網(wǎng)絡(luò)運維|L2TP和IPSec的結(jié)合來用
2020-06-15 22:35 作者:admin
網(wǎng)絡(luò)運維|L2TP和IPSec的結(jié)合來用
大家好,我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師,今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容,在這里介紹下L2TP和IPSec結(jié)合使用的意義,網(wǎng)絡(luò)安全運維,從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運維大神。網(wǎng)絡(luò)維護(hù)是一種日常維護(hù),包括網(wǎng)絡(luò)設(shè)備管理(如計算機,服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補丁,系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維修信息查詢,同時您可以免費資訊北京網(wǎng)絡(luò)維護(hù),北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息
應(yīng)用OSPF的GRE隧道
內(nèi)網(wǎng)設(shè)備要傳輸?shù)哪承?shù)據(jù)公網(wǎng)設(shè)備不支持時,可配置GRE隧道來傳輸。當(dāng)內(nèi)網(wǎng)設(shè)備較多時可以在設(shè)備和內(nèi)網(wǎng)設(shè)備之間配置動態(tài)路由,使用戶端發(fā)送的報文由隧道傳輸。組網(wǎng)需求
如圖10-60所示,網(wǎng)絡(luò)A和網(wǎng)絡(luò)B通過USG_A和USG_B連接到Internet。網(wǎng)絡(luò)環(huán)境描述如下:
· USG_A和USG_B路由可達(dá)。
· USG_A和USG_B之間使用三層隧道協(xié)議GRE,實現(xiàn)網(wǎng)絡(luò)A和網(wǎng)絡(luò)B互聯(lián)。
· PC1和PC2上分別指定USG_A、USG_B為自己的缺省網(wǎng)關(guān)。
· 啟用動態(tài)路由協(xié)議OSPF。USG_A、USG_B的GRE隧道接口以及內(nèi)網(wǎng)接口IP地址加入同一個OSPF進(jìn)程。
圖 配置應(yīng)用OSPF的GRE隧道組網(wǎng)圖
配置思路
對于USG_A和USG_B,配置思路相同。如下:1. 完成接口基本配置。
2. 分別創(chuàng)建GRE隧道接口,并配置GRE隧道接口的IP地址、源地址和目的地址。
3. 開啟本地策略和轉(zhuǎn)發(fā)策略。
4. 將GRE隧道接口、內(nèi)網(wǎng)接口加入到同一個OSPF進(jìn)程。
操作步驟
· 配置USG_A。1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中,單擊GE0/0/1對應(yīng)的
。c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區(qū)域:trust
§ IP地址:10.1.1.1
§ 子網(wǎng)掩碼:255.255.255.0
其他配置項采用缺省值。
d. 單擊“應(yīng)用”。
e. 在“接口列表”中,單擊GE0/0/2對應(yīng)的
。f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區(qū)域:untrust
§ IP地址:200.1.1.1
§ 子網(wǎng)掩碼:255.255.255.0
其他配置項采用缺省值。
g. 單擊“應(yīng)用”。
2. 配置GRE隧道接口。
說明:
GRE隧道接口可以加入到任意一個安全區(qū)域。當(dāng)GRE隧道接口和源端接口(源端地址所屬的接口)不在同一安全區(qū)域中時,需要配置域間包過濾,使兩個安全區(qū)域能夠互相訪問。
a. 選擇“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,單擊“新建”。
c. 配置GRE隧道接口參數(shù)。
3. 對于USG系列,配置域間包過濾,以保證網(wǎng)絡(luò)基本通信正常。對于USG BSR/HSR系列,不需要執(zhí)行此步驟。
a. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
. 選擇“防火墻 > 安全策略 > 本地策略”。
i. 在“本地策略”中單擊“新建”。配置如下參數(shù):
§ 源安全區(qū)域:untrust
§ 源地址:200.10.1.0/24
§ 動作:permit
ii. 單擊“應(yīng)用”。
a. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
i. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域:trust
§ 目的安全區(qū)域:untrust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 動作:permit
iii. 單擊“應(yīng)用”。
iv. 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域:untrust
§ 目的安全區(qū)域:trust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 動作:permit
v. 單擊“應(yīng)用”。
1. 將GRE隧道接口、內(nèi)網(wǎng)接口加入到同一個OSPF進(jìn)程。
a. 選擇“路由 > 動態(tài) > OSPF”。
b. 單擊OSPF列表中的“新建”。
c. 新建OSPF進(jìn)程,配置參數(shù)如下:
§ 進(jìn)程ID:1
§ 路由器ID:200.1.1.1
其他配置項采用缺省值。
a. 單擊OSPF進(jìn)程1對應(yīng)的
,進(jìn)入OSPF進(jìn)程配置界面。b. 在“OSPF進(jìn)程ID:1”導(dǎo)航樹中選擇“基本配置 > 區(qū)域配置”。
c. 單擊“新建”,新建區(qū)域。
d. 配置新建區(qū)域的參數(shù)如下:
§ 區(qū)域:0.0.0.0
§ 網(wǎng)段IP:10.1.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
e. 單擊“確定”。
