網絡運維|L2TP和IPSec的結合來用
2020-06-15 22:35 作者:admin
網絡運維|L2TP和IPSec的結合來用
大家好,我是一枚從事IT外包的網絡安全運維工程師,今天和大家分享的是網絡安全設備維護相關的內容,在這里介紹下L2TP和IPSec結合使用的意義,網絡安全運維,從Web管理輕松學起,一步一步學成網絡安全運維大神。網絡維護是一種日常維護,包括網絡設備管理(如計算機,服務器)、操作系統維護(系統打補丁,系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務,北京網絡維修信息查詢,同時您可以免費資訊北京網絡維護,北京網絡維護服務,北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
應用OSPF的GRE隧道
內網設備要傳輸的某些數據公網設備不支持時,可配置GRE隧道來傳輸。當內網設備較多時可以在設備和內網設備之間配置動態路由,使用戶端發送的報文由隧道傳輸。組網需求
如圖10-60所示,網絡A和網絡B通過USG_A和USG_B連接到Internet。網絡環境描述如下:
· USG_A和USG_B路由可達。
· USG_A和USG_B之間使用三層隧道協議GRE,實現網絡A和網絡B互聯。
· PC1和PC2上分別指定USG_A、USG_B為自己的缺省網關。
· 啟用動態路由協議OSPF。USG_A、USG_B的GRE隧道接口以及內網接口IP地址加入同一個OSPF進程。
圖 配置應用OSPF的GRE隧道組網圖
配置思路
對于USG_A和USG_B,配置思路相同。如下:1. 完成接口基本配置。
2. 分別創建GRE隧道接口,并配置GRE隧道接口的IP地址、源地址和目的地址。
3. 開啟本地策略和轉發策略。
4. 將GRE隧道接口、內網接口加入到同一個OSPF進程。
操作步驟
· 配置USG_A。1. 配置接口基本參數。
a. 選擇“網絡 > 接口 > 接口”。
b. 在“接口列表”中,單擊GE0/0/1對應的
。c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區域:trust
§ IP地址:10.1.1.1
§ 子網掩碼:255.255.255.0
其他配置項采用缺省值。
d. 單擊“應用”。
e. 在“接口列表”中,單擊GE0/0/2對應的
。f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區域:untrust
§ IP地址:200.1.1.1
§ 子網掩碼:255.255.255.0
其他配置項采用缺省值。
g. 單擊“應用”。
2. 配置GRE隧道接口。
說明:
GRE隧道接口可以加入到任意一個安全區域。當GRE隧道接口和源端接口(源端地址所屬的接口)不在同一安全區域中時,需要配置域間包過濾,使兩個安全區域能夠互相訪問。
a. 選擇“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,單擊“新建”。
c. 配置GRE隧道接口參數。
3. 對于USG系列,配置域間包過濾,以保證網絡基本通信正常。對于USG BSR/HSR系列,不需要執行此步驟。
a. 配置Local安全區域和Untrust安全區域之間的安全策略。
. 選擇“防火墻 > 安全策略 > 本地策略”。
i. 在“本地策略”中單擊“新建”。配置如下參數:
§ 源安全區域:untrust
§ 源地址:200.10.1.0/24
§ 動作:permit
ii. 單擊“應用”。
a. 配置Trust安全區域和Untrust安全區域之間的安全策略。
i. 選擇“防火墻 > 安全策略 > 轉發策略”。
ii. 在“轉發策略列表”中單擊“新建”。配置如下參數。
§ 源安全區域:trust
§ 目的安全區域:untrust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 動作:permit
iii. 單擊“應用”。
iv. 重新在“轉發策略列表”中單擊“新建”。配置如下參數。
§ 源安全區域:untrust
§ 目的安全區域:trust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 動作:permit
v. 單擊“應用”。
1. 將GRE隧道接口、內網接口加入到同一個OSPF進程。
a. 選擇“路由 > 動態 > OSPF”。
b. 單擊OSPF列表中的“新建”。
c. 新建OSPF進程,配置參數如下:
§ 進程ID:1
§ 路由器ID:200.1.1.1
其他配置項采用缺省值。
a. 單擊OSPF進程1對應的
,進入OSPF進程配置界面。b. 在“OSPF進程ID:1”導航樹中選擇“基本配置 > 區域配置”。
c. 單擊“新建”,新建區域。
