中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁 > 資訊動(dòng)態(tài) > 艾銻分享 >

網(wǎng)絡(luò)運(yùn)維|L2TP和IPSec的結(jié)合來用

2020-06-15 22:35 作者：admin

網(wǎng)絡(luò)運(yùn)維|L2TP和IPSec的結(jié)合來用

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下L2TP和IPSec結(jié)合使用的意義，網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

應(yīng)用OSPF的GRE隧道

內(nèi)網(wǎng)設(shè)備要傳輸?shù)哪承?shù)據(jù)公網(wǎng)設(shè)備不支持時(shí)，可配置GRE隧道來傳輸。當(dāng)內(nèi)網(wǎng)設(shè)備較多時(shí)可以在設(shè)備和內(nèi)網(wǎng)設(shè)備之間配置動(dòng)態(tài)路由，使用戶端發(fā)送的報(bào)文由隧道傳輸。

組網(wǎng)需求

如圖10-60所示，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B通過USG_A和USG_B連接到Internet。
網(wǎng)絡(luò)環(huán)境描述如下：
· USG_A和USG_B路由可達(dá)。
· USG_A和USG_B之間使用三層隧道協(xié)議GRE，實(shí)現(xiàn)網(wǎng)絡(luò)A和網(wǎng)絡(luò)B互聯(lián)。
· PC1和PC2上分別指定USG_A、USG_B為自己的缺省網(wǎng)關(guān)。
· 啟用動(dòng)態(tài)路由協(xié)議OSPF。USG_A、USG_B的GRE隧道接口以及內(nèi)網(wǎng)接口IP地址加入同一個(gè)OSPF進(jìn)程。
圖配置應(yīng)用OSPF的GRE隧道組網(wǎng)圖

配置思路

對于USG_A和USG_B，配置思路相同。如下：
1. 完成接口基本配置。
2. 分別創(chuàng)建GRE隧道接口，并配置GRE隧道接口的IP地址、源地址和目的地址。
3. 開啟本地策略和轉(zhuǎn)發(fā)策略。
4. 將GRE隧道接口、內(nèi)網(wǎng)接口加入到同一個(gè)OSPF進(jìn)程。

操作步驟

· 配置USG_A。
1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中，單擊GE0/0/1對應(yīng)的

。
c. 在“修改GigabitEthernet”界面中，配置如下：
§ 安全區(qū)域：trust
§ IP地址：10.1.1.1
§ 子網(wǎng)掩碼：255.255.255.0
其他配置項(xiàng)采用缺省值。
d. 單擊“應(yīng)用”。
e. 在“接口列表”中，單擊GE0/0/2對應(yīng)的

。
f. 在“修改GigabitEthernet”界面中，配置如下：
§ 安全區(qū)域：untrust
§ IP地址：200.1.1.1
§ 子網(wǎng)掩碼：255.255.255.0
其他配置項(xiàng)采用缺省值。
g. 單擊“應(yīng)用”。
2. 配置GRE隧道接口。
說明：
GRE隧道接口可以加入到任意一個(gè)安全區(qū)域。當(dāng)GRE隧道接口和源端接口（源端地址所屬的接口）不在同一安全區(qū)域中時(shí)，需要配置域間包過濾，使兩個(gè)安全區(qū)域能夠互相訪問。
a. 選擇“VPN > GRE > GRE”。
b. 在“GRE接口列表”中，單擊“新建”。
c. 配置GRE隧道接口參數(shù)。
3. 對于USG系列，配置域間包過濾，以保證網(wǎng)絡(luò)基本通信正常。對于USG BSR/HSR系列，不需要執(zhí)行此步驟。
a. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
. 選擇“防火墻 > 安全策略 > 本地策略”。
i. 在“本地策略”中單擊“新建”。配置如下參數(shù)：
§ 源安全區(qū)域：untrust
§ 源地址：200.10.1.0/24
§ 動(dòng)作：permit
ii. 單擊“應(yīng)用”。
a. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
i. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域：trust
§ 目的安全區(qū)域：untrust
§ 源地址：10.1.1.0/24
§ 目的地址：192.168.1.0/24
§ 動(dòng)作：permit
iii. 單擊“應(yīng)用”。
iv. 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域：untrust
§ 目的安全區(qū)域：trust
§ 源地址：192.168.1.0/24
§ 目的地址：10.1.1.0/24
§ 動(dòng)作：permit
v. 單擊“應(yīng)用”。
1. 將GRE隧道接口、內(nèi)網(wǎng)接口加入到同一個(gè)OSPF進(jìn)程。
a. 選擇“路由 > 動(dòng)態(tài) > OSPF”。
b. 單擊OSPF列表中的“新建”。
c. 新建OSPF進(jìn)程，配置參數(shù)如下：
§ 進(jìn)程ID：1
§ 路由器ID：200.1.1.1
其他配置項(xiàng)采用缺省值。
a. 單擊OSPF進(jìn)程1對應(yīng)的

