secpath典型组网及维护案例

培训提纲,产品简介,产品特色,典型组网,典型配置,常见问题,分部secpath100N和总部secpath1000使用IPSec,IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，同时接受移动用户使用Secpoint,分部secpath100N和总部secpath1000实现GRE+IPSEC隧道,IP网络,远程办公,企业总部,企业分支,合作伙伴,SecPath 100,VPN网关,SecPath 1000,华为3Com VPN客户端,MCU,应用效劳器群,话音设备,语音,视频,数据,语音,视频,数据,VPN隧道,SecPath 100,分部secpath100N和总部secpath1000使用IPSec,IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，同时接受移动用户使用Secpoint,-secpath100-Internet-secpath1000-,ipsec -ipsec,ike local-name zongbu,假设公网地址：secpath100:211.0.0.1(动态),secpath1000:212.0.0.1(固定),分部Ike local-name fenbu,总部ike local-name zongbu,Ipsec使用隧道方式封装私网数据流,Ipsec平安提议使用esp协议，认证算法MD5，加密算法3DES,预共享密钥12345,同时总部的secpath1000还接受VPN客户端Secpoint接入,L2tp隧道名Client_Secpoint,隧道使用同样的Ipsec策略加密,Aaa验证使用rsa ace server进行radius验证和计费,用户密码采用双因素pin码+Token码保证平安和唯一,相关配置如下：,secpath100:,#,ike local-name fenbu,#,ike peer 1,exchange-mode aggressive,pre-shared-key 12345,id-type name,remote-name zongbu,nat traversal,#,ipsec proposal 1,esp encryption-algorithm 3des,#,ipsec policy 1 1 isakmp,security acl 3000,ike-peer 1,proposal 1,#,interface Ethernet0/0,ip address 211.0.0.1 255.255.255.0 这里可能是动态获得比方dhcp,ipsec policy 1,#,interface Ethernet0/1,ip address 192.168.0.1 255.255.255.0 私网地址,#,acl number 3000,rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.31.0.0 0.0.255.255 定义分部和总部私网之间数据流的ACL,#,分部secpath100N和总部secpath1000使用IPSec,IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，同时接受移动用户使用Secpoint,总部Secpath1000 相关配置如下：,#,l2tp enable,#,ip,#,aaa enable,aaa accounting-scheme optional,radius server 172.31.1.100 authentication-port 1645 accounting-port 1646,radius shared-key abcdef98765 /radius预共享密钥,radius timer response-timeout 120,aaa accounting-scheme ppp default start-stop radius,aaa authentication-scheme ppp default radius,#,ike local-name zongbu /总部ike local-name,#,ike peer 1,exchange-mode aggressive /野蛮模式,pre-shared-key 12345 /预共享密钥,id-type name,remote-name fenbu,nat traversal /nat穿越,max-connections 1000 /此peer最大允许1000个用户同时使用,#,ipsec proposal 1,esp encryption-algorithm 3des,#,ipsec policy-template tp 1 /ipsec策略模板配置，不用配置acl,ike-peer 1,proposal 1,#,ipsec policy 1 1 isakmp template tp,#,interface Virtual-Template1 /接受l2tp接入的虚模板,ppp authentication-mode pap,ip,remote address pool 1,#,interface GigabitEthernet0/0,ip address 212.0.0.1 255.255.255.0 /公网固定地址,ipsec policy 1,#,interface GigabitEthernet0/1,ip address 172.31.0.1 255.255.0.0 /私网口,#,interface NULL0,#,l2tp-group 1 /l2tp配置,undo tunnel authentication /不使用隧道验证,allow l2tp virtual-template 1 remote Client_Secpoint /指定l2tp对端隧道名,#,分部secpath100N和总部secpath1000使用IPSec,IPSec配置使用野蛮模式名字方式加策略模板解决分部动态地址和穿越NAT的问题，同时接受移动用户使用Secpoint,详细配置步骤请参见如下典型配置,注意理解文件中所附的隧道报文格式,根本配置,如果对报文格式没有明晰的概念，那么配置VPN很容易出错,DVPN典型配置,华为3Com的动态VPN技术解决了全网互联N/2问题，配置太轻松了！