收藏
下载资源

实训量分支GREoverIPSec接入的简易配置实训指导书(精)

上传人:xmg****18 文档编号:118796797 上传时间:2019-12-25 格式:DOC 页数:18 大小:2.81MB
返回 下载 相关 举报
实训量分支GREoverIPSec接入的简易配置实训指导书(精)_第1页
第1页 / 共18页
实训量分支GREoverIPSec接入的简易配置实训指导书(精)_第2页
第2页 / 共18页
实训量分支GREoverIPSec接入的简易配置实训指导书(精)_第3页
第3页 / 共18页
实训量分支GREoverIPSec接入的简易配置实训指导书(精)_第4页
第4页 / 共18页
实训量分支GREoverIPSec接入的简易配置实训指导书(精)_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《实训量分支GREoverIPSec接入的简易配置实训指导书(精)》由会员分享,可在线阅读,更多相关《实训量分支GREoverIPSec接入的简易配置实训指导书(精)(18页珍藏版)》请在金锄头文库上搜索。

1、. . . . .实训指导书所在系别: 计算机技术系 所属专业: 计算机网络技术 指导教师: 董科鹏 专业负责人: 孙志成 指导书填写要求1. 实训设计指导书由指导教师根据课题的具体情况进行设计填写,经学生所在专业的负责人审查、系领导签字后生效。此指导书应在课程设计开始前一周内填好并发给学生;2. 指导书填写的内容,必须具有指导学生课程设计的要求。若有变更,应当经过所在专业教研室及系主管领导审批后方可重新填写;3. 本指导书内有关“系”、“专业”等名称的填写,应写中文全称,学生的“学号”要写全,不能只写最后2位或1位数字;4. 有关年月日等日期的填写,一律用阿拉伯数字书写。如“2015年3月2

2、日”或“2015-03-02”。1. 目录一实训的目的与要求:4二实训的前期准备(设备、用具与软件环境)4三实训的设计步骤4四实训的设计要点及主要技术分析4五实训的设计进度安排5六主要参考文献及资源5一实训的目的与要求:客户的网络拓扑比较大,一个中心网点和N个分支网点,且每个分支网点都需要利用GRE OVER IPSec与中心网点建立VPN连接。由于GRE隧道有一定的局限性,Tunnel接口过多,造成配置的复杂,而Tunnel接口的最大数目为4096个,那么,分支数目超过此数就无法继续建立GRE隧道,且还没有算上有些是备份的链路。采用P2MP将大大简化Tunnel接口的配置,且也解决了Tunn

3、el接口数目不足带来的问题。同样,设备的公网出接口数目是有限的,我们不可能在N个出接口上建立IPSec隧道。采用IPsec的模板配置,解决相应配置的问题。实验所用设备:中心设备为SecBlade防火墙插卡;软件版本Feature 3171P11;公网出接口G0/3:172.16.10.1。分部一设备为SecBlade防火墙插卡;软件版本Feature 3171P11;公网出接口G0/3:172.16.30.1。分部二设备为SecPath V3防火墙;软件版本Release 1662P07;公网出接口G0/1:172.16.20.1。因特网设备为S7503E-S交换机;软件版本Release 6

4、616P01;实验中所用接口为G0/0/25:172.16.10.2,G0/0/27:172.16.30.2,G0/0/28:192.168.20.1。二实训的前期准备(设备、用具与软件环境)设备:开通局域网与实习用机 H3CMSR系列路由器,H3C交换机软件环境:Windows XP 超级终端 HCL3 实训的设计步骤大量分支GRE over IPSec接入的简易配置1)基本配置各个设备的接口和区域的配置。分部的IP地址本应该为动态获取,这里为了简化配置,直接改为静态了。路由配置:中心:ip route-static 0.0.0.0 0.0.0.0 172.16.10.2/公网路由 ip r

