某同行的客戶有此需求:一個總部,兩個異地分公司,三台華為防火牆,要求三地區域網互聯,伺服器之間要互相備份重要數據,任意地點的用戶,都能訪問不同辦公地點的伺服器資源。
要說最省錢的方法,肯定是ipsec,華為防火牆自帶的功能,安全又好用,不用白不用。
真實的環境配置完成了,還原到模擬器就簡單點吧,拓撲圖如下:
一、總部防火牆(FW1)的配置:
1、配置接口IP,允許ping,允許https登錄
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.65.2 255.255.255.0
alias GE0/METH
service-manage https permit
service-manage ping permit
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.1.2 255.255.255.252
alias O
service-manage https permit
service-manage ping permit
ipsec policy ipsec1151952173
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.100.1 255.255.255.252
alias i
service-manage https permit
service-manage ping permit
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.10.1 255.255.255.0
service-manage ping permit
#
2、將接口放到相應的安全區域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
3、配置靜態路由
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
ip route-static 192.168.8.0 255.255.252.0 192.168.100.2
4、配置安全策略
security-policy
rule name internet *允許dmz、local、trust訪問untrust
source-zone dmz
source-zone local
source-zone trust
destination-zone untrust
action permit
rule name 8to20&28 *允許總部區域網與兩個分公司的區域網
source-zone trust
destination-zone untrust
source-address 192.168.8.0 mask 255.255.252.0
destination-address 192.168.20.0 mask 255.255.252.0
destination-address 192.168.28.0 mask 255.255.252.0
action permit
rule name 20&28to8 *允許兩個分公司的區域網訪問總部的區域網
source-zone untrust
destination-zone trust
source-address 192.168.20.0 mask 255.255.252.0
source-address 192.168.28.0 mask 255.255.252.0
destination-address 192.168.8.0 mask 255.255.252.0
action permit
rule name Untrust2Local *允許untrust區域訪問防火牆本身(Local),ipsec必須有此策略
source-zone untrust
destination-zone local
action permit
rule name dmz *允許trust和untrust區域訪問dmz區域,因為伺服器在DMZ區域
source-zone trust
source-zone untrust
destination-zone dmz
action permit
#
5、配置ipsec
不好意思,配置ipsec的命令真不熟,而且也很麻煩,所以就用web配置了;
如上圖所示,選擇「點到多點」,因為有兩個分公司;策略名稱隨便寫一個,本地接口就是網際網路接口,連接光貓那個;本端地址就是電信運營商給的固定IP;預共享密碼自定義;本端ID,這裡選擇為IP位址,對端ID就不填寫了,多個分公司無法填寫,如果分公司是PPPOE的寬頻,更是沒辦法填寫。
加密的數據流,源地址是填寫總部本地區域網,目的地址,我這裡自定義了一個地址組,就是包含了兩個分公司的區域網。
反向路由注入,記得勾選上,不然就得手寫去往分公司的靜態路由了;
IKE和IPSec參數,看情況自定義,保持三地相同即可,如果是不同品牌的防火牆要互聯,那就要看清楚了,肯定需要有個折中的方案,無法保持一致就不能聯網了。
下面這個圖片,是三台防火牆全部配置完成後,ipsec連接成功後的截圖,目前來說,暫時是看不到這個的。
順便看一下,命令行配置完成的安全策略,是什麼樣子的:
配置安全策略,用web介面也很方便的,點幾下滑鼠,輸入相應網段就行。
二、分公司防火牆(FW2、FW3)的配置
配置都差不多類似,就不重複貼出來了,看看ipsec配置的不同之處吧:
三、檢測配置效果
三地IPSec配置完成,且已經成功連接,檢測一下效果,是否達到預期目標:
1、用PC1 ping PC3和PC6,都能ping通,表示三地區域網已經成功互聯;
2、用PC5 ping Server1和Server2,也都能ping通,進一步證明三地區域網已經成功互聯,並且DMZ區域的伺服器正常提供服務,異地訪問沒問題了。
補充說明:各個VLAN都是/24的掩碼長度,安全策略以及靜態路由裡面的/22,是為了減少路由條目,並不是寫錯了,之前在其他文章中有網友提出疑問,今天順便再一次解釋,其實這也是常用的手段,並不新鮮。