多站点之间IPsecVvv互通实验
拓扑:
实验拓扑背景:
某公司在三个不同地区均设有公司,总部在A地区,两个分公司分别在B地区与C地区,现对这三个站点部署ipsecVvv,要求达到每个站点都与其他两个站点互联互通。
站点A:设备是华三防火墙 公网IP为:10.103.2.13 255.255.255.252
站点B:设备是山石防火墙 公网IP为:20.108.1.18 255.255.255.252
站点C:设备是山石防火墙 公网IP为:30.111.3.18 255.255.255.252
第一步:配置模拟公网关系互通:
设备名称:VIOS7---系统命名:Internet7
设备名称:VIOS8---系统命名:Internet8
设备名称:VIOS9---系统命名:Internet9
设备名称:VIOS10---系统命名:Internet10
四台路由器使用静态路由协议,分别实现公网互联互通!
配置如下:
Internet7#sh running-config
interface GigabitEthernet0/0
ip address 10.103.2.14 255.255.255.252
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 78.1.1.7 255.255.255.0
duplex auto
speed auto
media-type rj45
!
no ip http server
no ip http secure-server
ip route 20.108.1.16 255.255.255.252 GigabitEthernet0/1 78.1.1.8
ip route 30.111.3.16 255.255.255.252 GigabitEthernet0/1 78.1.1.8
ip route 89.1.1.0 255.255.255.0 GigabitEthernet0/1 78.1.1.8
ip route 108.1.1.0 255.255.255.0 GigabitEthernet0/1 78.1.1.8
Internet8#sh running-config
interface GigabitEthernet0/0
ip address 78.1.1.8 255.255.255.0
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 108.1.1.8 255.255.255.0
duplex auto
speed auto
media-type rj45
ip route 10.103.2.12 255.255.255.252 GigabitEthernet0/0 78.1.1.7
ip route 20.108.1.16 255.255.255.252 GigabitEthernet0/1 108.1.1.10
ip route 30.111.3.16 255.255.255.252 GigabitEthernet0/2 89.1.1.9
!
Internet9#sh running-config
interface GigabitEthernet0/0
ip address 89.1.1.9 255.255.255.0
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 30.111.3.17 255.255.255.252
duplex auto
speed auto
media-type rj45
!
ip route 10.103.2.12 255.255.255.252 GigabitEthernet0/0 89.1.1.8
ip route 20.108.1.16 255.255.255.252 GigabitEthernet0/0 89.1.1.8
ip route 78.1.1.0 255.255.255.0 GigabitEthernet0/0 89.1.1.8
ip route 108.1.1.0 255.255.255.0 GigabitEthernet0/0 89.1.1.8
-------------------------------------------------------------------------------
Internet10#sh running-config
interface GigabitEthernet0/0
ip address 108.1.1.10 255.255.255.0
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 20.108.1.17 255.255.255.252
duplex auto
speed auto
media-type rj45
ip route 10.103.2.12 255.255.255.252 GigabitEthernet0/0 108.1.1.8
ip route 30.111.3.16 255.255.255.252 GigabitEthernet0/0 108.1.1.8
ip route 78.1.1.0 255.255.255.0 GigabitEthernet0/0 108.1.1.8
ip route 89.1.1.0 255.255.255.0 GigabitEthernet0/0 108.1.1.8
第二步,模拟公网环境配置完成后,分别对三台防火墙进行配置:
首先配置站点A的防火墙配置:
配置安全策略由于是模拟环境,所以就全都放开
配置接口情况
配置NAT不做转换:
然后配置IPsec策略:
配置A站点到B站点的IKE第一阶段:
配置A站点到B站点的第二阶段:
配置A站点到C站点的ike第一阶段:
配置A站点到C站点的第二阶段:
最后配置对端内网明细路由到下一跳
等对端配置完成后查看隧道是否建立完成
以下是B站点防火墙的配置:
B站点防火墙策略:
B站点防火墙接口:
B站点配置到A站点和C站点的IPsecVPN策略:
B站点到A站点的第一阶段策略
B站点到A站点的第二阶段策略:
配置tunnel接口绑定到站点A的VPN隧道
将对端内网地址段指向隧道接口
B站点到C站点的隧道配置同理,不过多赘述
配置C站点的安全策略:
配置C站点的接口配置:
配置C站点到A站点的第一阶段IKE配置
配置C站点到A站点的第二阶段的ike配置
配置tunnel接口,将C点到A点的VPN隧道绑定到接口中去
写目的内网的明细路由,将下一跳指向tunnel接口:
根据Ipsec监控,查看第一阶段和第二阶段的建立情况:
C点到B点的配置同理,不做过多赘述
配置完成后分别在客户端进行测试:
站点A分别访问站点B和站点C测试正常:
站点B分别访问站点A和C的测试情况:
站点C分别访问站点A和站点B的网络通信情况:
