欢迎访问南京建策科技股份有限公司! 分支机构: 南京 | 广州 | 合肥 | 长沙 | 上海 | 扬州 | 常州
 最新动态 NEWS     More...
恭喜我司获得江苏省计算机学会...
【喜报】恭喜建策学员张强、卞...
建策锦鲤中奖公布|万众瞩目,...
【喜讯】祝贺我司学员刘元、陈...
2019年H3C认证考试的证...
来来来,我们一起围观TE机架...

 

  网站位置:首页 > 学习交流 > 技术文档下载
职业技能大赛常考知识点:IPsec反向路由注入功能
[2018-3-13]

RRIReverse Route Injection,反向路由注入)功能是一种自动添加到达IPsec VPN私网静态路由的机制,可以实现为受IPsec保护的流量自动添加静态路由的功能。在大规模组网中,这种自动添加静态路由的机制可以简化用户配置,减少在企业总部网关设备上配置静态路由的工作量,并且可以根据IPsecSA的创建和删除进行静态路由的动态增加和删除,增强了IPsecVPN的可扩展性。

如下图所示,某企业在企业分支与企业总部之间的所有流量通过IPsec进行保护,企业总部网关上需要配置静态路由,将总部发往分支的数据引到应用IPsec安全策略的接口上来。如果未配置RRI,当企业分支众多或者内部网络规划发生变化时,就需要同时增加或调整总部网关上的静态路由配置,该项工作量大且容易出现配置错误。

企业总部侧网关设备GW上配置RRI功能后,每一个IPsec隧道建立之后,GW都会自动为其添加一条相应的静态路由。通过RRI创建的路由表项可以在路由表中查询到,其目的地址为受保护的对端网络,下一跳地址为IPsec隧道的对端地址,它使得发往对端的流量被强制通过IPsec保护并转发。


在了解了RRI功能之后我们通过一个实验带着大家一起学习如何配置反向路由注入。实验环境如下图所示:

Rt1上配置如下:

<rt1>display current-configuration

interface GigabitEthernet0/0

 portlink-mode route

 combo enable copper

 ipaddress 1.1.1.1 255.255.255.252

 ipsec apply policy 1

#

interface GigabitEthernet0/1

 portlink-mode route

 combo enable copper

 ipaddress 192.168.1.1 255.255.255.0

#

 iproute-static 2.1.1.0 30 1.1.1.2  #通过静态实现Internet公网互通

#

acl advanced 3000

 Rule0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.                                                      1.0 0.0.0.255

#

ipsec transform-set 1

 espencryption-algorithm 3des-cbc

 espauthentication-algorithm md5

#

ipsec policy 1 10 isakmp

 transform-set 1

 security acl 3000

 remote-address 2.1.1.2

 ike-profile 1

 reverse-route dynamic        #配置反向路由注入功能

#

ike profile 1

 keychain 1

 match remote identity address 2.1.1.2255.255.255.255

#

ike keychain 1

 pre-shared-key address 2.1.1.2 255.255.255.252key cipher $c$3$FcEZQekOnFvGn5gPpc01AilcWsN1RIy4+Q==

 

Rt3配置如下:

<rt3>display current-configuration

interface GigabitEthernet0/1

 portlink-mode route

 combo enable copper

 ipaddress 172.16.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 portlink-mode route

 combo enable copper

 ipaddress 2.1.1.2 255.255.255.252

 ipsec apply policy 1

#

 iproute-static 1.1.1.0 30 2.1.1.1      通过静态路由实现Internet互通

 iproute-static 192.168.1.0 24 2.1.1.1  配置去往总部私网的静态路由

#

acl advanced 3000

 rule0 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

ipsec transform-set 1

 espencryption-algorithm 3des-cbc

 espauthentication-algorithm md5

#

ipsec policy 1 10 isakmp

 transform-set 1

 security acl 3000

 remote-address 1.1.1.1

 ike-profile 1

#

ike profile 1

 keychain 1

 match remote identity address 1.1.1.1255.255.255.255

#

ike keychain 1

 pre-shared-key address 1.1.1.1 255.255.255.252key cipher $c$3$SNY5laKRiOKFVC0T3hlcqTvzERTP6PMkoA==

 

备注:rt2和PC主机的地址配置按照图中规划进行配置即可。

 

完成所有配置后从分部主机PC5上去访问总部主机PC4,结果如下:

在业务互通之后我们查看rt1的路由表可以发现多出一条去往分部172.16.1.0/24的静态路由,并且可以看到是由ipsec 创建。

感兴趣的同学快来做实验验证一下吧。


如果您对技术帖内容有任何疑问,请联系官方邮箱:jcit@jiancenj.com,也欢迎广大学员踊跃投稿,一经录用,有稿费酬谢


友情链接
 
瞻博网络
华三
红帽
华三
瞻博网络
 Copyright @ 2016-2019 www.jiancenj.com All Rights Reserved. 版权所有 建策科技 苏ICP备11058165号
 总 部地 址:南京市玄武区洪武北路55号斯亚•置地广场23楼 联系电话: 025-84804339;84804652
 广州办事处:广州市天河区天河北路906号高科大厦A座11楼 联系电话:020-22233596、020-22233426
 长沙办事处:长沙市韶山北路139号湖南文化大厦2103室    联系电话:0731-82812056 82812057
 合肥办事处:合肥市南二环路与马鞍山路交口加侨国际广场A栋2111-2112室 联系电话:0551-65670518
 上海办事处:上海普陀区真南路1008号上海信息技术学院8号楼114室
 常州办事处:常州市武进区科教城创研港3A804 18662714115
 扬州办事处:扬州市邗江区润扬南路33号南京邮电大学通达学院2号实验楼2203-2206室