Hub-Spoke组网的专用网络搭建
- 拓扑图
- 设备型号说明
- 配置思路
- 配置说明
- 操作步骤
- 1.终端设备网络参数配置(分别双击三个终端设备,根据拓扑规划完成网络参数配置)
- 总部
- 分部1
- 分部2
- 2.CLI方式登录FW1、FW2、FW3(默认用户名:admin,默认密码:Admin@123)并进行初始密码的修改,之后完成接口IP地址配置、接口安全区域划分和默认路由配置
- Fw1
- Fw2
- Fw3
- 3.登录ISP路由器完成设备命名,接口IP以及去往三个站点的静态路由,具体脚本如下:
- 4.在FW1,FW2,FW3上配置安全策略,放行总部分部之间的业务流以及三个FW之间的ISAKMP报文交互
- Fw1
- Fw2
- Fw3
- 5.配置FW管理接口IP地址,设置电脑虚拟网卡网络参数,确保桥接所用的虚拟网卡和FW管理接口IP处在同一网段,并在FW管理接口下开启https管理功能便于后续进行WEB界面管理
- 6.设置Cloud参数,实现FW和虚拟网卡的桥接(以Fw1设备为例)
- 7.打开浏览器(建议火狐)登录FW设备的WEB管理界面:https://管理接口IP:8443
- 8.在FW的WEB管理界面下完成IPSEC隧道的配置
- Fw1
- Fw2
- 结果验证
- 连通性
- IPSec隧道监控信息
拓扑图
设备型号说明
总部、分部1、分部2均使用”PC”型号终端设备
FW1、FW2、FW3使用USG6000V型号防火墙
ISP路由器采用AR2220型号路由器
Cloud1、Cloud2属于其他设备中的Cloud,主要用作网卡桥接
注:FW3上没有连接Cloud设备主要因为本人电脑虚拟网卡只有两个,故FW2的配置完成后再使用Cloud2桥接到FW3上进行WEB配置
配置思路
1.底层基础配置(终端设备IP地址,FW重命名以及接口下IP地址和接口所属安全区域配置)
2.部署底层路由,本案例具体路由实现方式为:
在中间ISP设备上用静态路由让其访问三个终端所在网段,FW上使用均使用缺省路由指向ISP路由器
3.总部边界FW1配置安全策略,放行总部和两个分部互访的业务流,同时分部边界FW2和FW3配置安全策略放行分部和总部之间的业务流量
4.放行FW连接外网(ISP路由器)的接口IP与Untrust区域互访的流量(允许IKE及IPsec报文交互)
5.进入Web界面配置IPsec隧道(选择“网络 > IPSec > IPSec”,单击“新建”)
6.可在IPsec的监控界面看到协商结果
配置说明
1-4步因配置流程较为简单,为避免WEB界面配置产生冗余脚本,故采用CLI配置方式实现
5-6步使用CLI方式配置较为繁琐,故采用WEB界面配置实现
操作步骤
1.终端设备网络参数配置(分别双击三个终端设备,根据拓扑规划完成网络参数配置)
总部
分部1
分部2
2.CLI方式登录FW1、FW2、FW3(默认用户名:admin,默认密码:Admin@123)并进行初始密码的修改,之后完成接口IP地址配置、接口安全区域划分和默认路由配置
FW2和FW3操作流程类似,修改后的密码均为:Admin@1234
Fw1
sysname Fw1
#
interface GigabitEthernet1/0/0
ip address 10.0.10.1 255.255.255.0
#
interface GigabitEthernet1/0/1
ip address 1.0.0.2 255.255.255.0
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.0.0.1
#
Fw2
sysname Fw2
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 2.0.0.2 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.0.20.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 2.0.0.1
#
Fw3
sysname Fw3
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 3.0.0.2 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.0.30.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 3.0.0.1
#
3.登录ISP路由器完成设备命名,接口IP以及去往三个站点的静态路由,具体脚本如下:
sysname ISP
#
interface GigabitEthernet0/0/0
ip address 1.0.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 2.0.0.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 3.0.0.1 255.255.255.0
#
ip route-static 10.0.10.0 255.255.255.0 1.0.0.2
ip route-static 10.0.20.0 255.255.255.0 2.0.0.2
ip route-static 10.0.30.0 255.255.255.0 3.0.0.2
#
4.在FW1,FW2,FW3上配置安全策略,放行总部分部之间的业务流以及三个FW之间的ISAKMP报文交互
Fw1
security-policy
rule name t2u
source-zone trust
destination-zone untrust
