hcie-安全膠片優(yōu)化完成hc efficient_第1頁
hcie-安全膠片優(yōu)化完成hc efficient_第2頁
hcie-安全膠片優(yōu)化完成hc efficient_第3頁
hcie-安全膠片優(yōu)化完成hc efficient_第4頁
hcie-安全膠片優(yōu)化完成hc efficient_第5頁
已閱讀5頁,還剩24頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031064USG6000V1R1V1.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型(新開發(fā)/優(yōu)化)姚傳哲2014-08-15王銳開發(fā)丁祖賢優(yōu)化本頁不打印HC13031064 Efficient VPN 目標學完本課程后,您將能夠:了解VPN部署現(xiàn)狀問題理解Efficient VPN技術(shù)概述 掌握Efficient VPN功能配置 目錄VPN部署現(xiàn)狀問題Efficient VPN技術(shù)概述 Efficient VPN功能配置企業(yè)廣泛部署VPN時的問題Internet總部總部不能集中管理VPN。分支Efficient VPN1分支每一個分支需要重復(fù)配置

2、:DNS域名、DNS服務(wù)器地址、WINS服務(wù)器地址等網(wǎng)絡(luò)資源。ACL推送,設(shè)定了允許分支子網(wǎng)訪問的總部子網(wǎng)范圍。3每個分支需要配置IPSec VPN,工作量大,對維護人員有一定技術(shù)要求。2需要重復(fù)配置分支設(shè)備升級。4Efficient VPN 簡化企業(yè)VPN部署特性Internet總部總部集中管理VPN配置。分支Efficient VPN1分支分支從總部獲取:DNS域名、DNS服務(wù)器地址、WINS服務(wù)器地址等網(wǎng)絡(luò)資源,進一步分發(fā)給用戶。ACL推送,分支子網(wǎng)動態(tài)感知可訪問總部子網(wǎng)范圍,流量進入隧道。3分支從總部獲取IPSec VPN配置信息,簡化分支IPSec配置。2總部統(tǒng)一定義升級URL,分支

3、設(shè)備自行升級。4沒有Efficient VPN 分支節(jié)點VPN的配置回顧一下IPSec VPN的配置流程: 目錄VPN部署現(xiàn)狀問題Efficient VPN技術(shù)概述 Efficient VPN功能配置什么是Efficient VPN IPSec VPN技術(shù)以其高度的安全性、可靠性以及靈活性成為企業(yè)構(gòu)建其VPN網(wǎng)絡(luò)的首選。當企業(yè)分支數(shù)量多時,希望各個分支的配置能夠盡量簡單,而復(fù)雜的配置集中在總部上,Efficient VPN可以解決IPSec VPN配置復(fù)雜問題,簡化分支用戶業(yè)務(wù)部署。InternetIPSec VPN簡化VPN部署,與總部建立IPSec VPN并接受總部推送的網(wǎng)絡(luò)資源配置總部集

4、中配置IPSec及其它配置信息如何實現(xiàn)簡化分支端的配置的呢?其大致實現(xiàn)思路為:采用Clicent/Server結(jié)構(gòu);Remote端(分支網(wǎng)關(guān))只需要簡單配置;Server端(總部網(wǎng)關(guān))集中了大量配置。InternetServer端將配置“推”給Remote端EVPN的應(yīng)用場景硬件客戶端的幾種模式Client模式:Remote端會向Server端申請一個IP地址。Remote端的地址做地址轉(zhuǎn)換(NAT)。Network模式:Remote端的直接使用內(nèi)網(wǎng)真實的地址去訪問總部網(wǎng)絡(luò)。Network-plus模式:Network-plus模式和Network模式基本一致。Client端會向Server端

