设为首页收藏本站 language 语言切换

开启辅助访问切换到宽版

鸿鹄论坛»鸿鹄论坛 › ≡□≡华为认证≡□≡ › HCIA学习资料 › 配置IPSec智能选路

发新帖

查看: 590|回复: 0

收起左侧

[分享] 配置IPSec智能选路

成长值: 63475

发表于 2023-12-27 16:14:00 | 显示全部楼层 |阅读模式

组网需求

总部、分支C分别通过FW_A、FW_C连接到Internet。FW_A通过一条链路接入Internet，FW_C通过两条链路接入Internet。

现需要通过控制器实现如下需求：

FW_A、FW_C之间部署IPSec隧道，使FW_C先使用Link1与总部建立IPSec隧道。
基于Link1建立的IPSec隧道丢包严重或时延过高时，能自动切换到Link2建立新的IPSec隧道。

数据规划表8-1 设备模板信息

设备模板名称	FW_A	FW_C
本端地址	3.3.3.3	4.4.4.4 5.5.5.5
接口名称	GigabitEthernet 1/0/1	GigabitEthernet 1/0/1 GigabitEthernet 1/0/2
加密网段	10.1.1.0/24	10.1.3.0/24
预共享密钥	Admin@1234	Admin@1234
本端ID类型	IP地址	IP地址
本端ID	3.3.3.3	4.4.4.4
接受任意对端ID	开启	开启

表8-2 IPSec策略组信息[]

项目	数据	说明
名称	ipsec_policy_group	策略组名称。
组网类型	Hub-Spoke	选择点到多点的组网类型。
IPSec智能选路	开启	使用IPSec智能选路功能，故需要启用此功能。
HUB设备	FW_A	-
Spoke设备	FW_C	-
认证方式	预共享密钥	配置IPSec身份认证方式。
密钥类型	单密钥
预共享密钥	Admin@1234
确认密钥	Admin@1234
循环切换次数	3	FW_C根据此处配置进行隧道探测。
探测报文发送时间间隔	1
探测周期发送的报文数	10
丢包阈值	30
时延阈值	500
反向路由注入	关闭	不启用反向路由注入功能。
IKE参数	保持默认	保持默认。
IPSec参数	保持默认	保持默认。

前提条件

FW_A、FW_C已被控制器纳管。
FW_A、FW_C中已配置GigabitEthernet 1/0/1、GigabitEthernet 1/0/2的IP地址、安全域。

操作步骤

为FW_A、FW_C配置设备模板。
- 在“VPN管理”APP的菜单中选择“IPSec VPN > IPSec设备模板”，单击“创建”。
- 根据规划配置FW_A的设备模板。
  
  登录/注册后可看大图
- 根据规划配置FW_C的设备模板。
  
  登录/注册后可看大图
创建IPSec策略组。
- 在“VPN管理”APP的菜单中选择“IPSec VPN > IPSec策略组”，单击“创建”。
- 根据规划创建IPSec策略组。图8-1 IPSec策略组
  
  登录/注册后可看大图
- 单击图8-1中的“生成IPSec策略对”，系统将生成1个IPSec策略对。单击策略对中的
  
  登录/注册后可看大图
  ，可以查看如表3所示的加密数据流。图8-2 IPSec策略对
  
  登录/注册后可看大图
  
  表8-3 FW_A与FW_C之间的加密数据流
  
  源地址
  目的地址
  协议
  动作
  10.1.3.0/24
  10.1.1.0/24
  any
  加密
- 单击图3中的
  
  登录/注册后可看大图
  ，在右侧加密数据流展示页面中，单击“创建”，创建如下两个加密数据流。
  
  登录/注册后可看大图
  由于FW_C需要启用智能选路，故需要增加以下两条加密数据流，其作用是让隧道探测报文进入IPSec隧道。
  
  登录/注册后可看大图
  
  登录/注册后可看大图
- 单击图3中的“确定”。
勾选策略组，单击“部署”。把IPSec策略部署到FW_A、FW_C中。

登录/注册后可看大图

结果验证

策略部署成功后，在“VPN管理”APP的菜单中选择“IPSec VPN > IPSec策略监控”，可以查看对应的IPSec隧道状态。

回复

使用道具举报

发新帖

|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )

GMT+8, 2025-2-7 20:53 , Processed in 0.077122 second(s), 12 queries , Redis On.

Powered by Discuz!

© 2001-2025 HH010.COM

快速回复 返回顶部 返回列表