范文健康探索娱乐情感热点
投稿投诉
热点动态
科技财经
情感日志
励志美文
娱乐时尚
游戏搞笑
探索旅游
历史星座
健康养生
美丽育儿
范文作文
教案论文
国学影视
热点动态科技财经
焦点资讯时事国际环球新闻

配置总部采用冗余网关与分支建立IPSec隧道示例

  组网需求
  如图所示,为提高可靠性,企业总部提供AR2和AR3两台网关供企业分支网关AR5接入,分支与总部通过公网建立通信。
  企业希望对分支与总部之间相互访问的流量进行安全保护。
  由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立IPSec隧道来实施安全保护。分支网关首先与总部网关AR2建立通信,如果连接建立失败,则分支网关与总部网关AR3建立通信。
  配置思路配置接口的IP地址和到对端的静态路由,保证两端路由可达。配置ACL,以定义需要IPSec保护的数据流。配置IPSec安全提议,定义IPSec的保护方法。配置IKE对等体,定义对等体间IKE协商时的属性。分别在AR2、AR3和AR5上创建安全策略,确定对何种数据流采取何种保护方法。其中AR2和AR3采用策略模板方式创建安全策略。在接口上应用安全策略组,使接口具有IPSec的保护功能。操作步骤配置IP以及静态路由AR1sys [Huawei]sys AR1  [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 12.12.12.1 24 [AR1-GigabitEthernet0/0/0]q  [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip add 13.13.13.1 24 [AR1-GigabitEthernet0/0/1]q  [AR1]int g0/0/2 [AR1-GigabitEthernet0/0/2]ip ad 10.1.1.1 24 [AR1-GigabitEthernet0/0/2]q  [AR1]ip route-static 0.0.0.0 0 12.12.12.2 [AR1]ip route-static 0.0.0.0 0 23.23.23.2AR2sys [Huawei]sys AR2  [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip add 12.12.12.2 24 [AR2-GigabitEthernet0/0/0]q  [AR2]un in en [AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip add 24.24.24.2 24 [AR2-GigabitEthernet0/0/1]q  [AR2]ip route-static 10.1.1.0 24 12.12.12.1 [AR2]ip route-static 45.45.45.0 24 24.24.24.4 [AR2]ip route-static 10.1.5.0 24 24.24.24.4AR3sys [Huawei]sys AR3 [AR3]int g0/0/0 [AR3-GigabitEthernet0/0/0]ip add 34.34.34.3 24 [AR3-GigabitEthernet0/0/0]q  [AR3]int g0/0/1 [AR3-GigabitEthernet0/0/1]ip add 13.13.13.3 24 [AR3-GigabitEthernet0/0/1]q  [AR2]ip route-static 10.1.1.0 24 13.13.13.1 [AR2]ip route-static 45.45.45.0 24 34.34.34.4 [AR2]ip route-static 10.1.5.0 24 34.34.34.4AR4sys [Huawei]sys AR4 [AR4]int g0/0/0 [AR4-GigabitEthernet0/0/0]ip add 24.24.24.4 24 [AR4-GigabitEthernet0/0/0]q  [AR4]int g0/0/1 [AR4-GigabitEthernet0/0/1]ip add 34.34.34.4 24 [AR4-GigabitEthernet0/0/1]q  [AR4]int g0/0/2 [AR4-GigabitEthernet0/0/2]ip add 45.45.45.4 24 [AR4-GigabitEthernet0/0/2] [AR4-GigabitEthernet0/0/2]q  [AR4]ip route-static 12.12.12.0 24 24.24.24.2 [AR4]ip route-s 13.13.13.0 24 34.34.34.3 [AR4]ip route-s 10.1.1.0 24 24.24.24.2 [AR4]ip route-s 10.1.1.0 24 34.34.34.3 [AR4]ip route-s 10.5.1.0 24 45.45.45.5AR5sys [Huawei]sys AR5  [AR5]int g0/0/0 [AR5-GigabitEthernet0/0/0]ip add 45.45.45.5 24 [AR5-GigabitEthernet0/0/0]q  [AR5]int g0/0/1 [AR5-GigabitEthernet0/0/1]ip add 10.1.5.5 24 [AR5-GigabitEthernet0/0/1]q  [AR5]ip route-static 0.0.0.0 0 45.45.45.4配置ACL,定义各自要保护的数据流
