某公司与H3CGRE OVER IPSEC WITH OSPF 配置案例
目录
一、前言IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
通常情况下,IPsec不能传输路由协议,例如RIP和OSPF;或者非IP数据流,例如IPX(Internetwork Packet Exchange)和AppleTalk。这样,如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由。
该特性适合较为大型的网络中总部与分支机构之间,保证了所有的数据,包括路由信息在内的所有报文都能够得到保护。
二、实施网络拓扑图
环境说明:总部为H3C的F1030防火墙,采用网关部署,前面是某公司 AD,但是已经做全映射,逻辑图如上。其实有6个分支,其他分支都已经和总部IPSEC对接好,业务正常,此文档采用2个分支环境说明,分支一为H3C S2600路由器,分支二为新增的NGAF F1000防火墙(版本v7.2),分支一与总部采用GRE over IPSEC对接好,并配置了OPSF部署,业务都可以正常使用。现在新增一台某公司NGAF和总部采用GRE over IPSEC对接并配置OSPF。
三、某公司防火墙配置方式与截图
1. 基础网络配置
配置接口、区域、路由、防火墙规则和内容安全规则等。保证上网没有问题
2. 配置GRE接口
3. 配置GRE配置GRE的源IP配置在内网接口上,在H3C防火墙那边需要配置LOOP接口IP,这点和H3C有点区别。
4. 配置IPSEC VPNIPSEC VPN基本配置都差不多,注意第二阶段的出入站策略中只需要把GRE接口中。
5. 配置OSPF配置运行网段(GRE接口IP)和区域ID、接口进行配置。最开始我们是OSPF路由状态正常,然后没有路由信息,最后发现是需要把GER接口的源端地址配置在LAN接口上,然后在出入站策略中不需要写分支和总部的内网信息,通过OSPF学习到即可。
6. 验证配置通过以上配置后,IPSECVPN 起来后,OSPF路由会进行学习,学习路由后测试业务都是正常,和总部和分支1都可以正常通讯。
四、分支H3C 路由器配置方式五、总结H3C路由器配置比较繁琐,需要配置完IPSEC VPN 的必需配置外,还需LoopBack0接口,然后配置Tunnel接口,再配置OSPF等内容,某公司防火墙配置比较简单,只需配置GRE接口,然后再配置策略即可。
发表于 2018-9-25 14:18
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
