H3C GRE over Ipsec+ospf穿越NAT到多分支配置.doc-道客多多

资源描述

1、MSR 系列路由器GRE Over IPSec + OSPF 穿越 NAT 多分支互通配置关键词：MSR;IPSec;IKE;野蛮模式 ;模板;VPN;多分支互通 ;NAT;穿越;OSPF;GRE一、组网需求：总部对多个分支提供 IPSec VPN 接入，分支出口存在 NAT 设备，因此总部与分支之间配置成野蛮模式和 NAT 穿越，总部路由器不配置 ACL，而使用安全模板，总部和分支之间通过内网 Loopback 建立 GRE 隧道，分支通过建立 ACL 使分支Loopback 和总部 Loopback 之间的 GRE 通过 IPSec 互通，建立好 GRE 隧道后，在隧道上运行 OSPF，使

2、各内部路由互通，分支之间的流量通过总部转发，需要注意的是 Loopback 口不能添加到 OSPF 中设备清单：MSR 系列路由器 5 台二、组网图：三、配置步骤：Center的配置#/本地 IKE 名字ike local-name center#/OSPF 的 Router IDrouter id 172.0.0.1#/配置到分支 1 的 IKE Peerike peer branch1/配置成野蛮模式exchange-mode aggressive/配置预共享密钥pre-shared-key h3c-msr-branch1/使用名字作为身份标识id-type name/配置对端名字remo

3、te-name branch1/配置 NAT 穿越nat traversal#/配置到分支 1 的 IKE Peerike peer branch2/配置成野蛮模式exchange-mode aggressive/配置预共享密钥pre-shared-key h3c-msr-branch2/使用名字作为身份标识id-type name/配置对端名字remote-name branch2/配置 NAT 穿越nat traversal#/配置默认安全提议ipsec proposal default#/配置分支 1 的安全模板，序号 1ipsec policy-template branch1 1/指

4、定 IKE Peerike-peer branch1/指定安全提议proposal default#/配置分支 2 的安全模板，序号 1ipsec policy-template branch2 1/指定 IKE Peerike-peer branch2/指定安全提议proposal default#/根据安全模板 branch1 创建安全策略 branch 序号 1ipsec policy branch 1 isakmp template branch1#/根据安全模板 branch2 创建安全策略 branch 序号 2ipsec policy branch 2 isakmp templa

5、te branch2#/用于建立 GRE 连接和 OSPF Router ID 的 Loopback 接口interface LoopBack0ip address 172.0.0.1 255.255.255.255#/总部外网接口 G0/0interface GigabitEthernet0/0port link-mode routecombo enable copper/外网接口地址ip address 1.0.0.60 255.255.255.0/绑定安全策略ipsec policy branch#interface GigabitEthernet0/1port link-mode ro

6、ute/总部内网接口地址ip address 172.1.1.1 255.255.255.0#/连接分支 1 的 GRE 隧道interface Tunnel0ip address 192.168.0.1 255.255.255.252/指定源为 Loopback0source LoopBack0/指定目的为分支 1 的 Loopback0 地址destination 192.168.1.1#/连接分支 2 的 GRE 隧道interface Tunnel1ip address 192.168.0.5 255.255.255.252/指定源为 Loopback0source LoopBack0

7、/指定目的为分支 2 的 Loopback0 地址destination 192.168.2.1#ospf 1area 0.0.0.0/使能连接分支 1 的 GRE 隧道network 192.168.0.4 0.0.0.3/使能总部内网network 172.1.1.0 0.0.0.255/使能连接分支 2 的 GRE 隧道network 192.168.0.0 0.0.0.3#/11.0.0.0/8 网段为分支 1 转换后的出口地址网段，1.0.0.1 为分支 1 的 NAT 设备ip route-static 11.0.0.0 255.0.0.0 1.0.0.1/12.0.0.0/8 网

8、段为分支 2 转换后的出口地址网段，1.0.0.2 为分支 2 的 NAT 设备ip route-static 12.0.0.0 255.0.0.0 1.0.0.2/192.168.1.1 为分支 1 内 Loopback，1.0.0.1 为分支 1 的 NAT 设备ip route-static 192.168.1.1 255.255.255.255 1.0.0.1/192.168.2.1 为分支 2 内 Loopback，1.0.0.2 为分支 2 的 NAT 设备ip route-static 192.168.2.1 255.255.255.255 1.0.0.2#Branch1配置#/

9、分支 1 本地的 IKE 名字ike local-name branch1#/OSPF 的 Router IDrouter id 192.168.1.1#/配置到总部的 IKE Peerike peer center/使用野蛮模式exchange-mode aggressive/配置预共享密钥，与总部配置一致pre-shared-key h3c-msr-branch1/使用名字作为身份标识id-type name/配置对端名字remote-name center/指定对端 IP 地址，因为总部路由器出接口地址不变remote-address 1.0.0.60/配置 NAT 穿越nat trav