  由于AR2、AR3采用策略模板创建安全策略,引用ACL是可选操作。如果配置了ACL,则必须要指定ACL规则的目的地址,所以总部源就不配置aclAR5[AR5]acl  number 3100  [AR5-acl-adv-3100]rule permit ip source 10.1.5.0 0.0.0.255 destination 10.1.1.0  0.0.0.255 [AR5-acl-adv-3100]q [AR5]创建IPSec安全提议AR2[AR2]ipsec proposal 1 [AR2-ipsec-proposal-1]esp authentication-algorithm sha2-256 [AR2-ipsec-proposal-1]esp encryption-algorithm aes-128 [AR2-ipsec-proposal-1]qAR3[AR3]ipsec proposal 1 [AR3-ipsec-proposal-1]esp authentication-algorithm sha2-256 [AR3-ipsec-proposal-1]esp encryption-algorithm aes-128 [AR2-ipsec-proposal-1]qAR5[AR5]ipsec proposal 1 [AR5-ipsec-proposal-1]esp authentication-algorithm sha2-256 [AR5-ipsec-proposal-1]esp encryption-algorithm aes-128 [AR5-ipsec-proposal-1]q查看配置IPSec的信息#以AR2为例 display ipsec proposal  Number of proposals: 1  IPSec proposal name: 1                              Encapsulation mode: Tunnel                              Transform         : esp-new  ESP protocol      : Authentication SHA2-HMAC-256                                                   Encryption     AES-128                       Number of proposals #当前IPSec安全提议总数。  IPSec proposal name #安全提议的名称。  Encapsulation mode #IPSec安全提议采用的模式,包括两种:传输(transport)和隧道(tunnel)模式。  Transform #IPSec安全提议采用的安全协议,包括:ah-new、esp-new、ah-esp-new ,缺省情况下,IPSec安全提议使用的安全协议为ESP ESP protocol #ESP协议采用的认证算法和加密算法配置IKE对等体AR2#配置IKE安全提议 [AR2]ike proposal 1 [AR2-ike-proposal-1]authentication-algorithm sha1 [AR2-ike-proposal-1]encryption-algorithm  aes-cbc-128 [AR2-ike-proposal-1]q  #配置IKE对等体 [AR2]ike peer 1 v1 [AR2-ike-peer-1]pre-shared-key cipher 20wl [AR2-ike-peer-1]ike-proposal 1 [AR2-ike-peer-1]q [AR2]AR3[AR3]ike proposal 1 [AR3-ike-proposal-1]authentication-algorithm sha1 [AR3-ike-proposal-1]encryption-algorithm aes-cbc-128 [AR3-ike-proposal-1]q  [AR3]ike peer 1 v1 [AR3-ike-peer-1]ike-proposal 1 [AR3-ike-peer-1]pre-shared-key cipher 20wl [AR3-ike-peer-1]qAR5(不支持配置多个remoteIP)[AR5]ike proposal 1 [AR5-ike-proposal-1]authentication-algorithm sha1 [AR5-ike-proposal-1]encryption-algorithm aes-cbc-128 [AR5-ike-proposal-1]q  [AR5]ike peer 1 v1 [AR5-ike-peer-1]ike-proposal 1 [AR5-ike-peer-1]pre-shared-key cipher 20wl [AR5-ike-peer-1]remote-address 24.24.24.2 [AR5-ike-peer-1]remote-address 34.34.34.3 [AR5-ike-peer-1]q创建安全策略,其中AR2和AR3采用策略模板方式创建安全策略AR2#配置策略模板,并在安全策略中引用该策略模板 [AR2]ipsec policy-template 1 1 [AR2-ipsec-policy-templet-1-1]ike-peer 1 [AR2-ipsec-policy-templet-1-1]proposal 1 [AR2-ipsec-policy-templet-1-1]q [AR2]ipsec policy 2 1 isakmp template 1AR3#配置策略模板,并在安全策略中引用该策略模板 [AR3]ipsec policy-template 1 1 [AR3-ipsec-policy-templet-1-1]ike-peer 1 [AR3-ipsec-policy-templet-1-1]proposal 1 [AR3-ipsec-policy-templet-1-1]q [AR3]ipsec policy 2 1 isakmp