实训12大量分支GREoverIPSec接入的简易配置实训指导书

《实训12大量分支GREoverIPSec接入的简易配置实训指导书》由会员分享，可在线阅读，更多相关《实训12大量分支GREoverIPSec接入的简易配置实训指导书（20页珍藏版）》请在装配图网上搜索。

1、百度文库- 让每个人平等地提升自我实训指导书所在系别：计算机技术系所属专业 ：计算机网络技术指导教师 :董科鹏专业负责人：孙志成11百度文库- 让每个人平等地提升自我指导书填写要求1. 实训设计指导书由指导教师根据课题的具体情况进行设计填写，经学生所在专业的负责人审查、系领导签字后生效。此指导书应在课程设计开始前一周内填好并发给学生；2. 指导书填写的内容，必须具有指导学生课程设计的要求。若有变更，应当经过所在专业教研室及系主管领导审批后方可重新填写；3. 本指导书内有关“系” 、“专业”等名称的填写，应写中文全称，学生的“学号”要写全，不能只写最后 2 位或 1 位数字；4. 有关年月日等日

2、期的填写，一律用阿拉伯数字书写。如“2015 年3 月 2 日”或“ 2015-03-02 ”。22百度文库- 让每个人平等地提升自我1. 目录一实训的目的与要求：4二实训的前期准备（设备、用具与软件环境）5三实训的设计步骤5四实训的设计要点及主要技术分析16五实训的设计进度安排16六主要参考文献及资源1733百度文库- 让每个人平等地提升自我一实训的目的与要求：客户的网络拓扑比较大， 一个中心网点和 N 个分支网点，且每个分支网点都需要利用 GRE OVER IPSec与中心网点建立 VPN连接。由于 GRE隧道有一定的局限性， Tunnel 接口过多，造成配置的复杂，而 Tunnel 接口

3、的最大数目为 4096 个，那么，分支数目超过此数就无法继续建立 GRE隧道，且还没有算上有些是备份的链路。 采用 P2MP将大大简化 Tunnel 接口的配置，且也解决了 Tunnel 接口数目不足带来的问题。同样，设备的公网出接口数目是有限的，我们不可能在 N个出接口上建立 IPSec 隧道。采用 IPsec 的模板配置，解决相应配置的问题。实验所用设备：中心设备为 SecBlade 防火墙插卡；软件版本 Feature 3171P11 ；公网出接口G0/3：。分部一设备为 SecBlade 防火墙插卡；软件版本 Feature 3171P11 ；公网出接口G0/3：。分部二设备为 Sec

4、Path V3防火墙；软件版本 Release 1662P07；公网出接口 G0/1：。因特网设备为 S7503E-S交换机；软件版本 Release 6616P01 ；实验中所用接口为 G0/0/25 ：，G0/0/27 ：，G0/0/28: 。44百度文库- 让每个人平等地提升自我二实训的前期准备（设备、用具与软件环境）设备 : 开通局域网与实习用机H3CMSR系列路由器， H3C交换机软件环境： Windows XP 超级终端 HCL三实训的设计步骤大量分支 GREover IPSec 接入的简易配置1) 基本配置各个设备的接口和区域的配置。分部的 IP 地址本应该为动态获取，这里为了简

5、化配置，直接改为静态了。路由配置：中心： ip route-static公网路由ip route-static将业务数据流引向Tunnel 接口，从而触发GRE封装分部一： ip route-static公网路由ip route-static/将业务数据流引向Tunnel接口，从而触发GRE封装分部二： ip route-staticpreference 60ip route-staticpreference 602) GRE配置中心设备：interface Tunnel1ip addresstunnel-protocolgre p2mp / 这里默认采用 GRE，改为 P2MP55百度文库-

6、 让每个人平等地提升自我source/ 源封装地址为回环接口Lookback1 的地址gre p2mpbranch-network-mask/ 采用 P2MP的封装模式，无表示对端的封装地址为多少，只能设置一个掩码表示范围分部一设备：interface Tunnel1ip addresssourcedestination分部设备对中心设备来与是点到点的类型，直接封装相应的源地址和目标地址就行了分部二：interface Tunnel1ip addresssourcedestination3) IPSec 配置在本实验中，分部的 IP 都不是固定的，都为动态获取所得，所以， IKE 的协商方式这

7、里采用野蛮模式中心设备：ike local-name fw1/IKE本端名字（千万不能忘记）ike peer 10exchange-mode aggressivepre-shared-key cipher $c$3$/3EvhWhcCcw0SYCWzLohIg2r1bGeCVY=id-type nameremote-name fw2remote-address fw2 dynamic/ 此处可以不做配置，如果不做配置默认为所有 IP 地址，如图所示：ipsec proposal 10/ 安全提议采用默认的配置即可，也可以自行更改，默认为：66百度文库- 让每个人平等地提升自我ipsec pol