10、ersal#/默认的安全提议ipsec proposal default#/到总部的安全策略，序号 1ipsec policy center 1 isakmp/指定 ACLsecurity acl 3000/指定 IKE Peerike-peer center/指定安全提议proposal default#/配置流量的 ACLacl number 3000/此规则匹配从分支 1 Loopback 到总部 Looback 的 GRE 流量rule 0 permit gre source 192.168.1.1 0 destination 172.0.0.1 0#/用于创建于总部连接的 GRE 源

11、和 OSPF 的 Router ID 的 Loopback 接口interface LoopBack0ip address 192.168.1.1 255.255.255.255#/分支 1 的外网出接口interface GigabitEthernet0/0port link-mode route/出接口地址ip address 10.0.1.2 255.255.255.0/绑定安全策略ipsec policy center#interface GigabitEthernet0/1port link-mode route/分支 1 内网接口地址ip address 192.168.11.1

12、255.255.255.0#/连接总部的 GRE 隧道interface Tunnel0ip address 192.168.0.2 255.255.255.252/隧道源指定为 Loopback0source LoopBack0/目的指定为总部的 Loopback0destination 172.0.0.1#ospf 1 area 0.0.0.0/使能分支 1 内网network 192.168.11.0 0.0.0.255/使能 GRE 隧道network 192.168.0.0 0.0.0.3#/配置默认路由，下一跳指向 NAT 设备ip route-static 0.0.0.0 0.0

13、.0.0 10.0.1.1#Branch2配置#/分支 2 本地的 IKE 名字ike local-name branch2#/OSPF 的 Router IDrouter id 192.168.2.1#/配置到总部的 IKE Peerike peer center/使用野蛮模式exchange-mode aggressive/配置预共享密钥，与总部配置一致pre-shared-key h3c-msr-branch2/使用名字作为身份标识id-type name/配置对端名字remote-name center/指定对端 IP 地址，因为总部路由器出接口地址不变remote-address 1

14、.0.0.60/配置 NAT 穿越nat traversal#/默认的安全提议ipsec proposal default#/到总部的安全策略，序号 1ipsec policy center 1 isakmp/指定 ACLsecurity acl 3000/指定 IKE Peerike-peer center/指定安全提议proposal default#/配置流量的 ACLacl number 3000/此规则匹配从分支 2 Loopback 到总部 Loopback 的 GRE 流量rule 0 permit gre source 192.168.2.1 0 destination 172

15、.0.0.1 0#/用于创建 GRE 隧道源地址和 OSPF Router ID 的 Loopback 接口interface LoopBack0ip address 192.168.2.1 255.255.255.255#/分支 2 的外网出接口interface GigabitEthernet0/0port link-mode route/出接口地址ip address 10.0.2.2 255.255.255.0/绑定安全策略ipsec policy center#interface GigabitEthernet0/1port link-mode route/分支 2 内网接口地址ip

16、 address 192.168.12.1 255.255.255.0#/连接总部的 GRE 隧道interface Tunnel0ip address 192.168.0.6 255.255.255.252/指定 Loopback0 为源地址source LoopBack0/目的地址为总部的 Loopback0destination 172.0.0.1#ospf 1area 0.0.0.0/使能 GRE 隧道network 192.168.0.4 0.0.0.3/使能分支 2 内网network 192.168.12.0 0.0.0.255#/配置默认路由，下一跳指向 NAT 设备ip ro

17、ute-static 0.0.0.0 0.0.0.0 10.0.2.1#分支1 nat设备配置#/配置 NAT 地址池nat address-group 0 11.0.0.1 11.0.0.10#/配置需要被 NAT 处理的地址acl number 2000rule 0 permit source 10.0.1.0 0.0.0.255#/NAT 设备外网接口interface GigabitEthernet0/0port link-mode route/配置动态 NATnat outbound 2000 address-group 0/接口地址ip address 1.0.0.1 255.25

18、5.255.0#interface GigabitEthernet0/1port link-mode route/连接分支 1 路由器的接口地址ip address 10.0.1.1 255.255.255.0#分支2 nat设备配置#/配置 NAT 地址池nat address-group 0 12.0.0.1 12.0.0.10#/配置需要被 NAT 处理的地址acl number 2000rule 0 permit source 10.0.2.0 0.0.0.255#/NAT 设备外网接口interface GigabitEthernet0/0port link-mode route/配

19、置动态 NATnat outbound 2000 address-group 0/接口地址ip address 1.0.0.2 255.255.255.0#interface GigabitEthernet0/1port link-mode route/连接分支 2 路由器的接口地址ip address 10.0.2.1 255.255.255.0#四、配置关键点：1) 大部分配置参考 IPSec VPN 多分支 NAT 穿越模板方式功能的配置；2) 分支的 ACL 可以配置成精确的 GRE 流量；3) 建立 GRE 隧道的地址必须是内网地址；4) 不能将建立 GRE 隧道连接的 Loopback 接口加入到 OSPF，否则连接会失效。

展开阅读全文