5、申請一個IP地址,該地址可以用于設(shè)備的管理。Network-auto-cfg模式:Network-auto-cfg模式中Client端還會向Server端申請IP地址池。該IP地址池用于給Client端下掛的用戶分配地址。如何推送配置?階段1: IKE SA階段2: IPSec SAEVPN插入全新的1.5階段。該階段的主要技術(shù)是新增了“Config Mode配置模式”。EVPN的相關(guān)配置在Remote端的EVPN的相關(guān)配置:配置項 分支網(wǎng)關(guān)(部署EVPN前) 分支網(wǎng)關(guān)(部署EVPN后)IKE安全提議 ike proposal 10 無需配置IKE對等體 ike peer b需要配置 ike-

6、proposal 10 remote-address undo version 2 pre-shared-key huawei123exchange-mode aggressive remote-address /對端發(fā)起IKE協(xié)商的地址 pre-shared-key tiandihui2 ACL acl number 3001 無需配置rule 5 permit ip source 55 destination 55 IPSec安全提議ipsec proposal a 無需配置transf

7、orm esp encapsulation-mode tunnel esp authentication-algorithm md5 esp encryption-algorithm des IPSec安全策略 ipsec policy policy1 11 isakmp 無需配置 security acl 3001 proposal a ike-peer b 應(yīng)用IPSec安全策略 interface GigabitEthernet0/0/1 需要配置ip address ipsec policy policy1 EVPN的相關(guān)配置在Server端

8、的EVPN的相關(guān)配置:Server端參數(shù)配置分為兩部分:網(wǎng)絡(luò)資源參數(shù)配置和IPSec參數(shù)的配置。網(wǎng)絡(luò)資源參數(shù)包括IP地址、域名、DNS服務(wù)器地址、WINS服務(wù)器地址等。IPSec參數(shù)配置和傳統(tǒng)的IPSec VPN的配置一致。配置Efficient VPN采用Client模式建立IPSec隧道示例在RouterA和RouterB上配置接口的IP地址和到對端的靜態(tài)路由,保證路由可達。在RouterB上配置DHCP服務(wù)器地址,用于實現(xiàn)DHCP動態(tài)方式的地址分配。RouterB作為IPSec隧道協(xié)商響應(yīng)方,采用策略模板方式與RouterA建立IPSec隧道。在RouterA上采用Client方式配置E

9、fficient VPN,作為協(xié)商發(fā)起方與RouterB建立IPSec隧道。Client模式建立IPSec隧道-1Router B作為IPSec隧道協(xié)商響應(yīng)方,采用策略模板方式與Router A建立IPSec隧道。通過AAA業(yè)務(wù)模板配置要推送的資源屬性,推送IP地址、DNS域名、DNS服務(wù)器地址和WINS服務(wù)器地址。RouterB aaaRouterB-aaa service-scheme schemetest RouterB-aaa-service-schemetest dhcp-server group dhcp-ser1 RouterB-aaa-service-schemetest dn

10、s-name .cn RouterB-aaa-service-schemetest dns 配置IKE安全提議和IKE對等體,并將AAA業(yè)務(wù)模板綁定在IKE對等體中。配置IPSec安全提議、策略模板方式的安全策略。在接口上應(yīng)用安全策略組。分別在Router A和Router B上配置接口的IP地址和到對端的靜態(tài)路由(略)。在Router B上配置DHCP服務(wù)器地址,用于實現(xiàn)DHCP動態(tài)方式的地址分配:RouterB dhcp enable RouterB dhcp server group dhcp-ser1 RouterB-dhcp-server-group-dhcp-ser1

11、 dhcp-server RouterB-dhcp-server-group-dhcp-ser1 gateway Client模式建立IPSec隧道-2在Router A上采用Client方式配置Efficient VPN,建立IPSec隧道。# 配置Efficient VPN的模式為Client模式,并在模式視圖下指定IKE協(xié)商時的對端地址和預(yù)共享密鑰。RouterA ipsec efficient-vpn evpn mode clientRouterA-ipsec-efficient-vpn-evpn remote-address v2

