mvc路由配置html(mvc中路由的作用)
微信公众号:计算机与网络安全
▼
如图1所示,Router A为公司分支机构网关,Router B为公司总部网关,但分支机构采用两条出口链路互为备份或者负载分担,通过公网与总部建立通信。分支机构子网为10.1.1.0/24,总部子网为10.1.2.0/24。现公司希望对分支机构子网与总部子网之间相互访问的流量进行安全保护,并且若主备链路切换或某条出口链路故障时,要求安全保护不中断。但由于两个出接口分别协商生成IPSec SA,在主备链路切换时,接口会出现Up/Down状态变化,因此需要重新进行IKE协商,从而导致数据流的暂时中断。为保证在进行主备链路切换时安全保护不中断,以实现IPSec SA的平滑切换,希望分支机构网关的两条出口链路与总部网关只协商一个共享的IPSec SA。
图1 分支采用多链路共享功能与总部建立IPSec隧道示例的拓扑结构
1. 基本配置思路分析
因为分支机构网关有两条链路连接到Internet,为了使这两条链路与总部网关只协商生成一个IPSec,所以不能利用分支机构网关的两个公网接口分别与总部网关配置对等体,而要使用一个Loop Back接口与总部网关建立IPSec隧道,最终使两条出口链路与总部网关只协商一个共享的IPSec SA。具体配置思路如下。
(1)配置各网关设备内/外网接口的IP地址,以及分支机构公网、私网与总部公网、私网互访的静态路由。
(2)配置高级ACL,以定义分支机构子网与总部子网通信时需要IPSec保护的数据流。
(3)配置IPSec安全提议,定义IPSec的保护方法。
(4)配置IKE安全提议。
(5)配置IKE对等体,定义对等体间IKE协商时的属性。
展开全文
本示例中IKE对等体的配置,分支机构本端IP地址与总部网关配置的对端IP地址均要配置为分支机构网关Loop Back接口的IP地址。
(6)配置安全策略,并引用前面定义的ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。
(7)在接口上应用安全策略组,使接口具有IPSec的保护功能。其中在分支机构网关Router A上的安全策略组在应用前需要通过ipsec policy policy-name shared localinterface loopback interface-number命令设置为多链路共享,然后在Router A的两个公网接口上分别应用安全策略组。
2. 具体配置步骤
(1)分别在Router A和Router B上配置各接口(包括Router A上的Loopback接口)的IP地址和到对端各公网、私网的静态路由。
# 在Router A上配置接口IP地址。
Huawei system-view
[Huawei] sysname Router A
[Router A] interface gigabitethernet 1/0/0
[Router A-Gigabit Ethernet1/0/0] ip address 70.1.1.1 255.255.255.0
[Router A-Gigabit Ethernet1/0/0] quit
[Router A] interface gigabitethernet 2/0/0
[Router A-Gigabit Ethernet2/0/0] ip address 80.1.1.1 255.255.255.0
[Router A-Gigabit Ethernet2/0/0] quit
[Router A] interface gigabitethernet 3/0/0
[Router A-Gigabit Ethernet3/0/0] ip address 10.1.1.1 255.255.255.0
[Router A-Gigabit Ethernet3/0/0] quit
[Router A] interface loopback 0
[Router A-Loop Back0] ip address 1.1.1.1 255.255.255.255
[Router A-Loop Back0] quit
# 在Router A上配置通过两条不同链路到达对端公网、私网的静态路由(优先级要配置的不同,以实现主备备份),此处假设Router A的两个出接口到对端的下一跳地址分别为70.1.1.2和80.1.1.2。
[Router A]iproute-static10.1.2.02470.1.1.2preference10 #---配置从GE1/0/0接口对应链路到达总部私网的静态路由
[Router A]iproute-static10.1.2.02480.1.1.2preference20 #---配置从GE2/0/0接口对应链路到达总部私网的静态路由
[Router A]iproute-static60.1.1.13270.1.1.2preference10 #---配置从GE1/0/0接口对应链路到达总部公网的静态路由
[Router A]iproute-static60.1.1.13280.1.1.2preference20 #---配置从GE2/0/0接口对应链路到达总部公网的静态路由
# 在Router B上配置接口IP地址。
Huawei system-view
[Huawei] sysname Router B
[Router B] interface gigabitethernet 1/0/0
[Router B-Gigabit Ethernet1/0/0] ip address 60.1.1.1 255.255.255.0
[Router B-Gigabit Ethernet1/0/0] quit
[Router B] interface gigabitethernet 3/0/0
[Router B-Gigabit Ethernet3/0/0] ip address 10.1.1.1 255.255.255.0
[Router B-Gigabit Ethernet3/0/0] quit
# 在Router B上配置到达分支机构各公网、私网、Loopback0接口的静态路由,此处假设Router B到对端的下一跳地址为60.1.1.2。
[Router B]iproute-static1.1.1.13260.1.1.2 #---到达Loopback0接口的静态路由