,IP网络,企,业,总,部,企,业,分,支,企,业,分,支,合,作,伙,伴,VPN网关,VPN网关,VPN网关,VPN网关,采用,C/S,结构,分支节点自动建立隧道实现互访,降低总部设备数据压力,维护隧道数量降到最小,N*(N-1)/2-,N-1,DVPN,优点,支持,NAT,穿越,动态建立，支持动态地址,支持认证,支持多个,VPN,域,支持动态路由,DVPN典型配置,DVPN,原理,动态VPN采用了Client,/,Server的方式，一台路由器作为Server，其他的路由器作为Client。每个Client都需要到Server进行注册，注册成功之后Client就可以互相通讯了。Server在一个VPN当中的主要任务就是获得Client的注册信息，当有一个Client需要访问另一个Client时通知该Client所要到达目的地的真正地址,。,DVPN典型配置,sever,|,-,|,clientA clientB,一个server,两个client,使用udp封装可以穿越NAT,隧道上运行OSPF动态路由,此配置未使用ipsec加密dvpn数据,如果需要使用ipsec加密那么和前一个典型配置大致相同，,不同的是在客户端定义acl时指定Dvpn数据流即可,DVPN典型配置,#,sysname ClientA,#,interface Dialer0,link-protocol ppp,ip,#,interface Ethernet1/0,ip,#,interface Atm2/0,adsl standard gdmt,#,interface Tunnel0,ip,tunnel-protocol udp dvpn,source Ethernet1/0,dvpn server server,dvpn vpn-id 100,dvpn udp-port 8000,ospf network-type p2mp,#,ospf 1,#,dvpn class server,public-ip,private-ip,udp-port 8005,#,return,#,sysname ClientB,#,interface Dialer0,link-protocol ppp,ip,#,interface Ethernet1/0,ip,#,interface Atm2/0,adsl standard gdmt,#,interface Tunnel0,ip,tunnel-protocol udp dvpn,source Ethernet1/0,dvpn server server,dvpn vpn-id 100,dvpn udp-port 8003,ospf network-type p2mp,#,ospf 1,#,dvpn class server,public-ip,private-ip,udp-port 8005,#,return,#,sysname server,#,interface Aux0,async mode flow,link-protocol ppp,#,interface Dialer0,link-protocol ppp,ip,#,interface GigabitEthernet0/0,#,interface GigabitEthernet0/1,ip,#,interface Tunnel0,ip,tunnel-protocol udp dvpn,source GigabitEthernet0/1,dvpn interface-type server,dvpn vpn-id 100,dvpn udp-port 8005,ospf network-type p2mp,#,interface NULL0,#,ospf 1,#,user-interface con 0,user-interface aux 0,user-interface vty 0 4,#,return,OSPF over GRE over IPSec典型配置,Internet,移动办公,SecPoint,分支机构,L2TP+IPSEC,隧道,SecPath100N,公司总部内网,SecPath1000,SecPath1000,RSA ACE SERVER,OSPF OVER GRE OVER IPSEC隧道,L2TP OVER IPSEC隧道,OSPF over GRE over IPSec典型配置,组网说明：,此方案能够解决分支机构的IP地址是通过ISP动态获取，而且Secpath网关互相备份，同时在GRE封装上实现ipsec加密等多个需求。,支机构的用户上网方式没有限制，拨号或者固定,IP,上网。,分支机构的网关设备接口地址是动态获取的,公司总部有两台,SecPath,，两台,SecPath,互相备份,公司总部与分支机构之间的数据连接要求,IPSEC,加密,3680,模拟,Internet,，为分支结构动态分配,IP,地址,2.1.1.1 2.1.1.2,OSPF over GRE over IPSec典型配置,参见如下文档,本卷须知,Tunnel的外层IP不要在OSPF中发布，否那么会引起路由自环,RSA ACE SERVER 典型配置,Encrypted tunnel through public network,Internet,华为3Com,客户端软件,移动用户接入动态IP地址,动态令牌用户认证，保证用户的唯一性,用户名和密码,企业总部,用户动态认证