当前位置:文档之家 › H3C防火墙典型配置案例集(V7)-6W101-整本手册

H3C防火墙典型配置案例集(V7)-6W101-整本手册

  • 格式:pdf
  • 大小:632.07 KB
  • 文档页数:81

下载文档原格式

  / 81
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1 典型配置案例导读

H3C防火墙典型配置案例集共包括6个文档,介绍了防火墙产品常用特性的典型配置案例,包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型及软件版本

本手册所描述的内容适用于防火墙产品的如下款型及版本:

款型软件版本

M9006/M9010/M9104 Version 7.1.051, Ess 9105及以上

1.2 内容简介

典型配置案例中特性的支持情况与产品的款型有关,关于特性支持情况的详细介绍,请参见《H3C SecPath M9000多业务安全网关配置指导》和《H3C SecPath M9000多业务安全网关命令参考》。

手册包含的文档列表如下:

编号名称

1H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例(V7)

2H3C 防火墙IPsec典型配置案例(V7)

3H3C 防火墙NAT444典型配置案例(V7)

4H3C 防火墙NAT典型配置案例(V7)

5H3C 防火墙基于ACL包过滤策略的域间策略典型配置案例(V7)

6H3C 防火墙基于对象策略的域间策略典型配置案例(V7)

H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例

Copyright © 2014 杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

目录

1 简介 (1)

2 配置前提 (1)

3 配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (2)

3.3 使用版本 (2)

3.4 配置注意事项 (2)

3.5 配置步骤 (2)

3.5.1 M9000的配置 (2)

3.5.2 FW A的配置 (6)

3.5.3 FW B的配置 (8)

3.6 验证配置 (9)

3.7 配置文件 (12)

1 简介

本文档介绍使用GRE over IPSec 虚拟防火墙的配置案例。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPSec 特性。

3 配置举例

3.1 组网需求

如图1所示,Host A 、Host B 、Host C 和Host D 通过防火墙进行互访。Host C 和Host D 有相同的内网地址,现要求:

在M9000和FW A 、FW B 之间建立GRE over IPSec 隧道。在M9000上通过配置虚拟防火墙实现网络及管理隔离。 • M9000上有两个GRE 隧道接口Tunnel1和Tunnel2,分别属于不同的虚拟设备vd_a 、vd_b ,绑定对应虚拟设备的VPN 实例实现路由隔离,其中Tunnel1绑定 vpn_a ,Tunnel2绑定vpn_b 。Host A 访问Host C 通过Tunnel1走虚拟设备vd_a , Host B 访问Host D 通过Tunnel2走虚拟设备vd_b 。

图1 GRE over IPSec 虚拟防火墙组网图

设备 接口 IP 地址 设备 接口 IP 地址 FW A GE0/1 101.0.0.1/24 M9000 XGE1/2/0/1 10.0.3.1/24 GE0/3 10.0.1.1/24 XGE1/2/0/2 10.0.3.1/24

FW B GE0/1 102.0.0.1/24 XGE1/2/0/3 103.0.0.1/24

GE0/3 10.0.2.1/24 Host C - 10.0.3.2/24

Host A - 10.0.1.2/24 Host D - 10.0.3.2/24

Host B - 10.0.2.2/24

3.2 配置思路

•为了使主机能够通过安全隧道互访,需要在防火墙之间创建隧道,并绑定相应的VPN实例。

•在各个防火墙上配置IPSec安全提议及策略,并在对应出接口上进行应用。

3.3 使用版本

本文档基于M9000的Version 7.1.051, Ess 9105版本和F1000-E的F3174P07版本为例进行说明。

3.4 配置注意事项

•在应用VPN实例的设备上,IPSec保护的流,源IP和目的IP分别对应Tunnel口相应的源IP 和目的IP。

•在应用VPN实例的设备上,如果要实现跨VPN 实例的转发,要配置跨VPN实例的路由,并且路由网关应为出接口下一跳地址。

3.5 配置步骤

3.5.1 M9000的配置

(1) 创建VPN实例vpn_a和vpn_b,并配置RD属性。

system-view

[Sysname] ip vpn-instance vpn_a

[Sysname-vpn-instance-vpn_a] route-distinguisher 1:1

[Sysname-vpn-instance-vpn_a] quit

[Sysname] ip vpn-instance vpn_b

[Sysname-vpn-instance-vpn_b] route-distinguisher 2:2

[Sysname-vpn-instance-vpn_b] quit

(2) 为接口Ten-GigabitEthernet1/2/0/1、Ten-GigabitEthernet1/2/0/2、

Ten-GigabitEthernet1/2/0/3配置IP地址,将Ten-GigabitEthernet1/2/0/1、

Ten-GigabitEthernet1/2/0/2分别绑定vpn_a和vpn_b。

[Sysname] interface ten-gigabitethernet 1/2/0/1

[Sysname-Ten-GigabitEthernet1/2/0/1] ip binding vpn-instance vpn_a

[Sysname-Ten-GigabitEthernet1/2/0/1] ip address 10.0.3.1 255.255.255.0

[Sysname-Ten-GigabitEthernet1/2/0/1] quit

[Sysname] interface ten-gigabitethernet 1/2/0/2

[Sysname-Ten-GigabitEthernet1/2/0/2] ip binding vpn-instance vpn_b

[Sysname-Ten-GigabitEthernet1/2/0/2] ip address 10.0.3.1 255.255.255.0

[Sysname-Ten-GigabitEthernet1/2/0/2] quit

[Sysname] interface ten-gigabitethernet 1/2/0/3

[Sysname-Ten-GigabitEthernet1/2/0/3] ip address 103.0.0.1 255.255.255.0

[Sysname-Ten-GigabitEthernet1/2/0/3] quit

(3) 创建Tunnel 1,绑定VPN实例并配置IP地址及GRE Tunnel参数。

[Sysname] interface Tunnel 1

[Sysname-Tunnel1] ip binding vpn-instance vpn_a

相关主题