template 1AR5#配置安全策略 [AR5]ipsec policy 1 1 isakmp  [AR5-ipsec-policy-isakmp-1-1]ike-peer 1 [AR5-ipsec-policy-isakmp-1-1]proposal 1 [AR5-ipsec-policy-isakmp-1-1]security acl 3100 [AR5-ipsec-policy-isakmp-1-1]q在接口上应用各自的安全策略组,使接口具有IPSec的保护功能AR2[AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ipsec policy 2 [AR2-GigabitEthernet0/0/1]qAR3[AR3]int g0/0/0 [AR3-GigabitEthernet0/0/0]ipsec policy 2 [AR3-GigabitEthernet0/0/0]qAR5[AR5]int g0/0/0	 [AR5-GigabitEthernet0/0/0]ipsec policy 1 [AR5-GigabitEthernet0/0/0]q检查配置结果ping测试PC>ping 10.1.5.100  Ping 10.1.5.100: 32 data bytes, Press Ctrl_C to break Request timeout! Request timeout! From 10.1.5.100: bytes=32 seq=3 ttl=126 time=47 ms From 10.1.5.100: bytes=32 seq=4 ttl=126 time=62 ms From 10.1.5.100: bytes=32 seq=5 ttl=126 time=47 ms  --- 10.1.5.100 ping statistics ---   5 packet(s) transmitted   3 packet(s) received   40.00% packet loss   round-trip min/avg/max = 0/52/62 ms查看建立隧道关系AR5[AR3]display ike sa     Conn-ID  Peer            VPN   Flag(s)                Phase     ---------------------------------------------------------------         2    45.45.45.5      0     RD                     2              1    45.45.45.5      0     RD                     1         Flag Description:   RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT   HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP    IKE SA information #安全联盟配置信息。  Conn-ID #安全联盟的连接索引。  Peer #对端的IP地址和UDP端口号。  VPN #应用IPSec安全策略的接口所绑定的VPN实例。  Flag(s) #安全联盟的状态:   #RD--READY:表示此SA已建立成功。   #ST--STAYALIVE:表示此端是通道协商发起方。   #RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。   #FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。   #TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。   #HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。   #LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。   #BCK--BACKED UP:表示备份状态。   #M--ACTIVE:表示IPSec策略组状态为主状态。   #S--STANDBY:表示IPSec策略组状态为备状态。   #A--ALONE:表示IPSec策略组状态为不备份状态。   #NEG--NEGOTIATING:表示SA正在协商中。   #字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。 Phase #SA所属阶段:1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。2表示协商安全服务的阶段,此阶段建立IPSec SA。 RemoteType #对端ID类型。  RemoteID #对端ID。  AR1display ike sa      Conn-ID  Peer            VPN   Flag(s)                Phase     ---------------------------------------------------------------         2    34.34.34.3      0     RD|ST                  2              1    34.34.34.3      0     RD|ST                  1         Flag Description:   RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT   HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