5、oute-static 2.2.2.2 255.255.255.255 10.0.0.2/将业务数据流引向Tunnel接口,从而触发GRE封装分部一:ip route-static 0.0.0.0 0.0.0.0 172.16.30.2/公网路由ip route-static 1.1.1.1 255.255.255.255 10.0.0.1 /将业务数据流引向Tunnel接口,从而触发GRE封装分部二:ip route-static 0.0.0.0 0.0.0.0 172.16.20.2 preference 60ip route-static 1.1.1.1 255.255.255.255

6、10.0.0.1 preference 602)GRE配置中心设备:interface Tunnel1ip address 10.0.0.1 255.255.255.0tunnel-protocol gre p2mp/这里默认采用GRE,改为P2MPsource 192.168.10.1/源封装地址为回环接口Lookback1的地址gre p2mp branch-network-mask 255.255.255.0/采用P2MP的封装模式,无表示对端的封装地址为多少,只能设置一个掩码表示范围分部一设备:interface Tunnel1ip address 10.0.0.2 255.255.2

7、55.0source 192.168.10.2destination 192.168.10.1/分部设备对中心设备来与是点到点的类型,直接封装相应的源地址和目标地址就行了分部二:interface Tunnel1ip address 10.0.0.3 255.255.255.0source 192.168.10.3destination 192.168.10.13)IPSec配置在本实验中,分部的IP都不是固定的,都为动态获取所得,所以,IKE的协商方式这里采用野蛮模式中心设备:ike local-name fw1 /IKE本端名字(千万不能忘记)ike peer 10exchange-mod

8、e aggressivepre-shared-key cipher $c$3$/3EvhWhcCcw0SYCWzLohIg2r1bGeCVY=id-type nameremote-name fw2remote-address fw2 dynamic/此处可以不做配置,如果不做配置默认为所有IP地址,如图所示:ipsec proposal 10/安全提议采用默认的配置即可,也可以自行更改,默认为:ipsec policy-template zb1 10ike-peer 10proposal 10/总部的类型为点到多点,所以这里采用模板的方法,这样无法配置ACL进行数据流匹配ipsec polic

9、y cnc 10 isakmp template zb1/模板的应用方式interface GigabitEthernet0/3port link-mode routeip address 172.16.10.1 255.255.255.0ipsec policy cnc分部一:acl number 3000rule 0 permit ip source 192.168.10.2 0 destination 192.168.10.1 0ike local-name fw2 /配置本端名字ike peer 10exchange-mode aggressivepre-shared-key ciph

10、er $c$3$UaPgUwWG/SiXbHB6XVbtbAVmEBQk1AE=id-type nameremote-name fw1remote-address 172.16.10.1#ipsec proposal 10/采用默认,这里也可以不做配置#ipsec policy fb 10 isakmpsecurity acl 3000ike-peer 10proposal 10/分部为点到点模式,不用配置模板,此里的acl可以用于中心设备的反向匹配分部二:ike peer 10exchange-mode aggressivepre-shared-key cipher KqbfKcrPdHA=

11、id-type nameremote-name fw1remote-address 172.16.10.1#ipsec proposal 10#ipsec policy fb 10 isakmpsecurity acl 3000ike-peer 10proposal 10#acl number 3000rule 0 permit ip source 192.168.10.3 0 destination 192.168.10.1 04)连通性测试只能由分部触发建立,中心侧无法触发。分部一:H3Cping -a 2.2.2.2 1.1.1.1 PING 1.1.1.1: 56 data bytes

12、, press CTRL_C to break Request time out Reply from 1.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms Reply from 1.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 1.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 1.1.1.1: bytes=56 Sequence=5 ttl=255 time=1 ms - 1.1.1.1 ping statistics -

13、 5 packet(s) transmitted 4 packet(s) received 20.00% packet loss round-trip min/avg/max = 1/1/1 msH3C分部二:ping -a 3.3.3.3 1.1.1.1 PING 1.1.1.1: 56 data bytes, press CTRL_C to break Reply from 1.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms Reply from 1.1.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms Reply from 1.1.1.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 1.1.1.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 1.1.1.1: bytes=56 Sequence=5 ttl=255 time=1 ms - 1.1.1.1 ping statistics - 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/1

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号