f. 在“OSPF進(jìn)程ID:1”導(dǎo)航樹中選擇“基本配置 > 網(wǎng)絡(luò)配置”。
g. 單擊“新建”,新建網(wǎng)段IP。
h. 配置新建網(wǎng)段的參數(shù)如下:
§ 區(qū)域:0.0.0.0
§ 網(wǎng)段IP:40.1.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
i. 單擊“確定”。
· 配置USG_B。
1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中,單擊GE0/0/1對應(yīng)的
。c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區(qū)域:trust
§ IP地址:192.168.1.1
§ 子網(wǎng)掩碼:255.255.255.0
其他配置項采用缺省值。
d. 單擊“應(yīng)用”。
e. 在“接口列表”中,單擊GE0/0/2對應(yīng)的
。f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全區(qū)域:untrust
§ IP地址:200.10.1.1
§ 子網(wǎng)掩碼:255.255.255.0
其他配置項采用缺省值。
g. 單擊“應(yīng)用”。
2. 配置GRE隧道接口。
說明:
GRE隧道接口可以加入到任意一個安全區(qū)域。當(dāng)GRE隧道接口和源端接口(源端地址所屬的接口)不在同一安全區(qū)域中時,需要配置域間包過濾,使兩個安全區(qū)域能夠互相訪問。
a. 選擇“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,單擊“新建”。
c. 配置GRE隧道接口參數(shù)。
3. 對于USG系列,配置域間包過濾,以保證網(wǎng)絡(luò)基本通信正常。對于USG BSR/HSR系列,不需要執(zhí)行此步驟。
a. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
. 選擇“防火墻 > 安全策略 > 本地策略”。
i. 在“本地策略”中單擊“新建”。配置如下參數(shù):
§ 源安全區(qū)域:untrust
§ 源地址:200.1.1.0/24
§ 動作:permit
ii. 單擊“應(yīng)用”。
a. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
i. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域:trust
§ 目的安全區(qū)域:untrust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 動作:permit
iii. 單擊“應(yīng)用”。
iv. 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域:untrust
§ 目的安全區(qū)域:trust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 動作:permit
v. 單擊“應(yīng)用”。
1. 將GRE隧道接口、內(nèi)網(wǎng)接口加入到同一個OSPF進(jìn)程。
a. 選擇“路由 > 動態(tài) > OSPF”。
b. 單擊OSPF列表中的“新建”。
c. 新建OSPF進(jìn)程,配置參數(shù)如下:
§ 進(jìn)程ID:1
§ 路由器ID:200.10.1.1
其他配置項采用缺省值。
a. 單擊OSPF進(jìn)程1對應(yīng)的
,進(jìn)入OSPF進(jìn)程配置界面。b. 在“OSPF進(jìn)程ID:1”導(dǎo)航樹中選擇“基本配置 > 區(qū)域配置”。
c. 單擊“新建”,新建區(qū)域。
d. 配置新建區(qū)域的參數(shù)如下:
§ 區(qū)域:0.0.0.0
§ 網(wǎng)段IP:192.168.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
e. 單擊“確定”。
f. 在“OSPF進(jìn)程ID:1”導(dǎo)航樹中選擇“基本配置 > 網(wǎng)絡(luò)配置”。
g. 單擊“新建”,新建網(wǎng)段IP。
h. 配置新建網(wǎng)段的參數(shù)如下:
§ 區(qū)域:0.0.0.0
§ 網(wǎng)段IP:40.1.1.0
§ 正/反掩碼:0.0.0.255
其他配置項采用缺省值。
i. 單擊“確定”。
結(jié)果驗證
1. 配置完成后,從PC1 ping PC2,發(fā)現(xiàn)可以ping通。2. 選擇“路由 > 監(jiān)控 > 路由表”,可以查看到到達(dá)對端網(wǎng)絡(luò)的路由,使用的協(xié)議為OSPF,出接口為GRE隧道接口。
3. 分別在USG_A和USG_B上查看GRE隧道的建立情況。以USG_A為例。查看到有通過GRE隧道加封裝和解封裝的報文數(shù),說明GRE隧道建立成功。如圖10-63所示。
圖10-63 查看USG_A的GRE隧道信息
以上文章由北京艾銻無限科技發(fā)展有限公司整理
相關(guān)文章
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運維|SSL VPN
- [服務(wù)器服務(wù)]服務(wù)器維護(hù) | 服務(wù)器維護(hù)
- [網(wǎng)絡(luò)服務(wù)]無線覆蓋 | 智能無線覆蓋
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運維|靜態(tài)路由的GRE隧
- [服務(wù)器服務(wù)]服務(wù)器維護(hù) | 服務(wù)器例行
- [網(wǎng)絡(luò)服務(wù)]無線覆蓋 | 幾種無線覆蓋
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運維|外出員工通過
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)維護(hù)的基礎(chǔ)判斷思路
- [網(wǎng)絡(luò)服務(wù)]無線覆蓋 | 高密度無線覆
- [辦公設(shè)備服務(wù)]如何識別液晶顯示器的質(zhì)
- [辦公設(shè)備服務(wù)]電腦機箱電源常見故障解
- [網(wǎng)絡(luò)服務(wù)]突然斷網(wǎng)不知所措?但
|
||||||
IT電腦維護(hù)外包
關(guān)閉