d. 配置新建區域的參數如下:
§ 區域:0.0.0.0
§ 網段IP:10.1.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
e. 單擊“確定”。
f. 在“OSPF進程ID:1”導航樹中選擇“基本配置 > 網絡配置”。
g. 單擊“新建”,新建網段IP。
h. 配置新建網段的參數如下:
§ 區域:0.0.0.0
§ 網段IP:40.1.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
i. 單擊“確定”。
· 配置USG_B。
1. 配置接口基本參數。
a. 選擇“網絡 > 接口 > 接口”。
b. 在“接口列表”中,單擊GE0/0/1對應的
。c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區域:trust
§ IP地址:192.168.1.1
§ 子網掩碼:255.255.255.0
其他配置項采用缺省值。
d. 單擊“應用”。
e. 在“接口列表”中,單擊GE0/0/2對應的
。f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區域:untrust
§ IP地址:200.10.1.1
§ 子網掩碼:255.255.255.0
其他配置項采用缺省值。
g. 單擊“應用”。
2. 配置GRE隧道接口。
說明:
GRE隧道接口可以加入到任意一個安全區域。當GRE隧道接口和源端接口(源端地址所屬的接口)不在同一安全區域中時,需要配置域間包過濾,使兩個安全區域能夠互相訪問。
a. 選擇“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,單擊“新建”。
c. 配置GRE隧道接口參數。
3. 對于USG系列,配置域間包過濾,以保證網絡基本通信正常。對于USG BSR/HSR系列,不需要執行此步驟。
a. 配置Local安全區域和Untrust安全區域之間的安全策略。
. 選擇“防火墻 > 安全策略 > 本地策略”。
i. 在“本地策略”中單擊“新建”。配置如下參數:
§ 源安全區域:untrust
§ 源地址:200.1.1.0/24
§ 動作:permit
ii. 單擊“應用”。
a. 配置Trust安全區域和Untrust安全區域之間的安全策略。
i. 選擇“防火墻 > 安全策略 > 轉發策略”。
ii. 在“轉發策略列表”中單擊“新建”。配置如下參數。
§ 源安全區域:trust
§ 目的安全區域:untrust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 動作:permit
iii. 單擊“應用”。
iv. 重新在“轉發策略列表”中單擊“新建”。配置如下參數。
§ 源安全區域:untrust
§ 目的安全區域:trust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 動作:permit
v. 單擊“應用”。
1. 將GRE隧道接口、內網接口加入到同一個OSPF進程。
a. 選擇“路由 > 動態 > OSPF”。
b. 單擊OSPF列表中的“新建”。
c. 新建OSPF進程,配置參數如下:
§ 進程ID:1
§ 路由器ID:200.10.1.1
其他配置項采用缺省值。
a. 單擊OSPF進程1對應的
,進入OSPF進程配置界面。b. 在“OSPF進程ID:1”導航樹中選擇“基本配置 > 區域配置”。
c. 單擊“新建”,新建區域。
d. 配置新建區域的參數如下:
§ 區域:0.0.0.0
§ 網段IP:192.168.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
e. 單擊“確定”。
f. 在“OSPF進程ID:1”導航樹中選擇“基本配置 > 網絡配置”。
g. 單擊“新建”,新建網段IP。
h. 配置新建網段的參數如下:
§ 區域:0.0.0.0
§ 網段IP:40.1.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
i. 單擊“確定”。
結果驗證
1. 配置完成后,從PC1 ping PC2,發現可以ping通。2. 選擇“路由 > 監控 > 路由表”,可以查看到到達對端網絡的路由,使用的協議為OSPF,出接口為GRE隧道接口。
3. 分別在USG_A和USG_B上查看GRE隧道的建立情況。以USG_A為例。查看到有通過GRE隧道加封裝和解封裝的報文數,說明GRE隧道建立成功。如圖10-63所示。
圖10-63 查看USG_A的GRE隧道信息
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