英特尔自动驾驶子公司Mobileye敲定IPO条款,估值最高或达159亿美元品玩10月19日讯,据界面新闻报道,英特尔旗下高级驾驶辅助系统和自动驾驶技术公司MobileyeGlobal已确定IPO条款,希望筹集至多8。2亿美元的资金,估值最高达159。3亿iPhone14ProMax使用一周以后,我后悔了,完全就是消费陷阱iPhone14Pro系列发售以来,可以说是目前最为火爆的机型。我个人是前iPhone13ProMax机主,9月25号官网抢到的紫色iPhone14ProMax,10月10号收到货感染性更强,致死性超高,美科学家制造出新病毒奥密克戎S新冠肆虐新冠病毒一经出现,已经在世界肆虐了三年的时间,这三年来世界各国的经济都受到了严重的打击。值得一提的是,至今为止,我们也不知道病毒究竟是从何而来的?合成毒王一则来自于媒体的报你说华为Mate50E连入门都不算,用过以后,还真是长得像Mate50,用着像Mate50,那会不会就是Mate50?不一定。前段时间华为Mate50系列发布,除了Mate50Mate50ProMate50RS三款明星产品外,还带来OneUI5。0新测试版本发布,折叠屏率先开放测试在此前的2022年三星开发者大会(SDC)上,三星介绍了全新OneUI5。0的更多信息,并透露称OneUI5。0几乎准备好离开测试阶段,正式亮相也并不遥远,预计将在本月晚些时候向三比尔盖茨从长远来看,欧洲能源危机是好事一件(观察者网讯)冬日将至,欧洲国家仍深陷能源危机无法脱困,大批民众恐无法负担取暖费用。然而,美国微软公司创始人比尔盖茨却在10月18日表示,他认为欧洲的能源危机从长远来看是好事,因为晴格格故宫旁边的豪宅拍卖,她老公怎么了?女明星的豪宅遇到了拍卖,其中的故事少不了。10月9日,阿里资产拍卖平台上,市场估值约15。39亿元,起拍价为11。2亿元的王府世纪大厦流拍。4690个人围观看热闹,却没有一个人出价在产业目录找不到直接分类,中远通从科创板转道创业板能否成行?IPO观察首次申报时恰逢科创板进一步提高科创属性要求,且不能在战略新兴产业分类中找到直接相关的产品目录,与科创板审核中心进行口头沟通后,认为闯关存在较大不确定性,深圳市核达中远通电源技术股份中国新能源汽车制造优势凸显国际巨头频频牵手产业链公司中国新能源汽车制造优势凸显国际巨头频频牵手产业链公司财联社10月20日电,中国不仅是全球最大的新能源汽车市场,还正在发挥新能源汽车制造的领先优势。10月19日,长城汽车有关人士透露清华博士用3个实验揭示学习背后的奥秘,原来想学习好有方法提到学习这件事,大家会觉得这是再平常不过的事了,但是很多人并没有想过,在孩子的大脑中,学习的过程究竟是怎样形成的。如果我们能够掌握学习的奥秘,从而总结有效的学习方法,那么就会让孩子15万级的轿跑如何选择,凌渡L还是名爵MG715万级的轿跑如何选择,新款凌渡L还是全新名爵MG7?接下来,就让我为大家详细介绍合资品牌的上汽大众凌渡L和最近非常火热的自主品牌上汽名爵MG7。新款凌渡L外观新款凌渡L首先新款凌
<<<<<<>>>>>>
哈尔滨房价跌回三年前,哈尔滨炒房客哭了,哈尔滨楼市分析出炉11月财经新势力哈尔滨房价跌回三年前,哈尔滨楼市过冬了,哈尔楼市最新分析出炉。现在哈尔滨房价跌得越来越多了,那些在哈尔滨炒房的人,眼泪都要哭干了。在东北四大城市里面,也就是哈尔滨房上半年逆势扩储,李欣能否再造一个华润置地?图片来源Pixabay房地产行业正在经历一场前所未有的挑战和洗牌。日前,华润置地控股有限公司发行了2022年度第四期中期票据,发行金额30亿元,票面利率2。84。华润置地控股是华润海天味业中炬高新千禾味业,调味品哪家最好民以食为天,我国14亿人口,按正常的饮食,一天就要消耗70万吨粮9。8万吨油192万吨菜和23万吨肉。一年下来,简直是个天文数字这也是为什么食品行业容易出长牛的原因,那是14亿人的今年前10月定增平均亏4。59,跑赢大盘15个点!谁最甜?谁最毒?截至10月31日,A股今年共有137家完成定增发行,共募资2691亿。其中42家公司定增限售股已经解禁。如果以解禁日收盘价为参考,参与这42家公司的定增的投资者平均亏损4。59。然明日反弹?A股,周二行情预判炒股,很多人都找不到合适自己的方法。如说有什么可以通用的法门,就是万物皆周期,你需要按照客观规律办事,春播秋收。这个市场,没有秘籍,我亦无他,惟手熟尔。总有人问小凡,现在建仓什么?冬天养盆小苍兰,香飘满屋花色艳,生动有趣还皮实,值得拥有冬天养盆小苍兰,香飘满屋花色艳,生动有趣还皮实,值得拥有现在已经到了冬天了,温度比较低,大家都担心花卉长不好,很多花友想在家里养一些花草,但不知道选择什么花卉比较合适,今天小编就给突然崩了!千亿大白马封死跌停,11连板牛股也闪崩中国基金报晨曦大家好,一起来看今天上午的市场行情及最新资讯首先来看大A股的开盘情况11月22日上午,上证指数低开0。03,创业板指跌0。28。盘面上,房地产海运建材走高,教育化工调男子月挣4000怪妻子花680接头发一天啥也不干接头发干啥11月20日,辽宁葫芦岛。一理发店老板给女顾客接发后,遭夫妻俩找上门拆头发要退钱。监控中显示一男子一再质疑妻子接的头发不好看,让老板将花费的680元退给他,男子表示自己一个月挣40会说话,是高情商的表现今天早上上学路上,不知道因为一句什么话,你的火爆脾气就点燃了,说出的话充满了火药味,让听的人心里很不舒服。现在为什么就不能好好说话了呢?一说话就呛,而且说出的话都是恶狠狠的砸出来的孕妈3次拒绝拍片,癌症全身转移!一家人都有医生此类病例太伤感2个月前,浙江杭州怀孕31周的小欣(化名)开始出现咳嗽医生再三建议拍片检查但她始终拒绝,只为腹中孩子没想到,此后咳嗽越发厉害直到孕妇反复咳嗽,夜不能寐为保护胎儿,3次拒绝CT检查因孩子在学习上出了问题怎么办上个礼拜五放学后,女儿拿回家一张课堂练习纸,老师在看图写话部分打了个触目惊心的大?,还附了一句来不及?还是不会?除此之外,密密麻麻的里空空如也。我快速扫了一眼纸上的内容。上面红色批