省份与总部互联网联调初步方案 本文关键词:互联,省份,网联,总部,方案
省份与总部互联网联调初步方案 本文简介:中通服13省份接入总部VPN联调方案一.概况2二.前期准备2三.地址规划3四.调试安排4五。具体步骤41.准备IPSec42配置IKE63配置IPSec74测试和验证VPN配置85.PIX增加静态路由86.核心交换机配置8附录:IPSecVPN配置脚本(供参考)9CISCOPIX防火墙联调配置脚本9
省份与总部互联网联调初步方案 本文内容:
中通服13省份接入总部VPN
联调方案
一.概况2
二.前期准备2
三.地址规划3
四.调试安排4
五。具体步骤4
1.
准备IPSec4
2
配置IKE6
3
配置IPSec7
4
测试和验证VPN配置8
5.PIX增加静态路由8
6.核心交换机配置8
附录:IPSec
VPN
配置脚本(供参考)9
CISCO
PIX
防火墙联调配置脚本9
一.
概况
为适应中国通信服务股份公司上市运作,满足上市后的信息披露和内部管理运营要求,有效推动中国通信服务集团的企业信息化组织、建设、管理等相关工作,需要将中国通信服务股份公司集团总部与各省级公司的信息网安全、高速、稳定地连接组网。促进集团内部的重要信息交流和共享,提高企业工作效率,以满足现代管理的要求和科学决策的需要。
在前一阶段,已经有6个省级公司实现与集团信息中心的连接,(包含广东、海南、福建、湖北、上海、浙江6个省公司),而其它省份由于还未上市,所以当时并未接入总部。现在13省份已具备接入条件,故本次联调申请将这13个省份分批接入总部。(包括甘肃,陕西,广西,贵州,江西,江苏,云南,安徽,青海,新疆,重庆,四川,湖南)。
二.
前期准备
各省实业分公司必须能PING通金融街总部接入INTERNET的地址(219.142.42.5)。
各省实业可以根据省内现有网络设备的情况,利旧或者新购的安全相关设备。要求各省实业应选择具有IPSEC
VPN(SITE
TO
SITE)功能的安全设备和实业总部VPN互联互通。具体型号可以选择思科设备(包括ISR路由器,PIX或ASA),也可以选择其它厂家的设备。
三.地址规划
按照规划,本次联调,13省分公司以下面表格为准进行地址分配:
序号
地区名
IP地址
掩码
1
江苏
10.197.0.0
255.255.0.0
2
湖南
10.198.0.0
255.255.0.0
3
陕西
10.201.0.0
255.255.0.0
4
广西
10.203.0.0
255.255.0.0
5
安徽
10.204.0.0
255.255.0.0
6
重庆
10.205.0.0
255.255.0.0
7
四川
10.206.0.0
255.255.0.0
8
云南
10.207.0.0
255.255.0.0
9
甘肃
10.209.0.0
255.255.0.0
10
贵州
10.211.0.0
255.255.0.0
11
青海
10.212.0.0
255.255.0.0
12
新疆
10.213.0.0
255.255.0.0
13
江西
10.215.0.0
255.255.0.0
四.联调安排
本次联调采用分两批调试的方式。每个省份调试后,都要进行测试。
调试安排暂定如下:
第一次调试:江西,甘肃,安徽,江苏,云南,贵州,湖南
第二次调试:青海,新疆,重庆,四川,陕西,广西
在调试当天,各省分公司需要有人配合。
五。具体步骤
1.
准备IPSec
n
确定IKE策略(IKE阶段1)
信息中心Internet出口的IP地址为219.142.42.5
甘肃
陕西
广西
贵州
江西
江苏
防火墙outside口IP地址
Pre-share
[email protected]#ztf
sx8#$ztf
gx9$%ztf
gz0%^ztf
jx1^&ztf
js2&*ztf
Policy
encryption
des
des
des
Des
des
des
Policy
hash
sha
sha
sha
Sha
sha
Sha
Policy
authentication
pre-share
pre-share
pre-share
pre-share
pre-share
pre-share
组标识符
group
2
group
2
group
2
group
2
group
2
group
2
Policy
lifetime
86400
86400
86400
86400
86400
86400
云南
安徽
青海
新疆
重庆
四川
湖南
防火墙outside口IP地址
Pre-share
[email protected]#ztf
ah4#$ztf
qh5$%ztf
xj6%^ztf
cq7^&ztf
sc8&*ztf
[email protected]#ztf
Policy
encryption
des
des
des
Des
des
des
des
Policy
hash
sha
sha
sha
Sha
sha
Sha
Sha
Policy
authentication
pre-share
pre-share
pre-share
pre-share
pre-share
pre-share
pre-share
组标识符
group
2
group
2
group
2
group
2
group
2
group
2
group
2
Policy
lifetime
86400
86400
86400
86400
86400
86400
86400
n
确定IPSec策略(IKE阶段2)
全部13个省份使用统一策略
transform-set
esp-sha-hmac
esp-des
n
确定访问控制列表
source
source-netmask
destination
destination-netmask
中通服
10.192.0.0
255.255.0.0
甘肃
10.209.0.0
255.255.0.0
10.192.0.0
255.255.0.0
陕西
10.201.0.0
255.255.0.0
10.192.0.0
255.255.0.0
广西
10.203.0.0
255.255.0.0
10.192.0.0
255.255.0.0
贵州
10.211.0.0
255.255.0.0
10.192.0.0
255.255.0.0
江西
10.215.0.0
255.255.0.0
10.192.0.0
255.255.0.0
江苏
10.197.0.0
255.255.0.0
10.192.0.0
255.255.0.0
云南
10.207.0.0
255.255.0.0
10.192.0.0
255.255.0.0
安徽
10.204.0.0
255.255.0.0
10.192.0.0
255.255.0.0
青海
10.212.0.0
255.255.0.0
10.192.0.0
255.255.0.0
新疆
10.213.0.0
255.255.0.0
10.192.0.0
255.255.0.0
重庆
10.205.0.0
255.255.0.0
10.192.0.0
255.255.0.0
四川
10.206.0.0
255.255.0.0
10.192.0.0
255.255.0.0
湖南
10.198.0.0
255.255.0.0
10.192.0.0
255.255.0.0
n
检查当前的配置
n
确认网络在没有加密的情况下能正常工作
n
确认访问控制列表与IPSec是相容的
2
配置IKE
n
在需要配置IPSec
VPN的接口上打开IKE
Pixfirewall(config)#
isakmp
enable
interface-name
n
建立IKE策略
Pixfirewall(config)#
isakmp
policy
priority--------用一个唯一的优先级号码来标识策略
Pixfirewall(config)#
isakmp
policy
priority
encryption
3des------定义加密算法为3DES
Pixfirewall(config)#
isakmp
policy
priority
hash
sha------定义hash算法为SHA
Pixfirewall(config)#
isakmp
policy
priority
authentication
pre-share--------定义认证模式为pre-share预共享密钥
Pixfirewall(config)#
isakmp
policy
priority
group
2-------定义Diffie-Hellman组标识符为group
2
Pixfirewall(config)#
isakmp
policy
priority
lifetime
86400------定义IKE
SA的生存时间为86400秒
n
配置预共享密钥
Pixfirewall(config)#
isakmp
identity
address------定义用对等体的IP地址作为身份标识
Pixfirewall(config)#
name
ip-address
name
(任选)------定义IP地址与主机名的映射
Pixfirewall(config)#
isakmp
key
keystring
address
peer-address
[netmask]------定义一个密钥串和对等体地址
n
验证IKE阶段1的策略
Pixfirewall#
write
terminal
Pixfirewall#
show
isakmp
-------显示出所配置的策略
Pixfirewall#
show
isakmp
policy------显示的所配置的策略和缺省的策略
3
配置IPSec
(注:Pixfirewall#
sysopt
connection
permit-ipsec允许IPSec数据流通过PIX防火墙)
n
配置加密用访问控制列表
Pixfirewall(config)#
access-list
access-list-name
permit
ip
source
source-netmask
destination
destination-netmask
(注意:匹配条目没被保护的入境数据将被丢弃)
Pixfirewall(config)#
nat
[(if-name)]