，進(jìn)入OSPF進(jìn)程配置界面。
b. 在“OSPF進(jìn)程ID：1”導(dǎo)航樹中選擇“基本配置 > 區(qū)域配置”。
c. 單擊“新建”，新建區(qū)域。
d. 配置新建區(qū)域的參數(shù)如下：
§ 區(qū)域：0.0.0.0
§ 網(wǎng)段IP：10.1.1.0
§ 正/反掩碼：0.0.0.255
其他配置項(xiàng)采用缺省值。
e. 單擊“確定”。
f. 在“OSPF進(jìn)程ID：1”導(dǎo)航樹中選擇“基本配置 > 網(wǎng)絡(luò)配置”。
g. 單擊“新建”，新建網(wǎng)段IP。
h. 配置新建網(wǎng)段的參數(shù)如下：
§ 區(qū)域：0.0.0.0
§ 網(wǎng)段IP：40.1.1.0
§ 正/反掩碼：0.0.0.255
其他配置項(xiàng)采用缺省值。
i. 單擊“確定”。
· 配置USG_B。
1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中，單擊GE0/0/1對應(yīng)的

。
c. 在“修改GigabitEthernet”界面中，配置如下：
§ 安全區(qū)域：trust
§ IP地址：192.168.1.1
§ 子網(wǎng)掩碼：255.255.255.0
其他配置項(xiàng)采用缺省值。
d. 單擊“應(yīng)用”。
e. 在“接口列表”中，單擊GE0/0/2對應(yīng)的

。
f. 在“修改GigabitEthernet”界面中，配置如下：
§ 安全區(qū)域：untrust
§ IP地址：200.10.1.1
§ 子網(wǎng)掩碼：255.255.255.0
其他配置項(xiàng)采用缺省值。
g. 單擊“應(yīng)用”。
2. 配置GRE隧道接口。
說明：
GRE隧道接口可以加入到任意一個(gè)安全區(qū)域。當(dāng)GRE隧道接口和源端接口（源端地址所屬的接口）不在同一安全區(qū)域中時(shí)，需要配置域間包過濾，使兩個(gè)安全區(qū)域能夠互相訪問。
a. 選擇“VPN > GRE > GRE”。
b. 在“GRE接口列表”中，單擊“新建”。
c. 配置GRE隧道接口參數(shù)。
3. 對于USG系列，配置域間包過濾，以保證網(wǎng)絡(luò)基本通信正常。對于USG BSR/HSR系列，不需要執(zhí)行此步驟。
a. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
. 選擇“防火墻 > 安全策略 > 本地策略”。
i. 在“本地策略”中單擊“新建”。配置如下參數(shù)：
§ 源安全區(qū)域：untrust
§ 源地址：200.1.1.0/24
§ 動(dòng)作：permit
ii. 單擊“應(yīng)用”。
a. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
i. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域：trust
§ 目的安全區(qū)域：untrust
§ 源地址：192.168.1.0/24
§ 目的地址：10.1.1.0/24
§ 動(dòng)作：permit
iii. 單擊“應(yīng)用”。
iv. 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
§ 源安全區(qū)域：untrust
§ 目的安全區(qū)域：trust
§ 源地址：10.1.1.0/24
§ 目的地址：192.168.1.0/24
§ 動(dòng)作：permit
v. 單擊“應(yīng)用”。
1. 將GRE隧道接口、內(nèi)網(wǎng)接口加入到同一個(gè)OSPF進(jìn)程。
a. 選擇“路由 > 動(dòng)態(tài) > OSPF”。
b. 單擊OSPF列表中的“新建”。
c. 新建OSPF進(jìn)程，配置參數(shù)如下：
§ 進(jìn)程ID：1
§ 路由器ID：200.10.1.1
其他配置項(xiàng)采用缺省值。
a. 單擊OSPF進(jìn)程1對應(yīng)的

，進(jìn)入OSPF進(jìn)程配置界面。
b. 在“OSPF進(jìn)程ID：1”導(dǎo)航樹中選擇“基本配置 > 區(qū)域配置”。
c. 單擊“新建”，新建區(qū)域。
d. 配置新建區(qū)域的參數(shù)如下：
§ 區(qū)域：0.0.0.0
§ 網(wǎng)段IP：192.168.1.0
§ 正/反掩碼：0.0.0.255
其他配置項(xiàng)采用缺省值。
e. 單擊“確定”。
f. 在“OSPF進(jìn)程ID：1”導(dǎo)航樹中選擇“基本配置 > 網(wǎng)絡(luò)配置”。
g. 單擊“新建”，新建網(wǎng)段IP。
h. 配置新建網(wǎng)段的參數(shù)如下：
§ 區(qū)域：0.0.0.0
§ 網(wǎng)段IP：40.1.1.0
§ 正/反掩碼：0.0.0.255
其他配置項(xiàng)采用缺省值。
i. 單擊“確定”。

結(jié)果驗(yàn)證

1. 配置完成后，從PC1 ping PC2，發(fā)現(xiàn)可以ping通。
2. 選擇“路由 > 監(jiān)控 > 路由表”，可以查看到到達(dá)對端網(wǎng)絡(luò)的路由，使用的協(xié)議為OSPF，出接口為GRE隧道接口。
3. 分別在USG_A和USG_B上查看GRE隧道的建立情況。以USG_A為例。查看到有通過GRE隧道加封裝和解封裝的報(bào)文數(shù)，說明GRE隧道建立成功。如圖10-63所示。
圖10-63 查看USG_A的GRE隧道信息

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：辦公設(shè)備:復(fù)印機(jī)出現(xiàn)復(fù)印不清楚的幾個(gè)原因及解決辦法

下一篇：電腦運(yùn)維技術(shù)文章：如何關(guān)閉Win10易升？Win10系統(tǒng)易升的關(guān)閉方法

相關(guān)文章