지 않고 맨 위에 첫 번째로 배치되어 있고, 인터넷 NAT 정책이 두 번째로 배치되어 있습니다.

인터넷 NAT 구성이 완료되면 암호화되지 않은 추가 주소가 생깁니다.

여기에 이미지 설명을 삽입하세요.

FW3 구성:

acl 번호 3000
규칙 5 IP 소스 허용 192.168.30.0 0.0.0.255 대상 192.168.10.0 0.0.0.255
규칙 10 IP 소스 허용 192.168.30.0 0.0.0.255 대상 192.168.20.0 0.0.0.255

ipsec 제안 prop28111041145
캡슐화 모드 자동
esp 인증 알고리즘 sha2-256
esp 암호화 알고리즘 aes-256

ike 제안 기본
암호화 알고리즘 aes-256 aes-192 aes-128
dh group14
인증 알고리즘 sha2-512 sha2-384 sha2-256
인증 방법 사전 공유
무결성 알고리즘 hmac-sha2-256
prf hmac-sha2-256

ike 제안 1
암호화 알고리즘 aes-256
dh group14
인증 알고리즘 sha2-256
인증 방법 사전 공유
무결성 알고리즘 hmac-sha2-256
prf hmac-sha2-256

ike 피어 ike281110411459
교환 모드 자동
사전 공유 키 adminadmin
ike-제안 1
원격 ID 유형 IP
원격 ID 1.1.1.2
로컬 ID 3.3.3.1
dpd 유형 주기적
원격 주소 1.1.1.2

ipsec 정책 ipsec2811104114 1 isakmp
보안 acl 3000
ike-peer ike281110411459
제안 prop28111041145
터널 로컬 적용 인터페이스
별칭 to-bj
sa 트리거 모드 자동
sa 기간 트래픽 기반 10485760
sa 기간 시간 기반 3600

인터페이스 GigabitEthernet0/0/0
실행 취소 종료
IP 바인딩 vpn-instance 기본
IP 주소 10.1.1.10 255.255.255.0
별칭 GE0/METH
서비스 관리 https 허용

인터페이스 GigabitEthernet1/0/1
실행 취소 종료
IP 주소 192.168.30.1 255.255.255.0
서비스 관리 ping 허용
dhcp 선택 인터페이스

인터페이스 Virtual-if0

인터페이스 NULL0

방화벽 영역 로컬
우선순위 100으로 설정

방화벽 영역 신뢰
설정 우선 순위 85
추가 인터페이스 GigabitEthernet0/0/0
추가 인터페이스 GigabitEthernet1/0/1

방화벽 영역 신뢰 해제 우선
순위 5 설정
인터페이스 추가 GigabitEthernet1/0/0

방화벽 영역 dmz
우선순위 50으로 설정

IP 경로 고정 0.0.0.0 0.0.0.0 3.3.3.3

보안 정책
기본 작업 허용

nat-policy
규칙 이름 to-vpn
소스 영역 신뢰
대상 영역 untrust
소스 주소 192.168.30.0 마스크 255.255.255.0
대상 주소 192.168.10.0 마스크 255.255.255.0
대상 주소 192.168.20.0 마스크 255.255.255.0
작업 no-nat
규칙 이름-인터넷
원본-영역 신뢰
대상-영역 신뢰 안함
원본-주소 192.168.30.0 마스크 255.255.255.0
작업 원본-nat easy-ip

FW3 웹 구성:

마지막 네트워크 세그먼트를 수동으로 추가해야 합니다.
여기에 이미지 설명을 삽입하세요.

NAT 구성:

gz 분기 구성과 동일
여기에 이미지 설명을 삽입하세요.
여기에 이미지 설명을 삽입하세요.

NAT에 온라인으로 접속하여 특정 네트워크 세그먼트(gz 분기와 다름)를 기록해 둡니다.

여기에 이미지 설명을 삽입하세요.

FW3에서 NAT를 수행할 때 특정 네트워크 세그먼트를 작성한 후에는 VPN에 gz 분기와 같은 추가 네트워크 세그먼트가 없습니다.

추천

출처blog.csdn.net/ydaxia110/article/details/134659155
추천
Kaiyuan Daily | Linus는 "수동 음성"에 대한 전쟁을 선포합니다. 네이티브 Hongmeng은 Bloomberg 터미널의 새로운 기술 프레임워크입니다.
getWithoutAck의 토크 SimpleCanalConnector
Use regular expressions to crawl data and some methods of using regular expressions
[Nodejs] Node.js 개발 환경 설치
cartographer_common_block_queue
Nginx에 + keepalived (가용성 듀얼 마스터 모드)
기본 쿼리 및 방법, 심지어 테이블, 하위 쿼리
파일이 무한 루프에 beggining에서 읽을 수 있도록 루프 다시 자바
Two architect essays (AI writing)
Eclipse 플러그인 설치 숭고한 개미
211 졸업, 2020 년 최신 바이트 백엔드가 3면에서 공유되었지만 알고리즘은 여전히 나를 매우 어렵게 만듭니다
아카이브
기타
2020-04-08(1460)
2020-04-07(1517)
2020-04-06(1499)
2020-04-05(1440)
2020-04-04(1629)
2020-04-03(1644)
2020-04-02(1572)
2020-04-01(1665)
2020-03-31(1639)
2020-03-30(1334)

코드 세계

© 2018 codetd.com