0
access-list
acl-name---------不需要配置相应的静态映射
n
配置变换集套件
Pixfirewall(config)#
crypto
ipsec
transform-set
name
esp-sha-hmac
esp-3des
n
配置全局的IPSec安全关联生存时间
Pixfirewall(config)#
crypto
ipsec
security-association
lifetime
28800
n
配置加密图
Pixfirewall(config)#
crypto
map
map-name
seq-num
ipsec-isakmp-----创建一个加密图条目
Pixfirewall(config)#
crypto
map
map-name
seq-num
match
address
access-list-name
------为该加密图条目指派一个访问控制列表
Pixfirewall(config)#
crypto
map
map-name
seq-num
set
peer
ip-address-------定义对等体的IP地址
Pixfirewall(config)#
crypto
map
map-name
seq-num
set
transform
transform-set-name1------定义加密图所允许使用的变换集
n
将加密图应用到接口上
Pixfirewall(config)#
crypto
map
map-name
interface
interface-name
n
验证IPSec配置
Pixfirewall#
show
access-list------查看已配置了的所有访问控制列表
Pixfirewall#
show
crypto
ipsec
transform-set-------查看当前定义了的变换集
Pixfirewall#
show
crypto
map
--------查看加密图配置
Pixfirewall#
show
crypto
ipsec
security-association
lifetime----查看当前的全局性IPSec
SA生存时间
4
测试和验证VPN配置
n
验证IKE的配置
Pixfirewall#
Show
access-list
Pixfirewall#
show
isakmp
Pixfirewall#
show
isakmp
policy
n
验证IPSec的配置
Pixfirewall#
show
access-list
Pixfirewall#
show
crypto
map
Pixfirewall#
show
crypto
ipsec
transform-set
Pixfirewall#
show
crypto
ipsec
security-association
lifetime
n
管理IKE和IPSec通信的命令
Pixfirewall#
show
isakmp
sa----显示ISAKMP
SA的当前状态
Pixfirewall#
show
crypto
ipsec
sa------显示IPSec
SA的当前状态
Pixfirewall#
clear
isakmp-------清除ISAKMP的SA
Pixfirewall#
clesr
crypto
ipsec
sa---------清除IPSec
SA
Pixfirewall#
debug
crypto
isakmp--------显示IKE通信信息
Pixfirewall#
debug
ipsec--------显示IPSec通信信息
5.
PIX增加静态路由
以甘肃为例(10.209.0.0/16)
route
ouside
10.209.0.0
255.255.0.0
172.16.200.9
6.
核心交换机配置
主要是增加静态路由和配置访问控制列表(ACL)
以甘肃为例(使用10.209.0.0/16网段)
n
增加路由:
IP
ROUTE
10.209.0.0
255.255.0.0
172.16.200.5
(PIX的内网口)
n
配置ACL:
ACCESS-LIST
100
PERMIT
IP
10.209.0.0
255.255.0.0
10.192.0.0
255.255.0.0
ACCESS-LIST
101
PERMIT
IP
10.192.0.0
255.255.0.0
10.209.0.0
255.255.0.0
n
在接口应用ACL:
IP
ACCESS-GROUP
100
IN
IP
ACCESS-GROUP
101
OUT
附录:IPSec
VPN
配置脚本(供参考)
CISCO
PIX
防火墙联调配置脚本
以下是信息中心防火墙的配置:
l
access-list
300
permit
ip
10.192.0.0
255.255.0.0
10.196.0.0
255.255.0.0
l
access-list
300
permit
ip
10.3.49.0
255.255.255.192
10.196.0.0
255.255.0.0
l
access-list
301
permit
ip
10.192.0.0
255.255.0.0
10.200.0.0
255.255.0.0
l
access-list
301
permit
ip
10.3.49.0
255.255.255.192
10.200.0.0
255.255.0.0
l
access-list
302
permit
ip
10.192.0.0
255.255.0.0
10.195.0.0
255.255.0.0
l
access-list
302
permit
ip
10.3.49.0
255.255.255.192
10.195.0.0
255.255.0.0
l
access-list
303
permit
ip
10.192.0.0
255.255.0.0
10.214.0.0
255.255.0.0
l
access-list
303
permit
ip
10.3.49.0
255.255.255.192
10.214.0.0
255.255.0.0
l
access-list
304
permit
ip
10.192.0.0
255.255.0.0
10.199.0.0
255.255.0.0
l
access-list
304
permit
ip
10.3.49.0
255.255.255.192
10.199.0.0
255.255.0.0
l
access-list
305
permit
ip
10.192.0.0
255.255.0.0
10.202.0.0
255.255.0.0
l
access-list
305
permit
ip
10.3.49.0
255.255.255.192
10.202.0.0
255.255.0.0
l
