公司分支使用5G链路和总部建立IPS加密隧道配置案例

场景介绍

        企业分支通过5G链路接入到Internet,然后与企业总部建立VPN,使得分支可以通过Internet接入总部。根据企业分支和总部之间的业务诉求,可以在5G链路上建立不同的VPN隧道,例如GRE、L2TP、IPSec VPN、DSVPN。其中,IPSec VPN隧道可以对链路上传输的数据进行加密,防止数据被拦截或篡改,非常适用于那些业务安全性和保密性要求较高的行业,例如金融的离行ATM、政府机构等。

组网需求

        如图所示,企业分支使用AR1企业路由器作为出口网关,AR2企业路由器通过5G链路接入Internet,企业分支和总部在5G链路上通过配置IPSec实现企业分支与总部的业务安全互通,对互相访问的流量进行安全保护。

公司分支使用5G链路和总部建立IPS加密隧道配置案例_第1张图片

PLC:是专为工业环境中的数字化操作而设计的电子设备。 

MEC:边缘计算技术(Mobile Edge Computing)是ICT融合的产物,结合日渐成熟的SDN/NFV、大数据、人工智能等技术,5G网络成为各行业数字化转型的关键基础设施之时,MEC也成为支撑运营商进行5G网络转型的关键技术,以满足高清视频、VR/AR、工业互联网、车联网等业务发展需求。MEC作为新兴IT技术的代表。

配置案例大致内容

 

项目

数据

说明

运营商分配给企业分支的APN名称

5gnet

APN名称需提前从运营商处获取。

运营商分配给分支的5G Cellular接口的IP地址

1.1.1.1/32

5G Cellular接口拨号接入运营商后,运营商给5G Cellular接口自动分配的IP地址。

运营商分配给总部的GE0/0/9接口的IP地址

2.2.2.2/24

总部AR2通过有线的方式接入Internet,该有线接口GE0/0/9采用静态方式获取IP地址。

分支AR1 LAN侧接口信息

VLAN:10

VLANIF10:10.1.1.1

VLAN 10为分支子网用户所在的VLAN,且分支子网用户的网关为VLANIF10接口。

总部AR2 LAN侧接口信息

VLAN:20

VLANIF20:10.2.1.1

VLAN 20为总部子网用户所在的VLAN,且总部子网用户的网关为VLANIF20接口。

总部AR2对端运营商接口的IP地址

2.2.2.1/24

总部AR2对端运营商接口的IP地址用于配置路由信息,使分支和总部之间的路由互通。

 TCP MSS参数配置说明:为了减少网络传输中不必要的分片和重组,网络规划时需要合理设置终端发出的报文大小。对于TCP报文,可以配置5G AR设备的TCP MSS值,通过修改应用层报文数据包的长度来避免报文分片。在5G 2B专线场景中,TCP MSS取值比较简单,在隧道两端AR设备的LAN侧接入物理口或VLANIF口上配置TCP MSS为推荐值1200。