12、RouterA-ipsec-efficient-vpn-evpn pre-shared-key simple huawei# 在接口上應(yīng)用Efficient VPN。RouterA interface gigabitethernet 1/0/0 RouterA-GigabitEthernet1/0/0 ipsec efficient-vpn evpn RouterA-GigabitEthernet1/0/0 quitClient模式建立IPSec隧道-3分別在Router A和Router B上執(zhí)行display ipsec sa可以查看所配置的信息,以Router A為例。RouterA d

13、isplay ipsec sa=Interface: GigabitEthernet1/0/0 Path MTU: 1500IPSec efficient-vpn name: evpn Mode : EFFICIENTVPN-CLIENT MODEConnection ID : 26 Encapsulation mode: Tunnel Tunnel local : Tunnel remote : Flow source : 54/ 0/0 Flow destination : / 0/

14、0 Qos pre-classify : Disable在Router A上執(zhí)行display ipsec efficient-vpn顯示Efficient VPN策略的信息。檢查配置結(jié)果:配置成功后,在主機PC A上執(zhí)行ping操作仍然可以ping通主機PC B,執(zhí)行命令display ipsec statistics esp可以查看數(shù)據(jù)包的統(tǒng)計信息。在Router A上執(zhí)行display ike sa v2操作,結(jié)果如下:RouterA display ike sa v2 Conn-ID Peer VPN Flag(s) Phase - 26 0 RD|ST 2 25 6

15、 0 RD|ST 1 Flag Description: RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUT HRT-HEARTBEAT LKG-LAST KNOWN GOOD SEQ NO. BCK-BACKED UP配置Efficient VPN采用Network模式建立IPSec隧道示例配置接口的IP地址和到對端的靜態(tài)路由,保證兩端路由可達。在Router A上采用Network模式配置Efficient VPN,作為協(xié)商發(fā)起方與Router B建立IPSec隧 道。在Router B上配置要推送的資源屬性,包括DN

16、S域名、DNS服務(wù)器地址和WINS服務(wù)器地址。Router B作為IPSec隧道協(xié)商響應(yīng)方,采用策略模板方式與Router A建立IPSec隧道。Network模式建立IPSec隧道-1Router B作為IPSec隧道協(xié)商響應(yīng)方,采用策略模板方式與Router A建立IPSec隧道。通過AAA業(yè)務(wù)模板配置要推送的資源屬性,推送IP地址、DNS域名、DNS服務(wù)器地址和WINS服務(wù)器地址。 RouterB aaa RouterB-aaa service-scheme schemetest RouterB-aaa-servic-schemetest dhcp-server group dhcp-s

17、er1 RouterB-aaa-servicee-schemetest dns-name .cn RouterB-aaa-service-schemetest dns 配置IKE安全提議和IKE對等體,并將AAA業(yè)務(wù)模板綁定在IKE對等體中。配置IPSec安全提議、策略模板方式的安全策略。在接口上應(yīng)用安全策略組。分別在Router A和Router B上配置接口的IP地址和到對端的靜態(tài)路由(略)。在Router B上配置DHCP服務(wù)器地址,用于實現(xiàn)DHCP動態(tài)方式的地址分配。 RouterB dhcp enable RouterB dhcp server group dhcp-s

18、er1 RouterB-dhcp-server-group-dhcp-ser1 dhcp-server RouterB-dhcp-server-group-dhcp-ser1 gateway Network模式建立IPSec隧道-2在Router A上采用Client方式配置Efficient VPN,建立IPSec隧道。# 配置Efficient VPN的模式為Client模式,并在模式視圖下指定IKE協(xié)商時的對端地址和預(yù)共享密鑰。RouterA ipsec efficient-vpn evpn mode network RouterA-ipsec-eff

