Nessuna risorsa pertinente trovata nella lingua selezionata.

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
La filiale wireless accede a WAN (utilizzando IPsec su L2TP)

La filiale wireless accede a WAN (utilizzando IPsec su L2TP)

L2TP offre le funzioni di accesso remoto e IPsec su L2TP garantisce la sicurezza della trasmissione dei dati.

Prodotti e versioni applicabili

Questa soluzione si applica ai router serie NE20E-S che eseguono V800R008C10 o versioni successive.

Requisiti di servizio

L'espansione commerciale delle banche pone nuovi requisiti per le filiali:
  • Un gran numero di ATM si trovano in una vasta area.
  • Le richieste di servizio di outburst dei contatori mobili richiedono che sia garantita la qualità del servizio.
  • La disposizione dei terminali off-bank come ATM è difficile e la spesa di linea affittata è alta. È necessaria una rete bancaria più flessibile ed efficiente in termini di costi.
L'accesso wireless 3G/LTE è la tendenza di sviluppo dell'attuale espansione della filiale bancaria:
  • Più operatori forniscono supporto di rete.
  • L'implementazione è flessibile e la gestione è semplice, garantendo una buona qualità del segnale.
  • L'accesso remoto senza linee può essere raggiunto in qualsiasi momento e in qualsiasi luogo.
Come mostrato in Figura 1-4, l'accesso wireless 3G/LTE fornisce le seguenti due soluzioni di accesso:
  • Filiale normale: Per quanto riguarda i costi, la maggior parte delle filiali utilizza una linea affittata e non ha linee di backup. La linea LTE può fungere da linea di backup e può garantire la connettività di rete quando la linea affittata è difettosa.

  • Filiale di fuori banca/banca mobile: Le linee affittate non possono essere implementate in alcune filiali di off-bank e le linee LTE possono essere utilizzate come linee principali per la trasmissione dei dati in tempo reale. Le linee affittate non possono essere utilizzate per i banchi mobili e le linee LTE possono essere utilizzate come linee principali per la trasmissione dei dati in tempo reale.

Figura 1-4  La filiale di wireless accede a WAN

Progettazione della soluzione

Il dispositivo di accesso filiale funge da gateway IPsec e viene stabilito un tunnel IPsec tra il dispositivo di accesso e LNS. I dettagli sono i seguenti:
  • La linea LTE funge da linea di backup o linea di accesso principale della filiale di off-bank/ banca mobile. Il router della filiale di off-bank compone LAC del gestore telefonico e LAC esegue l'autenticazione in base a APN, il nome utente e password.
  • LAC avvia la richiesta di stabilimento del tunnel L2TP al LNS di aggregazione della filale livello 1 basato sull'APN. LNS assegna un indirizzo IP di rete privata al dispositivo di accesso filiale. Il tunnel dalla filiale al LNS è stabilito.

Requisiti di rete

Come mostrato in Figura 1-5, la sede centrale della banca ha le filiali in altre città e Ethernet è distribuita nelle filiali.

La sede centrale deve fornire servizi di accesso L2TP per le filiali e consentire l'accesso a qualsiasi utente nelle filiali. Quando le filiali accedono alla sede centrale, i dati devono essere criptati per evitare il furto di dati.

Ciò è ottenuto dal seguente rete: Device A funge da server di accesso e utilizza PPP dial-up per avviare la sessione PPP e attivare la creazione di tunnel L2TP. Dopo aver stabilito il tunnel L2TP, LNS genera un instradamento verso Device A. Device A ottiene l'indirizzo IP e avvia la richiesta di creazione del tunnel IPsec. Device A e LNS possono utilizzare il tunnel IPsec per la trasmissione sicura.

Figura 1-5  La rete per l'accesso alle filiali wireless alla WAN
NOTA:

In questo esempio, interface1 e interface2 rappresentano rispettivamente GE0/1/0 e GE0/2/0.


In Figura 1-5, i requisiti del dispositivo sono i seguenti:

  • Device A può avviare la negoziazione IKE per LNS e comporre il numero usando PPP.

  • Device A invia richieste di connessione PPP attraverso il LAC al LNS. LNS riceve le richieste PPP e assegna un indirizzo IP a Device A.