8、icy-template zb1 10ike-peer 10proposal 10/ 总部的类型为点到多点，所以这里采用模板的方法，这样无法配置ACL进行数据流匹配ipsec policy cnc 10 isakmp template zb1/ 模板的应用方式interface GigabitEthernet0/3port link-mode routeip addressipsec policy cnc分部一：acl number 3000rule 0 permit ip source 0 destination 0ike local-name fw2 /配置本端名字ike peer 10e

9、xchange-mode aggressivepre-shared-key cipher $c$3$UaPgUwWG/SiXbHB6XVbtbAVmEBQk1AE=id-type nameremote-name fw1remote-address proposal 10/采用默认，这里也可以不做配置#ipsec policy fb 10 isakmpsecurity acl 3000ike-peer 10proposal 1077百度文库- 让每个人平等地提升自我/ 分部为点到点模式，不用配置模板，此里的 acl 可以用于中心设备的反向匹配分部二：ike peer 10exchange-mod

10、e aggressivepre-shared-key cipher KqbfKcrPdHA=id-type nameremote-namefw1remote-address proposal 10#ipsec policy fb 10 isakmpsecurity acl 3000ike-peer 10proposal 10#acl number 3000rule 0 permit ip source 0 destination 04) 连通性测试只能由分部触发建立，中心侧无法触发。分部一：H3Cping -aPING 56data bytes, press CTRL_C to breakRe

11、quest time outReply from bytes=56 Sequence=2 ttl=255 time=1 msReply from bytes=56 Sequence=3 ttl=255 time=1 msReply from bytes=56 Sequence=4 ttl=255 time=1 msReply from bytes=56 Sequence=5 ttl=255 time=1 ms88百度文库- 让每个人平等地提升自我- ping statistics -5 packet(s) transmitted4 packet(s) received% packet loss

12、round-trip min/avg/max = 1/1/1 msH3C分部二：ping -aPING 56data bytes, press CTRL_C to breakReply from bytes=56 Sequence=1 ttl=255 time=1 msReply from bytes=56 Sequence=2 ttl=255 time=1 msReply from bytes=56 Sequence=3 ttl=255 time=1 msReply from bytes=56 Sequence=4 ttl=255 time=1 msReply from bytes=56 S

13、equence=5 ttl=255 time=1 ms- ping statistics -5 packet(s) transmitted5 packet(s) received% packet lossround-trip min/avg/max = 1/1/1 ms中心设备情况：display ike satotal phase-1 SAs:2connection-idpeerflagphasedoistatus-1RD1IPSEC-99百度文库- 让每个人平等地提升自我3RD1IPSEC-2RD2IPSEC-4RD2IPSEC-flag meaningRD-READY ST-STAYAL

14、IVE RL-REPLACED FD-FADING TO-TIMEOUT分部一与分部二都已经成功建立隧道查看 IPSec SA 隧道display ipsec sa=Interface: GigabitEthernet0/3path MTU: 1500=-IPsec policy name: zbsequence number: 10mode: template-connection id: 1encapsulation mode: tunnelperfect forward secrecy:tunnel:localaddress:remoteaddress:/ 这个是分部一flow:sour

15、 addr:port: 0protocol: IP1010百度文库- 让每个人平等地提升自我dest addr:port: 0protocol: IPinbound ESP SAsspi: 01 (0xe00bef25)/ 这个与分部一的出方向的 SA相同proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa duration (kilobytes/sec): 1843200/3600sa remaining duration (kilobytes/sec): 1843196/1246max received sequence-number: 34anti-repla

16、y check enable: Yanti-replay window size: 32udp encapsulation used for nat traversal: Nstatus: -outbound ESP SAsspi: 02 (0xab191eba)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa duration (kilobytes/sec): 1843200/3600sa remaining duration (kilobytes/sec): 1843196/1246max received sequence-number: 35udp en

17、capsulation used for nat traversal: Nstatus: -IPsec policy name: zbsequence number: 10mode: template-connection id: 21111百度文库- 让每个人平等地提升自我encapsulation mode: tunnelperfect forward secrecy:tunnel:localaddress:remoteaddress:/ 这个是分部二flow:sour addr:port: 0protocol: IPdest addr:port: 0protocol: IPinbound

18、 ESP SAsspi: 67 (0xd9a7efc7)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa duration (kilobytes/sec): 1843200/3600sa remaining duration (kilobytes/sec): 1843197/1559max received sequence-number: 19anti-replay check enable: Yanti-replay window size: 32udp encapsulation used for nat traversal: Nstatus: -outb

19、ound ESP SAsspi: 3 (0x1b790983)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa duration (kilobytes/sec): 1843200/3600sa remaining duration (kilobytes/sec): 1843197/1559max received sequence-number: 20udp encapsulation used for nat traversal: Nstatus: -1212百度文库- 让每个人平等地提升自我分部一的 IPSec SAdisplay ipsec sa=Inte

20、rface: GigabitEthernet0/3path MTU: 1500=-IPsec policy name: fbsequence number: 10mode: isakmp-connection id: 1encapsulation mode: tunnelperfect forward secrecy:tunnel:localaddress:remote address: /与总部方向建立 SAflow:sour addr:port: 0protocol: IPdest addr:port: 0protocol: IPinbound ESP SAsspi: 02 (0xab19

21、1eba)/ 对比总部的第一个出方向的 SA，这两个值相同proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa duration (kilobytes/sec): 1843200/3600sa remaining duration (kilobytes/sec): 1843196/738max received sequence-number: 34anti-replay check enable: Y1313百度文库- 让每个人平等地提升自我anti-replay window size: 32udp encapsulation used for nat trav

22、ersal: Nstatus: -outbound ESP SAsspi: 01 (0xe00bef25)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa duration (kilobytes/sec): 1843200/3600sa remaining duration (kilobytes/sec): 1843196/738max received sequence-number: 35udp encapsulation used for nat traversal: Nstatus: -分部二 IPSec SAdisplay ipsec sa=Inter

23、face: GigabitEthernet0/1path MTU: 1500=-IPsec policy name: fbsequence number: 10mode: isakmp-Created by: Hostconnection id: 4encapsulation mode: tunnelperfect forward secrecy: None1414百度文库- 让每个人平等地提升自我tunnel:localaddress:remoteaddress:/ 与总部方向建立 SAflow:(38 times matched)sour addr:port: 0protocol: IPd

24、est addr:port: 0protocol: IPinbound ESP SAsspi: 3 (0x1b790983)/ 与总部第二个出方向的 SA值相同proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa key duration (bytes/sec): 00/3600sa remaining key duration (bytes/sec): 48/938max received sequence-number: 19udp encapsulation used for nat traversal: Noutbound ESP SAsspi: 67 (0

25、xd9a7efc7)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa key duration (bytes/sec): 00/3600sa remaining key duration (bytes/sec): 48/938max sent sequence-number: 20udp encapsulation used for nat traversal: N使用模板的 IPSec 配置，原理与直接使用策略的配置相同， 相比之下，使用模板的配置主要是为总部设备简化了配置，并且大大的减少了所需要的公网出接口，但是采用模板的配置也有一个缺点，就是数据的通道只能

26、由分部进行触发了。中心设备：在 web界面上查看 GRE的隧道情况GRE隧道情况：1515百度文库- 让每个人平等地提升自我GRE隧道的老化时间为默认为5 秒，这里我改为20 秒，方便查看。默认的 Tunnel 接口封装为 GRE的点对点模式，这样，如果要建立 N 个隧道，那么将需要 N个 Tunnel 接口，配置也将复杂化，采用 P2MP的模式，需要的 Tunnel 接口减少到了一个配置量也大大的减少了， 和 IPSec 的模板形式一样，采用 P2MP的模式，总部设备将无法触发隧道的建立，采用 P2MP，相应的数据封装和 GRE一样。分部设备：略！四、 配置关键点1、 中心设备采用 P2MP

27、的方式建立 GRE隧道，分部设备也采用 P2M方式，将无法建立 GRE隧道，所以分部必须采用点到点的方式。2、 中心设备的 IPSec 由于要与 N个分部建立隧道连接，所以采用模板的配置，如果分部也采用模板，那么将无法建立 IPSec 连接，所以分部一定要配置策略。四实训的设计要点及主要技术分析1、设计网络拓扑结构。2、交换机、路由器的配置。五实训的设计进度安排第一课时：完成需求分析和资料搜集、设备选型、网络规划1616百度文库- 让每个人平等地提升自我第二课时：路由交换配置、文档编写六主要参考文献及资源H3C 网络学院路由交换第 1 卷杭州华三通信技术有限公司H3C 网络学院路由交换第 2 卷杭州华三通信技术有限公司H3C 网络学院路由交换第 3 卷杭州华三通信技术有限公司H3C 网络学院路由交换第 4 卷杭州华三通信技术有限公司华三网站1717