19、icient-vpn-evpn security acl 3001 RouterA-ipsec-efficient-vpn-evpn remote-address v2RouterA-ipsec-efficient-vpn-evpn pre-shared-key simple huawei # 在接口上應(yīng)用Efficient VPN。RouterA interface gigabitethernet 1/0/0 RouterA-GigabitEthernet1/0/0 ipsec efficient-vpn evpn檢查配置結(jié)果:配置成功后,在主機PC A上執(zhí)行ping操作仍

20、然可以ping通主機PC B,執(zhí)行命令display ipsec statistics esp可以查看數(shù)據(jù)包的統(tǒng)計信息。在Router A上執(zhí)行display ike sa v2操作,結(jié)果如下。Router A display ike sa v2 Conn-ID Peer VPN Flag(s) Phase - 26 0 RD|ST 2 25 0 RD|ST 1 Flag Description: RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUT HRT-HEARTBEAT LKG-LAST KNO

21、WN GOOD SEQ NO. BCK-BACKED UPNetwork模式建立IPSec隧道-3分別在Router A和Router B上執(zhí)行display ipsec sa可以查看所配置的信息,以Router A為例。Router A display ipsec sa=Interface: GigabitEthernet1/0/0 Path MTU: 1500IPSec efficient-vpn name: evpnMode : EFFICIENTVPN-NETWORK MODE Connection ID : 26 Encapsulation mode: Tunnel Tunnel l

22、ocal : Tunnel remote : Flow source : 54/ 0/0 Flow destination : / 0/0 Qos pre-classify : Disable在Router A上執(zhí)行display ipsec efficient-vpn顯示Efficient VPN策略的信息。配置Efficient VPN采用Network-plus方式隧道示例配置接口的IP地址和到對端的靜態(tài)路由,保證兩端路由可達。在Router A上采用Network-plus模式配

23、置Efficient VPN,作為協(xié)商發(fā)起方與Router B建立IPSec隧道。Router B上配置要推送的資源屬性,包括IP地址、DNS域名、DNS服務(wù)器地址和WINS服務(wù)器地址。Router B作為IPSec隧道協(xié)商響應(yīng)方,采用策略模板方式與Router A建立IPSec隧道。Network-plus模式建立IPSec隧道-1Router B作為IPSec隧道協(xié)商響應(yīng)方,采用策略模板方式與Router A建立IPSec隧道。通過AAA業(yè)務(wù)模板配置要推送的資源屬性,推送IP地址、DNS域名、DNS服務(wù)器地址和WINS服務(wù)器地址。RouterB ip pool po1 RouterB-ip

24、-pool-po1 network mask 28 RouterB-ip-pool-po1 gateway-list RouterB aaa RouterB-aaa service-scheme schemetest RouterB-aaa-service-schemetest dhcp-server group dhcp-ser1 RouterB-aaa-service-schemetest dns-name .cn RouterB-aaa-service-schemetest dns 配置IKE安全提議和IKE

25、對等體,并將AAA業(yè)務(wù)模板綁定在IKE對等體中。配置IPSec安全提議、策略模板方式的安全策略。在接口上應(yīng)用安全策略組。分別在Router A和Router B上配置接口的IP地址和到對端的靜態(tài)路由(略)。# 在Router B上配置到對端的靜態(tài)路由,此處假設(shè)到對端下一跳地址為。RouterB ip route-static RouterB ip route-static Network-plus模式建立IPSec隧道-2在Router A上采用Clie

26、nt方式配置Efficient VPN,建立IPSec隧道。# 配置Efficient VPN的模式為Client模式,并在模式視圖下指定IKE協(xié)商時的對端地址和預(yù)共享密鑰。RouterA ipsec efficient-vpn evpn mode network-plusRouterA-ipsec-efficient-vpn-evpn remote-address v1RouterA-ipsec-efficient-vpn-evpn pre-shared-key simple huawei# 在接口上應(yīng)用Efficient VPN。RouterA interface gigabitethernet 1/0/0 RouterA-GigabitEthernet1/0/0 ipsec efficient-vpn evpnNetwork-plus模式建立IP

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論