Roadmap di configurazione

La modalità di incapsulamento è la modalità tunnel, l'algoritmo di autenticazione è l'algoritmo SM3 approvato dall'ufficio del comitato di amministrazione della password dello stato (State Password Administration Committee Office), l'algoritmo di crittografia è l'algoritmo SM4 approvato dall'ufficio del comitato di amministrazione della password dello stato (State Password Administration Committee Office) e l'algoritmo di integrità è l'algoritmo HMAC-SHA2-256. La roadmap di configurazione è seguente:

  1. Configurare gli indirizzi IP per le interfacce tra LAC e LNS.

  2. Configurare Device A per comporre il numero usando PPP.

  3. Configure il tunnel L2TP tra LAC e LNS.

  4. Configure the IPsec tunnel su Device A. Do as follows:
    • Configure ACL rule groups to define data streams that need to be protected.

    • Configure the IKE proposal.

    • Configurare il peer IKE.

    • Configurare la proposta IPsec.

    • Configurare la politica IPsec.

    • Applicare la politica di sicurezza IPsec alle interfacce.

    • Configurare l'instradamento statico per deviare traffico per IPsec.

  5. Configurare il tunnel IPsec sul LNS. Fare come segue:
    • Configurare i gruppi ACL per definire i flussi di dati che devono essere protetti.

    • Configurare la proposta IKE.

    • Configurare il peer IKE.

    • Configurare la proposta IPsec.

    • Configurare la politica IPsec.

    • Configurare il gruppo di istanze di servizio IPsec.
    • Creare e configurare un'interfaccia tunnel.

    • Applicare la politica IPsec all'interfaccia del tunnel.

    • Configurare l'instradamento statico per deviare traffico per IPsec.

Preparazione dei dati

Per completare la configurazione, sono necessari i seguenti dati:

  • Indirizzi IP delle interfacce
  • Dati PPP, inclusi l'interfaccia del modello virtuale, lo schema AAA e l'interfaccia BAS
  • Dati L2TP, inclusi ID gruppo L2TP, ID pool di indirizzi IP remoto, intervallo e maschera
  • Dati IPsec, inclusi:
    • ACL ID

    • Segmento di indirizzo IP per ogni rete

    • Chiave precondivisa

    • Algoritmo di autenticazione utilizzato dalla proposta IKE

    • Protocollo di sicurezza, algoritmo di crittografia e algoritmo di autenticazione utilizzato dalla proposta IPsec

    • Indirizzi IP dell'interfaccia tunnel

Procedura

  • Configurare DeviceA.

    NOTA:
    Per mantenere l'esempio, qui viene fornita la configurazione di Device A. La configurazione effettiva può variare in base ai dispositivi effettivi. NE20E non può servire come Device A.

    Elemento

    Device A

    1. Configurare il gruppo di accesso remoto per consentire il passaggio di tutti i pacchetti IPv4.

    dialer-rule
     dialer-rule 1 ip permit

    2. Creare e configurare un'interfaccia di dialer.

    interface Dialer1
     link-protocol ppp
     ppp chap user xxx@ipsec
     ip address ppp-negotiate
     dialer user huawei
     dialer bundle 1
     dialer-group 1

    3. Collegare l'interfaccia di dial-up all'interfaccia fisica e stabilire la sessione PPPoE.

    interface GigabitEthernet0/1/0
     pppoe-client dial-bundle-number 1

    4. Configurare ACL per definire i flussi di dati che devono essere protetti.

    acl number 3600
     rule 5 permit ip source 172.16.1.1 0 destination 192.168.1.1 0
    5. Configurare la proposta IKE e il peer IKE.
    ike proposal 11
     encryption-algorithm sm4-cbc
     dh group2
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer pee1
     pre-shared-key cipher 1234567890
     ike-proposal 11
     remote-address 10.7.1.1
    6. Configurare il tunnel IPsec.
    ipsec proposal 11
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    ipsec policy ply6 1 isakmp
     security acl 3600
     ike-peer pee1
     proposal 11
    #
    interface Dialer1
     ipsec policy ply6   //Associare la politica IPsec.
    7. Configurare gli instradamenti di deviazione del traffico.
    ip route-static 10.7.1.1 255.255.255.0 Dialer1   //Deviare il traffico verso il tunnel IPsec per la crittografia.
    ip route-static 192.168.1.1 255.255.255.255 Dialer1   //Deviare il traffico crittografato dal tunnel IPsec all'uscita fisica effettiva.

