NSG logo
NSG heading

Документы в формате PDF, архив (FTP) и Web-справка открываются в новом окне

Имеются две локальные сети офисов, между которыми имеется высокоскоростное соединение. Требуется прозрачно объединить их на втором уровне (в режиме моста) и защитить передаваемые данные с помощью IPsec. Используются два устройства NSG–1800. Оба офиса имеют статические IP-адреса.

Объединение сетей Ethernet через GRE и IPsec
ip
: route
: : 1
: : : network = "0.0.0.0/0"
: : : gateway = "123.45.67.89"
port
: eth0
: : ifAddress
: : : prefix = "123.45.67.90/30"
bridge
: br1
: : ifAddress
: : : prefix = "192.168.0.1/24"
port
: eth1
: : bridge-group= "br1"
tunnel
: gre
: : gre1
: : : encapsulation= "eth"
: : : source= "123.45.67.90"
: : : destination= "98.76.54.30"
: : : bridge-group= "br1"
: ipsec
: : enable = true
: : secrets
: : : psk
: : : : 1
: : : : : indices
: : : : : : 1 = "123.45.67.90"
: : : : : : 2 = "98.76.54.30"
: : : : : secret = "XAXA"
: : connections
: : : secure_bridge
: : : : authby = "secret"
: : : : auto = "start"
: : : : esp
: : : : : 3des-md5 = true
: : : : left = "123.45.67.90"
: : : : leftsubnet = "123.45.67.90/32"
: : : : right = "98.76.54.30"
: : : : rightsubnet = "98.76.54.30/32"
ip
: route
: : 1
: : : network = "0.0.0.0/0"
: : : gateway = "98.76.54.29"
port
: eth0
: : ifAddress
: : : prefix = "98.76.54.30/30"
bridge
: br1
: : ifAddress
: : : prefix = "192.168.0.2/24"
port
: eth1
: : bridge-group = "br1"
tunnel
: gre
: : gre1
: : : encapsulation = "eth"
: : : source = "98.76.54.30"
: : : destination = "123.45.67.90"
: : : bridge-group = "br1"
: ipsec
: : enable = true
: : secrets
: : : psk
: : : : 1
: : : : : indices
: : : : : : 1 = "123.45.67.90"
: : : : : : 2 = "98.76.54.30"
: : : : : secret = "XAXA"
: : connections
: : : secure_bridge
: : : : authby = "secret"
: : : : auto = "start"
: : : : esp
: : : : : 3des-md5 = true
: : : : left = "123.45.67.90"
: : : : leftsubnet = "123.45.67.90/32"
: : : : right = "98.76.54.30"
: : : : rightsubnet = "98.76.54.30/32"

Дополнительные замечания:

Обязательно задание пароля для доступа к устройству.

В целях безопасности настоятельно рекомендуется также:

  • Отключить Telnet и использовать для удалённого управления только SSH
  • Заблокировать HTTP с помощью фильтров и использовать для удалённого управления только HTTPS

© ООО "ЭН–ЭС–ДЖИ" 2004–2017 Web-master