江苏
某同行的客户有此需求:一个总部,两个异地分公司,三台华为防火墙,要求三地局域网互联,服务器之间要互相备份重要数据,任意地点的用户,都能访问不同办公地点的服务器资源。
要说最省钱的方法,肯定是ipsec,华为防火墙自带的功能,安全又好用,不用白不用。
真实的环境配置完成了,还原到模拟器就简单点吧,拓扑图如下:
一、总部防火墙(FW1)的配置:
1、配置接口IP,允许ping,允许https登录
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.65.2 255.255.255.0
alias GE0/METH
service-manage https permit
service-manage ping permit
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.1.2 255.255.255.252
alias O
service-manage https permit
service-manage ping permit
ipsec policy ipsec1151952173
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.100.1 255.255.255.252
alias i
service-manage https permit
service-manage ping permit
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.10.1 255.255.255.0
service-manage ping permit
2、将接口放到相应的安全区域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
3、配置静态路由
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
ip route-static 192.168.8.0 255.255.252.0 192.168.100.2
4、配置安全策略
security-policy
rule name internet *允许dmz、local、trust访问untrust
source-zone dmz
source-zone local
source-zone trust
destination-zone untrust
action permit
rule name 8to20&28 *允许总部局域网与两个分公司的局域网
source-zone trust
destination-zone untrust
source-address 192.168.8.0 mask 255.255.252.0
destination-address 192.168.20.0 mask 255.255.252.0
destination-address 192.168.28.0 mask 255.255.252.0
action permit
rule name 20&28to8 *允许两个分公司的局域网访问总部的局域网
source-zone untrust
destination-zone trust
source-address 192.168.20.0 mask 255.255.252.0
source-address 192.168.28.0 mask 255.255.252.0
destination-address 192.168.8.0 mask 255.255.252.0
action permit
rule name Untrust2Local *允许untrust区域访问防火墙本身(Local),ipsec必须有此策略
source-zone untrust
destination-zone local
action permit
rule name dmz *允许trust和untrust区域访问dmz区域,因为服务器在DMZ区域
source-zone trust
source-zone untrust
destination-zone dmz
action permit
5、配置ipsec
不好意思,配置ipsec的命令真不熟,而且也很麻烦,所以就用web配置了;
如上图所示,选择“点到多点”,因为有两个分公司;策略名称随便写一个,本地接口就是互联网接口,连接光猫那个;本端地址就是电信运营商给的固定IP;预共享密码自定义;本端ID,这里选择为IP地址,对端ID就不填写了,多个分公司无法填写,如果分公司是PPPOE的宽带,更是没办法填写。
加密的数据流,源地址是填写总部本地局域网,目的地址,我这里自定义了一个地址组,就是包含了两个分公司的局域网。
反向路由注入,记得勾选上,不然就得手写去往分公司的静态路由了;
IKE和IPSec参数,看情况自定义,保持三地相同即可,如果是不同品牌的防火墙要互联,那就要看清楚了,肯定需要有个折中的方案,无法保持一致就不能联网了。
下面这个图片,是三台防火墙全部配置完成后,ipsec连接成功后的截图,目前来说,暂时是看不到这个的。
顺便看一下,命令行配置完成的安全策略,是什么样子的:
配置安全策略,用web界面也很方便的,点几下鼠标,输入相应网段就行。
二、分公司防火墙(FW2、FW3)的配置
配置都差不多类似,就不重复贴出来了,看看ipsec配置的不同之处吧:
三、检测配置效果
三地IPSec配置完成,且已经成功连接,检测一下效果,是否达到预期目标:
1、用PC1 ping PC3和PC6,都能ping通,表示三地局域网已经成功互联;
2、用PC5 ping Server1和Server2,也都能ping通,进一步证明三地局域网已经成功互联,并且DMZ区域的服务器正常提供服务,异地访问没问题了。
补充说明:各个VLAN都是/24的掩码长度,安全策略以及静态路由里面的/22,是为了减少路由条目,并不是写错了,之前在其他文章中有网友提出疑问,今天顺便再一次解释,其实这也是常用的手段,并不新鲜。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