[Router B]iproute-static10.1.1.02460.1.1.2 #---到达分支机构私网的静态路由
[Router B]iproute-static70.1.1.1320.1.1.2 #---到达Router AGE1/0/0接口的静态路由
[Router B]iproute-static80.1.1.13260.1.1.2 #---到达Router AGE2/0/0接口的静态路由
(2)分别在Router A和Router B上配置ACL,定义各自要保护的数据流。
# 在Router A上配置ACL,定义由总部子网10.1.1.0/24到达分支机构子网
10.1.2.0/24的数据流。
[Router A] acl number 3101
[Router A-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Router A-acl-adv-3101] quit
# 在Router B上配置ACL,定义由分支机构子网10.1.2.0/24到达总部子网
10.1.1.0/24的数据流。
[Router B] acl number 3101
[Router B-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Router B-acl-adv-3101] quit
(3)分别在Router A和Router B上创建IPSec安全提议(假设名称均为prop也可以不同),使用ESP安全协议,认证算法为SHA2-256,加密算法为AES-128。
[Router A] ipsec proposal prop
[Router A-ipsec-proposal-prop] esp authentication-algorithm sha2-256
[Router A-ipsec-proposal-prop] esp encryption-algorithm aes-128
[Router A-ipsec-proposal-prop] quit
[Router B] ipsec proposal prop
[Router B-ipsec-proposal-prop] esp authentication-algorithm sha2-256
[Router B-ipsec-proposal-prop] esp encryption-algorithm aes-128
[Router B-ipsec-proposal-prop] quit
(4)分别在Router A和Router B上创建IKE安全提议(序号均为5,也可以不同),认证算法为SHA2-256,加密算法为AES-128,DH为group14。
[Router A] ike proposal 5
[Router A-ike-proposal-5] authentication-algorithm sha2-256
[Router A-ike-proposal-5] encryption-algorithm aes-128
[Router A-ike-proposal-5] dh group14
[Router A-ike-proposal-5] quit
[Router B] ike proposal 5
[Router B-ike-proposal-5] authentication-algorithm sha2-256
[Router B-ike-proposal-5] encryption-algorithm aes-128
[Router B-ike-proposal-5] dh group14
[Router B-ike-proposal-5] quit
(5)分别在Router A和Router B上配置IKE对等体(此处名称均为rut,也可以不同),假设采用IKEv2版本。因为IKE提议中的认证方法采用缺省值,所以采用的是预共享密钥认证方法,需要配置预共享密钥(假设为huawei,两端的配置必须一致)。另外,在总部网关Router B上配置的“对端IP地址”必须是分支机构网关Router A上的Loopback0接口IP地址。
# 在Router A上配置IKE对等体,并引用前面创建的IKE安全提议,配置预共享密钥和对端IP地址。
[Router A] ike peer rut
[Router A-ike-peer-rut] undo version 2
[Router A-ike-peer-rut] ike-proposal 5
[Router A-ike-peer-rut] pre-shared-key simple huawei
[Router A-ike-peer-rut] remote-address 60.1.1.1
[Router A-ike-peer-rut] quit
# 在Router B上配置IKE对等体,并引用前面创建的IKE安全提议,配置预共享密钥和对端IP地址。
[Router B] ike peer rut
[Router B-ike-peer-rut] undo version 2
[Router B-ike-peer-rut] ike-proposal 5
[Router B-ike-peer-rut] pre-shared-key simple huawei
[Router B-ike-peer-rut]remote-address1.1.1.1 #---为分支机构Loopback0接口的IP地址
[Router B-ike-peer-rut] quit
(6)分别在Router A和Router B上创建安全策略,引用前面创建的IPSec安全提议、IKE对等体和用于定义需要保护的数据流的ACL。
# 在Router A上配置安全策略。
[Router A] ipsec policy policy1 10 isakmp
[Router A-ipsec-policy-isakmp-policy1-10] ike-peer rut
[Router A-ipsec-policy-isakmp-policy1-10] proposal prop
[Router A-ipsec-policy-isakmp-policy1-10] security acl 3101
[Router A-ipsec-policy-isakmp-policy1-10] quit
# 在Router B上配置安全策略。
[Router B] ipsec policy policy1 10 isakmp
[Router B-ipsec-policy-isakmp-policy1-10] ike-peer rut
[Router B-ipsec-policy-isakmp-policy1-10] proposal prop
[Router B-ipsec-policy-isakmp-policy1-10] security acl 3101
[Router B-ipsec-policy-isakmp-policy1-10] quit
(7)分别在Router A和Router B的接口上应用各自的安全策略组,使通过这些接口向外发送的兴趣流能被IPSec保护。
# 在Router A上配置多链路共享功能,并且分别在两个公网接口上引用前面创建的安全策略组。
[Router A]ipsecpolicypolicy1sharedlocal-interfaceloopback0 #---配置安全策略组policy1对应的IPSec隧道为多链路共享
[Router A] interface gigabitethernet 1/0/0
[Router A-Gigabit Ethernet1/0/0] ipsec policy policy1
[Router A-Gigabit Ethernet1/0/0] quit
[Router A] interface gigabitethernet 2/0/0
[Router A-Gigabit Ethernet2/0/0] ipsec policy policy1
[Router A-Gigabit Ethernet2/0/0] quit
# 在Router B的接口上引用安全策略组。
[Router B] interface gigabitethernet 1/0/0
[Router B-Gigabit Ethernet1/0/0] ipsec policy policy1
[Router B-Gigabit Ethernet1/0/0] quit
3. 配置结果验证
配置成功后,在分支机构子网的主机PCA执行ping操作可以ping通位于总部子网的主机PC B,并且它们之间的数据传输将被加密,执行命令display ipsec statistics esp可以查看数据包的统计信息。
# 在Router A上执行display ike sa操作,会显示在Router A上协商生成的IKE SA信息,如果见到了第2阶段的IPSec SA信息,则表明IPSec隧道建立成功了。
[Router A] display ike sa
Conn-ID Peer VPN Flag(s) Phase
----------------------------------------------
16 60.1.1.1 0 RD|ST v1:2
14 60.1.1.1 0 RD|ST v1:1
Numberof SAentries :2
Number of SA entries of all cpu : 2
Flag Deion:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--
TIMEOUT
HRT--HEARTBEAT LKG--LASTKNOWNGOODSEQNO. BCK--BACKEDUP
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
# 此时分别在Router A和Router B上执行display ipsec sa操作,会显示所配置的IPSec SA信息,以下是在Router A上执行本命令后的输出信息。
[Router A] display ipsec sa
===============================
Shared interface: Loop Back0
Interface: Gigabit Ethernet1/0/0
Gigabit Ethernet2/0/0
===============================
-----------------------
IPSec policy name:"policy1"
Sequencenumber :10
Acl Group :3101
Aclrule :5
Mode :ISAKMP
-----------------------
Connection ID :16 #---这是最终建立的IPSes SA标识符,也表明IPSec隧道建立成功
Encapsulation mode: Tunnel
Tunnellocal :1.1.1.1
Tunnelremote :60.1.1.1
Flowsource :10.1.1.0/255.255.255.00/0
Flowdestination :10.1.2.0/255.255.255.00/0
Qospre-classify :Disable
[Outbound ESP SAs]
SPI: 3694855398 (0xdc3b04e6)
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256
SA remaining key duration (bytesc): 1887436800/3595
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 3180691667 (0xbd9580d3)
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256
SA remaining key duration (bytesc): 1887436800/3595
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
▲
- The end -
