科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道SecPath系列:多分部接入总部

SecPath系列:多分部接入总部

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文描述的是SecPath系列防火墙的多分部通过DVPN和NAT接入总部,并做IPSEC加密,DVPN启用OSPF。

作者:51CTO.COM 2007年10月25日

关键字: NAT H3C 防火墙 SecPath DVPN

  • 评论
  • 分享微博
  • 分享邮件

【拓扑图】

【配置环境参数】

如图。

【组网需求】

武汉和上海两个分部通过NAT接入北京总部,只有北京总部有公网地址。

通过DVPN连接总部和两个分部。

要求私网网段之间的数据流量采用IPSEC隧道加密传输。

总部和分部之间要求启用OSPF,动态学习对端私网的路由。

【配置结果】

1. 所有隧道接口可以互相ping通。

2. 所有内网(loopback地址)可以互相ping通。

3. 武汉和上海分部之间由于都经过了NAT,不能做IPSEC协商,所以相互之间不直接建立隧道,而是通过总部转发。

4. 不需要ISP的特别支持。

5. 私网路由动态建立。

【说明】

DVPN目前仅在secpath产品上支持。

【主要配置】

【备注】

1. 在本例中,上海和武汉之间由于都经过了NAT,所以不能直接建立IPSEC隧道转发,而是需要经过总部。所以每个分部只需定义去往总部的加密数据流即可。

2. 总部采用模板配置IPSEC,可以自动根据分部的数据流定义自己的加密数据流。

3. 以武汉去北京的数据为例,分析报文格式如下:

可以看出,当采用这种方式时总共含有三层IP头。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章