access-list
310
permit
ip
10.192.0.0
255.255.0.0
10.196.0.0
255.255.0.0
l
access-list
310
permit
ip
10.3.49.0
255.255.255.192
10.196.0.0
255.255.0.0
l
access-list
310
permit
ip
10.192.0.0
255.255.0.0
10.200.0.0
255.255.0.0
l
access-list
310
permit
ip
10.3.49.0
255.255.255.192
10.200.0.0
255.255.0.0
l
access-list
310
permit
ip
10.192.0.0
255.255.0.0
10.195.0.0
255.255.0.0
l
access-list
310
permit
ip
10.3.49.0
255.255.255.192
10.195.0.0
255.255.0.0
l
access-list
310
permit
ip
10.192.0.0
255.255.0.0
10.214.0.0
255.255.0.0
l
access-list
310
permit
ip
10.3.49.0
255.255.255.192
10.214.0.0
255.255.0.0
l
access-list
310
permit
ip
10.192.0.0
255.255.0.0
10.199.0.0
255.255.0.0
l
access-list
310
permit
ip
10.3.49.0
255.255.255.192
10.199.0.0
255.255.0.0
l
access-list
310
permit
ip
10.192.0.0
255.255.0.0
10.202.0.0
255.255.0.0
l
access-list
310
permit
ip
10.3.49.0
255.255.255.192
10.202.0.0
255.255.0.0
nat
(inside)
0
access-list
310
l
nat
(inside)
1
10.192.1.0
255.255.255.0
0
0
l
route
ouside
10.195.1.0
255.255.255.0
172.16.200.9
1
l
route
ouside
10.196.1.0
255.255.255.0
172.16.200.9
1
l
route
ouside
10.199.1.0
255.255.255.0
172.16.200.9
1
l
route
ouside
10.200.1.0
255.255.255.0
172.16.200.9
1
l
route
ouside
10.214.1.0
255.255.255.0
172.16.200.9
1
l
sysopt
connection
permit-ipsec
l
crypto
ipsec
transform-set
ztfsh
esp-des
esp-sha-hmac
l
crypto
ipsec
transform-set
ztfhb
esp-des
esp-sha-hmac
l
crypto
ipsec
transform-set
ztfzj
esp-des
esp-sha-hmac
l
crypto
ipsec
transform-set
ztffj
esp-des
esp-sha-hmac
l
crypto
ipsec
transform-set
ztfhn
esp-des
esp-sha-hmac
l
crypto
map
ztf
10
ipsec-isakmp
l
crypto
map
ztf
10
match
address
300
l
crypto
map
ztf
10
set
peer
222.66.79.34
l
crypto
map
ztf
10
set
transform-set
ztfsh
l
crypto
map
ztf
11
ipsec-isakmp
l
crypto
map
ztf
11
match
address
301
l
crypto
map
ztf
11
set
peer
58.49.52.18
l
crypto
map
ztf
11
set
transform-set
ztfhb
l
crypto
map
ztf
12
ipsec-isakmp
l
crypto
map
ztf
12
match
address
302
l
crypto
map
ztf
12
set
peer
60.191.21.254
l
crypto
map
ztf
12
set
transform-set
ztfzj
l
crypto
map
ztf
13
ipsec-isakmp
l
crypto
map
ztf
13
match
address
303
l
crypto
map
ztf
13
set
peer
61.154.9.110
l
crypto
map
ztf
13
set
transform-set
ztffj
l
crypto
map
ztf
14
ipsec-isakmp
l
crypto
map
ztf
14
match
address
304
l
crypto
map
ztf
14
set
peer
202.100.219.211
l
crypto
map
ztf
14
set
transform-set
ztfhn
l
crypto
map
ztf
interface
ouside
l
isakmp
enable
ouside
l
isakmp
key*******
address
222.66.79.34
netmask
255.255.255.255
l
isakmp
key*******
address
58.49.52.18
netmask
255.255.255.255
l
isakmp
key*******
address
60.191.21.254
netmask
255.255.255.255
l
isakmp
key*******
address
61.154.9.110
netmask
255.255.255.255
l
isakmp
key*******
address
202.100.219.211
netmask
255.255.255.255
l
isakmp
identity
address
l
isakmp
policy
20
authentication
pre-share
l
isakmp
policy
20
encryption
des
l
isakmp
policy
20
hash
sha
l
isakmp
policy
20
group
2
l
isakmp
policy
20
lifetime
86400