  • Configurare LNS.

    Elemento

    LNS

    1. Configurare l'indirizzo IP dell'interfaccia che si connette al LAC.

    interface GigabitEthernet0/1/0
     undo shutdown
     ip address 10.5.0.5 255.255.255.0
     undo dcn

    2. Definire un pool di indirizzi IP per allocare gli indirizzi IP agli utenti di dial-up.

    ip pool ipsec bas local
     gateway 10.9.0.1 255.255.255.0
     section 0 10.9.0.2 10.9.0.100

    3. Configurare il modello di interfaccia virtuale.

    interface Virtual-Template0
     ppp authentication-mode auto

    4. Configurare il dominio dell'accesso utente.

    aaa 
    #
     authentication-scheme s1
      authentication-mode none
    #
     authorization-scheme s1
      authorization-mode none
    #
     accounting-scheme s1
      accounting-mode none
    #
     domain 1
      authentication-scheme s1
      authorization-scheme s1
      accounting-scheme s1
      ip-pool ipsec

    5. Configurare un'interfaccia loopback e utilizzare l'indirizzo IP come indirizzo del tunnel L2TP.

    interface LoopBack1
     ip address 9.9.9.9 255.255.255.255

    6. Configurare il tunnel L2TP.

    l2tp-group l2tp-ipsec
     undo tunnel authentication
     allow l2tp Virtual-Template 0 remote ipsec
     tunnel password simple ipsec
     tunnel name ipsec
    #
    lns-group l2tp-ipsec
     bind slot 2
     bind source LoopBack1

    7. Configurare ACL per definire i flussi di dati che devono essere protetti.

    acl number 3600
     rule 5 permit ip source 172.16.1.1 0 destination 192.168.1.1 0

    8. Configurare la proposta IKE e il peer IKE.

    ike proposal 6
     encryption-algorithm sm4-cbc
     dh group2
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer pee1
     pre-shared-key cipher 1234567890
     ike-proposal 11

    9. Configurare il tunnel IPsec.

    ipsec proposal 11
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    ipsec policy-template temp1 1
     security acl 3600
     ike-peer pee1
     proposal 11
    #
    ipsec policy ply6 1 isakmp template temp1
    #
    service-location 1
     location slot 1
    #
    service-instance-group 1
     service-location 1
    #
    interface Tunnel0/0/1
     ip address 10.7.1.1 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy ply6 service-instance-group 1   //Associare la politica IPsec.

    7. Configurare gli instradamenti di deviazione del traffico.

    ip route-static 0.0.0.0 0.0.0.0 Tunnel0/0/1 10.5.0.4   //Quando l'indirizzo IP peer è sconosciuto, l'instradamento predefinito può essere utilizzato per deviare il traffico.

  • Configurare il LAC.

    Elemento

    LAC

    1. Configurare l'indirizzo IP dell'interfaccia che si connette al LNS.

    interface GigabitEthernet0/2/0
     undo shutdown
     ip address 10.5.0.4 255.255.255.0
     undo dcn

    2. Configurare il dominio dell'accesso utente.

    aaa 
    #
     authentication-scheme s1
      authentication-mode none
    #
     authorization-scheme s1
      authorization-mode none
    #
     accounting-scheme s1
      accounting-mode none
    #
     domain 1
      authentication-scheme s1
      authorization-scheme s1
      accounting-scheme s1
      ip-pool ipsec

    3. Accedere online agli utenti.

    interface GigabitEthernet0/1/0
     undo shutdown
     bas
     #
    access-type layer2-subscriber

    5. Configurare un'interfaccia loopback e utilizzare l'indirizzo IP come indirizzo del tunnel L2TP.

    interface LoopBack1
     ip address 8.8.8.8 255.255.255.255

    6. Configurare il tunnel L2TP.

    l2tp-group l2tp-ipsec
     undo tunnel authentication
     tunnel name ipsec
     start l2tp ip 9.9.9.9 
     tunnel source LoopBack1

  • Verificare la configurazione.

    Su Device A o LNS, eseguire il comando display ike sa per visualizzare le informazioni SA.

    Su Device A o LNS, eseguire il comando display ip routing-table per visualizzare le informazioni sull'instradamento al peer attraverso l'interfaccia del tunnel.

    Le reti delle due estremità possono interagire.

Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:883

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti