前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >三台华为防火墙配置ipsec,实现三地局域网互联

三台华为防火墙配置ipsec,实现三地局域网互联

作者头像
IT狂人日志
发布2022-05-18 17:44:48
7260
发布2022-05-18 17:44:48
举报

某同行的客户有此需求:一个总部,两个异地分公司,三台华为防火墙,要求三地局域网互联,服务器之间要互相备份重要数据,任意地点的用户,都能访问不同办公地点的服务器资源。

要说最省钱的方法,肯定是ipsec,华为防火墙自带的功能,安全又好用,不用白不用。

真实的环境配置完成了,还原到模拟器就简单点吧,拓扑图如下:

一、总部防火墙(FW1)的配置:

1、配置接口IP,允许ping,允许https登录

interface GigabitEthernet0/0/0

undo shutdown

ip binding vpn-instance default

ip address 192.168.65.2 255.255.255.0

alias GE0/METH

service-manage https permit

service-manage ping permit

#

interface GigabitEthernet1/0/0

undo shutdown

ip address 10.1.1.2 255.255.255.252

alias O

service-manage https permit

service-manage ping permit

ipsec policy ipsec1151952173

#

interface GigabitEthernet1/0/1

undo shutdown

ip address 192.168.100.1 255.255.255.252

alias i

service-manage https permit

service-manage ping permit

#

interface GigabitEthernet1/0/2

undo shutdown

ip address 192.168.10.1 255.255.255.0

service-manage ping permit

#

2、将接口放到相应的安全区域

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/1

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/0

#

firewall zone dmz

set priority 50

add interface GigabitEthernet1/0/2

3、配置静态路由

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

ip route-static 192.168.8.0 255.255.252.0 192.168.100.2

4、配置安全策略

security-policy

rule name internet *允许dmz、local、trust访问untrust

source-zone dmz

source-zone local

source-zone trust

destination-zone untrust

action permit

rule name 8to20&28 *允许总部局域网与两个分公司的局域网

source-zone trust

destination-zone untrust

source-address 192.168.8.0 mask 255.255.252.0

destination-address 192.168.20.0 mask 255.255.252.0

destination-address 192.168.28.0 mask 255.255.252.0

action permit

rule name 20&28to8 *允许两个分公司的局域网访问总部的局域网

source-zone untrust

destination-zone trust

source-address 192.168.20.0 mask 255.255.252.0

source-address 192.168.28.0 mask 255.255.252.0

destination-address 192.168.8.0 mask 255.255.252.0

action permit

rule name Untrust2Local *允许untrust区域访问防火墙本身(Local),ipsec必须有此策略

source-zone untrust

destination-zone local

action permit

rule name dmz *允许trust和untrust区域访问dmz区域,因为服务器在DMZ区域

source-zone trust

source-zone untrust

destination-zone dmz

action permit

#

5、配置ipsec

不好意思,配置ipsec的命令真不熟,而且也很麻烦,所以就用web配置了;

如上图所示,选择“点到多点”,因为有两个分公司;策略名称随便写一个,本地接口就是互联网接口,连接光猫那个;本端地址就是电信运营商给的固定IP;预共享密码自定义;本端ID,这里选择为IP地址,对端ID就不填写了,多个分公司无法填写,如果分公司是PPPOE的宽带,更是没办法填写。

加密的数据流,源地址是填写总部本地局域网,目的地址,我这里自定义了一个地址组,就是包含了两个分公司的局域网。

反向路由注入,记得勾选上,不然就得手写去往分公司的静态路由了;

IKE和IPSec参数,看情况自定义,保持三地相同即可,如果是不同品牌的防火墙要互联,那就要看清楚了,肯定需要有个折中的方案,无法保持一致就不能联网了。

下面这个图片,是三台防火墙全部配置完成后,ipsec连接成功后的截图,目前来说,暂时是看不到这个的。

顺便看一下,命令行配置完成的安全策略,是什么样子的:

配置安全策略,用web界面也很方便的,点几下鼠标,输入相应网段就行。

二、分公司防火墙(FW2、FW3)的配置

配置都差不多类似,就不重复贴出来了,看看ipsec配置的不同之处吧:

三、检测配置效果

三地IPSec配置完成,且已经成功连接,检测一下效果,是否达到预期目标:

1、用PC1 ping PC3和PC6,都能ping通,表示三地局域网已经成功互联;

2、用PC5 ping Server1和Server2,也都能ping通,进一步证明三地局域网已经成功互联,并且DMZ区域的服务器正常提供服务,异地访问没问题了。

补充说明:各个VLAN都是/24的掩码长度,安全策略以及静态路由里面的/22,是为了减少路由条目,并不是写错了,之前在其他文章中有网友提出疑问,今天顺便再一次解释,其实这也是常用的手段,并不新鲜。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-05-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 IT狂人日志58446291 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、总部防火墙(FW1)的配置:
  • 二、分公司防火墙(FW2、FW3)的配置
  • 三、检测配置效果
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档