source-address 10.0.10.0 mask 255.255.255.0
destination-address 10.0.20.0 mask 255.255.255.0
destination-address 10.0.30.0 mask 255.255.255.0
action permit
rule name u2t
source-zone untrust
destination-zone trust
source-address 10.0.20.0 mask 255.255.255.0
source-address 10.0.30.0 mask 255.255.255.0
destination-address 10.0.10.0 mask 255.255.255.0
action permit
rule name l2u
source-zone local
destination-zone untrust
source-address 1.0.0.2 mask 255.255.255.255
action permit
rule name u2l
source-zone untrust
destination-zone local
destination-address 1.0.0.2 mask 255.255.255.255
action permit
#
Fw2
security-policy
rule name t2u
source-zone trust
destination-zone untrust
source-address 10.0.20.0 mask 255.255.255.0
destination-address 10.0.10.0 mask 255.255.255.0
action permit
rule name u2t
source-zone untrust
destination-zone trust
source-address 10.0.10.0 mask 255.255.255.0
destination-address 10.0.20.0 mask 255.255.255.0
action permit
rule name l2u
source-zone local
destination-zone untrust
source-address 2.0.0.2 mask 255.255.255.255
action permit
rule name u2l
source-zone untrust
destination-zone local
destination-address 2.0.0.2 mask 255.255.255.255
action permit
Fw3
security-policy
rule name t2u
source-zone trust
destination-zone untrust
source-address 10.0.30.0 mask 255.255.255.0
destination-address 10.0.10.0 mask 255.255.255.0
action permit
rule name u2t
source-zone untrust
destination-zone trust
source-address 10.0.10.0 mask 255.255.255.0
destination-address 10.0.30.0 mask 255.255.255.0
action permit
rule name l2u
source-zone local
destination-zone untrust
source-address 3.0.0.2 mask 255.255.255.255
action permit
rule name u2l
source-zone untrust
destination-zone local
destination-address 3.0.0.2 mask 255.255.255.255
action permit
#
说明:规则t2u、u2t用来放行业务流,规则l2u、u2l用来放行ISAKMP报文交互
5.配置FW管理接口IP地址,设置电脑虚拟网卡网络参数,确保桥接所用的虚拟网卡和FW管理接口IP处在同一网段,并在FW管理接口下开启https管理功能便于后续进行WEB界面管理
以FW1为例:
修改管理IP并开启HTTPS管理功能:
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.10.10 255.255.255.0
alias GE0/METH
service-manage https permit
修改电脑虚拟网卡网络参数(控制面板\网络和 Internet\网络连接):
注:其余虚拟网卡和FW一样的配置流程
6.设置Cloud参数,实现FW和虚拟网卡的桥接(以Fw1设备为例)
完成上述配置以后将Cloud和FW设备的g0/0/0接口连接
注:其余Cloud和FW之间的桥接流程一致
7.打开浏览器(建议火狐)登录FW设备的WEB管理界面:https://管理接口IP:8443
Fw1:https://192.168.10.10:8443
Fw2:https://192.168.0.2:8443
Fw3:https://192.168.0.3:8443
以Fw1为例:
注:FW2和FW3设备不能同时登录,一个虚拟网卡只能同时连接一个FW设备,故在Fw2完成WEB配置以后需要把Cloud2连接到Fw3的g0/0/0接口上,然后访问Fw3设备的WEB管理界面
8.在FW的WEB管理界面下完成IPSEC隧道的配置
Fw1
Fw2
注:Fw3设备配置流程参考Fw2设备
结果验证
连通性
IPSec隧道监控信息