防火墻技術(shù)案例5-雙機熱備(負(fù)載分擔(dān))組網(wǎng)下的IPSec配置

上傳人：4*** IP屬地：湖北上傳時間：2023-01-04 格式：DOCX 頁數(shù)：8 大?。?26.99KB 積分：30 舉報 版權(quán)申訴

防火墻技術(shù)案例5-雙機熱備(負(fù)載分擔(dān))組網(wǎng)下的IPSec配置_第2頁

防火墻技術(shù)案例5-雙機熱備(負(fù)載分擔(dān))組網(wǎng)下的IPSec配置_第3頁

防火墻技術(shù)案例5-雙機熱備(負(fù)載分擔(dān))組網(wǎng)下的IPSec配置_第4頁

防火墻技術(shù)案例5-雙機熱備(負(fù)載分擔(dān))組網(wǎng)下的IPSec配置_第5頁

已閱讀5頁，還剩3頁未讀，繼續(xù)免費閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

【防火墻技術(shù)案例5】雙機熱備（負(fù)載分擔(dān)）組網(wǎng)下的IPSec配置論壇的小伙伴們，大家好。強叔最近已經(jīng)開始在“侃墻”系列中為各位小伙伴們介紹各種VPN了。說到VPN，小伙伴們肯定首先想到的是最經(jīng)典的IPSecVPN，而且我想大家對IPSec的配置也是最熟悉的。但是如果在兩臺處于負(fù)載分擔(dān)狀態(tài)下的防火墻上部署IPSecVPN又該如何操作呢？有什么需要注意的地方呢？本期強叔就為大家介紹如何在雙機熱備的負(fù)載分擔(dān)組網(wǎng)下配置IPSec。

【組網(wǎng)需求】如下圖所示，總部防火墻NGFW_C和NGFW_D以負(fù)載分擔(dān)方式工作，其上下行接口都工作在三層，并與上下行路由器之間運行OSPF協(xié)議。（本例中，NGFW是下一代防火墻USG6600的簡稱，軟件版本為USG6600V100R001C10）現(xiàn)要求分支用戶訪問總部的流量受IPSec隧道保護(hù)，且NGFW_C處理分支A發(fā)送到總部的流量，NGFW_D處理分支B發(fā)送到總部的流量。當(dāng)NGFW_C或NGFW_D中一臺防火墻出現(xiàn)故障時，分支發(fā)往總部的流量能全部切換到另一臺運行正常的防火墻。

【需求分析】針對以上需求，強叔先帶小伙們做一個簡要分析，分析一下我們面臨的問題以及解決這個問題的方法。1、

如何使兩臺防火墻形成雙機熱備負(fù)載分擔(dān)狀態(tài)？兩臺防火墻的上下行業(yè)務(wù)接口工作在三層，并且連接三層路由器，在這種情況下，就需要在防火墻上配置VGMP組（即hrptrack命令）來監(jiān)控上下行業(yè)務(wù)接口。如果是負(fù)載分擔(dān)狀態(tài)，則需要在每臺防火墻上調(diào)動兩個VGMP組（active組和standby組）來監(jiān)控業(yè)務(wù)接口。2、

分支與總部之間如何建立IPSec隧道？正常狀態(tài)下，根據(jù)組網(wǎng)需求，需要在NGFW_A與NGFW_C之間建立一條隧道，在NGFW_B與NGFW_D之間建立一條隧道。當(dāng)NGFW_C與NGFW_D其中一臺防火墻故障時，NGFW_A和NGFW_B都會與另外一臺防火墻建立隧道。3、總部的兩臺防火墻如何對流量進(jìn)行引導(dǎo)？總部的兩臺防火墻（NGFW_C與NGFW_D）通過路由策略來調(diào)整自身的Cost值，從而實現(xiàn)正常狀態(tài)下來自NGFW_A的流量通過NGFW_C轉(zhuǎn)發(fā)，來自NGFW_B的流量通過NGFW_D轉(zhuǎn)發(fā)，故障狀態(tài)下來自NGFW_A和NGFW_B的流量都通過正常運行的防火墻轉(zhuǎn)發(fā)?！九渲貌襟E】1、