配置思路 

 1、配置5G Cellular接口的连接参数,实现5G Cellular接口接入5G网络。

 2、配置企业子网,为内部用户自动分配IP地址。

 3、配置分支NAT功能,实现分支的内部用户可以访问Internet。

 4、配置ACL,以定义IPSec保护的数据流。

 5、配置IPSec安全提议,定义IPSec的保护方法。

 6、配置IKE对等体,定义对等体间IKE协商时的属性。

 7、配置安全策略,确定对何种数据流采取何种保护方法。其中总部AR采用策略模板方式创建安全策略。

 8、在接口上应用安全策略组,使接口具有IPSec的保护功能。

 9、配置静态路由,使企业分支和总部的内网流量可以上行传输到Internet。 

配置代码

AR1配置文件

#
 sysname AR1
#
vlan batch 10
#
dhcp enable
#
acl number 3000                            //配置分支NAT功能                                     
 rule 5 deny ip destination 10.2.1.0 0.0.0.255
rule 10 permit ip
acl number 3101                            //配置分支ACL,定义由子网10.1.1.0/24去子网10.2.1.0/24的数据流                                     
 rule permit ip destination 10.2.1.0 0.0.0.255
#                                                                               
interface Vlanif10                                                              
 ip address 10.1.1.1 255.255.255.0
 dhcp select interface
 tcp adjust-mss 1200                                 //配置VLANIF 10接口TCP最大报文段长度为1200字节并配置DHCP功能                 
#                                                                               
interface GigabitEthernet0/0/1                       //配置分支子网,创建VLAN10,将GE0/0/1接口加入VLAN10                           
 port link-type access                                                          
 port default vlan 10
# 
ipsec proposal tran1                                 //配置分支IPSec安全提议
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128
#
ike proposal 5                                       //配置分支IKE安全提议
 encryption-algorithm aes-128
 dh group14
 authentication-algorithm sha2-256
#
ike peer spub                                        //配置分支IKE对等体
 pre-shared-key cipher 123456
 remote-address 2.2.2.2
 ike-proposal 5
#
ipsec policy policy1 10 isakmp                       //配置分支IKE动态协方式安全策略
 security acl 3101
 ike-peer spub
 proposal tran1
#
interface Cellular1/0/0
 dialer enable-circular                   //使能轮询DCC功能,配置自动拨号连接
 apn-profile 5gprofile                    //在5G Cellular接口上绑定APN模板                                   
 dialer timer autodial 10
 nat outbound 3000
 modem auto-recovery dial action modem-reboot fail-times 128
 modem auto-recovery icmp-unreachable action modem-reboot                    
 modem auto-recovery services-unavailable action modem-reboot test-times 0 interval 3600
 ip address negotiate
 ipsec policy policy1                     //在分支接口上应用安全策略组
#
apn profile 5gprofile                    //创建APN模板
 apn 5gnet
#
ip route-static 0.0.0.0 0.0.0.0 Cellular 1/0/0             //配置分支的缺省路由,指定出接口为5G Cellular接口
#
return

AR2配置文件

#
 sysname AR2
#
vlan batch 20
#
dhcp enable  
#                                                                               
interface Vlanif20                                                              
 ip address 10.2.1.1 255.255.255.0
 dhcp select interface  
 tcp adjust-mss 1200                           //配置VLANIF 20接口TCP最大报文段长度为1200字节并配置DHCP功能                
#
acl number 3101                                //配置总部ACL,定义由子网10.2.1.0/24去子网10.1.1.0/24的数据流                                
 rule permit ip source 10.2.1.0 0.0.0.255
#                                                                               
interface GigabitEthernet0/0/1                 //配置总部子网,创建VLAN20,将GE0/0/1接口加入VLAN20                                 
 port link-type access                                                          
 port default vlan 20
#
ipsec proposal tran1                           //配置总部IPSec安全提议
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128
#
ike proposal 5                                 //配置总部IKE安全提议
 encryption-algorithm aes-128
 dh group14
 authentication-algorithm sha2-256
#
ike peer spua                                  //配置总部IKE对等体
 pre-shared-key cipher 123456
 remote-address 1.1.1.1
 ike-proposal 5
# 
ipsec policy policy1 10 isakmp                 //配置总部以策略模板方式配置IKE动态协商方式安全策略
 security acl 3101 
 ike-peer spua  
 proposal tran1
#        
interface GigabitEthernet0/0/9                  //配置总部接口IP地址
 ip address 2.2.2.2 255.255.255.0
 ipsec policy policy1                           //在总部接口上应用安全策略组
#
ip route-static 0.0.0.0 0.0.0.0 2.2.2.1         //配置总部的路由参数,确保企业总部与企业分支用户网络互通
#
return

配置验证

1、分别在AR1和AR2上执行display ike sa会显示所配置的信息,以AR1为例。

 公司分支使用5G链路和总部建立IPS加密隧道配置案例_第2张图片 

2、在AR1上执行命令display ip interface brief Cellular 1/0/0,查看Cellular1/0/0接口获取到的IP地址。 

 公司分支使用5G链路和总部建立IPS加密隧道配置案例_第3张图片 

3、在AR1上执行命令ping -a 10.1.1.1 10.2.1.1,模拟分支用户访问总部用户的流量,流量能Ping通。

 公司分支使用5G链路和总部建立IPS加密隧道配置案例_第4张图片  

 

你可能感兴趣的:(5G,综合性实验,5g,网络协议,华为)