×

GRE OVER IPSEC WITH OSPF
  

hejiancai 3197950

{{ttag.title}}
本帖最后由 hejiancai 于 2018-9-25 15:31 编辑

某公司H3CGRE OVER IPSEC WITH       OSPF 配置案例
目录
一、前言
IPsecIP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。GREVPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
通常情况下,IPsec不能传输路由协议,例如RIPOSPF;或者非IP数据流,例如IPXInternetwork Packet Exchange)和AppleTalk。这样,如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由。
该特性适合较为大型的网络中总部与分支机构之间,保证了所有的数据,包括路由信息在内的所有报文都能够得到保护。
二、实施网络拓扑图


环境说明:总部为H3CF1030防火墙,采用网关部署,前面是某公司 AD,但是已经做全映射,逻辑图如上。其实有6个分支,其他分支都已经和总部IPSEC对接好,业务正常,此文档采用2个分支环境说明,分支一为H3C S2600路由器,分支二为新增的NGAF F1000防火墙(版本v7.2),分支一与总部采用GRE over IPSEC对接好,并配置了OPSF部署,业务都可以正常使用。现在新增一台某公司NGAF和总部采用GRE over IPSEC对接并配置OSPF

三、某公司防火墙配置方式与截图
1.   基础网络配置
配置接口、区域、路由、防火墙规则和内容安全规则等。保证上网没有问题

2.   配置GRE接口


3.   配置GRE
配置GRE的源IP配置在内网接口上,在H3C防火墙那边需要配置LOOP接口IP,这点和H3C有点区别。

4.   配置IPSEC VPN
IPSEC VPN基本配置都差不多,注意第二阶段的出入站策略中只需要把GRE接口中。




5.   配置OSPF
配置运行网段(GRE接口IP)和区域ID、接口进行配置。最开始我们是OSPF路由状态正常,然后没有路由信息,最后发现是需要把GER接口的源端地址配置在LAN接口上,然后在出入站策略中不需要写分支和总部的内网信息,通过OSPF学习到即可。


6.   验证配置
通过以上配置后,IPSECVPN 起来后,OSPF路由会进行学习,学习路由后测试业务都是正常,和总部和分支1都可以正常通讯。
四、分支H3C 路由器配置方式
五、总结
H3C路由器配置比较繁琐,需要配置完IPSEC VPN 的必需配置外,还需LoopBack0接口,然后配置Tunnel接口,再配置OSPF等内容,某公司防火墙配置比较简单,只需配置GRE接口,然后再配置策略即可。

SANGFOR与H3C GRE OVER IPSEC WITH OSPF 配置案例.docx

392.61 KB, 下载次数: 156

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

sangfor_闪电回_小六 发表于 2018-9-29 09:54
  
感谢分享,换个中文标题就更好了!这样点击率更高哟~
78465 发表于 2018-9-29 16:56
  
谢谢分享
zl113x 发表于 2018-9-30 08:43
  
感谢分享,学习学习        
法律框架 发表于 2018-11-21 07:50
  
感谢分享,学习学习
玖零网络 发表于 2018-11-22 10:50
  
很好的 学习资料
感谢 分享
ie5000 发表于 2018-11-22 15:02
  
这文档,666
YUIYUI 发表于 2018-11-23 08:30
  
赞一个               
feeling 发表于 2018-12-3 21:27
  
很有帮助
好心情能长寿 发表于 2018-12-4 11:32
  
学习了,很好
发表新帖
作者其他文章
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人