配置雙機熱備功能。在配置雙機熱備功能前，小伙伴們需要按照上圖配置各接口的IP地址，并將各接口加入相應(yīng)的安全區(qū)域，然后配置正確的安全策略，允許網(wǎng)絡(luò)互通。由于這些不是本案例的重點，因此不在此贅述。完成以上配置后，就要開始配置雙機熱備功能了。大家可以看到形成雙機的兩臺防火墻（NGFW_C和NGFW_D負(fù)載分擔(dān)處理流量）的上下行接口都工作在三層，而且連接的是路由器。這無疑是非常經(jīng)典的“防火墻業(yè)務(wù)接口工作在三層，上下行連接路由器的負(fù)載分擔(dān)組網(wǎng)”。各位小伙伴們可以在華為的任何防火墻資料中看到此經(jīng)典舉例，無論是命令行配置舉例還是Web配置舉例，大家想怎么看就怎么看~因此強叔只在此給出雙機熱備的命令行配置和關(guān)鍵解釋。#

hrpmirrorsessionenable

//負(fù)載分擔(dān)組網(wǎng)必須配置此命令

hrpenable

//啟用雙機熱備功能

hrpospf-costadjust-enable

//根據(jù)主備狀態(tài)調(diào)整OSPF的COST值

hrpinterfaceGigabitEthernet1/0/7

//指定心跳接口

interfaceGigabitEthernet1/0/1

ipaddress10.2.0.1255.255.255.0

hrptrackactive//業(yè)務(wù)接口工作在三層，上下行連接路由器的組網(wǎng)需要配置hrptrack

hrptrackstandby

//負(fù)載分擔(dān)組網(wǎng)需要同時配置hrptrackactive和standby

interfaceGigabitEthernet1/0/3

ipaddress10.3.0.1255.255.255.0

hrptrackactive

hrptrackstandby

interfaceGigabitEthernet1/0/7

ipaddress10.10.0.1255.255.255.0【強叔點評】各位小伙伴們在配置雙機熱備功能時，首先要確定的是防火墻業(yè)務(wù)接口的工作狀態(tài)和上下行連接的設(shè)備，然后據(jù)此采用不同的命令進(jìn)行配置。強叔在此先為大家簡單總結(jié)下，如果小伙伴們想深入學(xué)習(xí)，可以關(guān)注后面幾期的“侃墻”系列。組網(wǎng)配置命令業(yè)務(wù)接口工作在三層，上下行連接二層設(shè)備VRRP相關(guān)命令業(yè)務(wù)接口工作在三層，上下行連接三層設(shè)備在接口視圖下配置（hrptrack）業(yè)務(wù)接口工作在二層，上下行連接三層設(shè)備在VLAN視圖下配置（hrptrack）

2、

配置IPSec?！緩娛妩c評】雙機熱備配置完成后，我們就開始配置IPSec功能，建立IPSecVPN隧道啦。由于公司希望NGFW_C處理分支A（NGFW_A）發(fā)送到總部的流量，NGFW_D處理分支B（NGFW_B）發(fā)送到總部的流量，因此正常情況下我們需要在NGFW_C和NGFW_A之間建立一條隧道，在NGFW_D和NGFW_B之間建立一條隧道。這樣看似已經(jīng)滿足需求了，但是如果NGFW_D出現(xiàn)故障了怎么辦呢？分支B發(fā)送到總部的流量不就中斷了嗎？小伙伴們仔細(xì)思考就會想到辦法，我們需要在NGFW_C與NGFW_B，NGFW_D與NGFW_A之間分別建立一條備用隧道（圖中虛線表示）。這樣當(dāng)NGFW_D出現(xiàn)故障時，分支B發(fā)送到總部的流量會通過備用隧道由NGFW_C發(fā)送到總部，就不會導(dǎo)致業(yè)務(wù)中斷啦。這個想法很好，但是如何實現(xiàn)呢？我們可以在NGFW_C上創(chuàng)建兩個tunnel接口，然后在tunnel1上與NGFW_A建立一條主用隧道，在tunnel2上與NGFW_B建立一條備份隧道。同理在NGFW_D的tunnel1上與NGFW_A建立一條備份隧道，在tunnel2上與NGFW_B建立一條主用隧道。這里需要注意的是NGFW_C上的tunnel1（tunnel2）地址需要與NGFW_D上的tunnel1（tunnel2）地址保持一致。

我想這時小伙伴們又要問為什么了？這樣做的好處是在NGFW_A上只需要與對端的tunnel1接口建立隧道即可，NGFW_A不用去關(guān)心這個tunnel1是NGFW_C還是NGFW_D的（因為他們的IP是一致的）。同理NGFW_B只需要與對端的tunnel2接口建立隧道即可。1）

定義受IPSecVPN保護(hù)的數(shù)據(jù)流。HRP_A[NGFW_C]

acl3005

HRP_A[NGFW_C-acl-adv-3005]

rulepermitipsource10.1.2.00.0.0.255destination10.1.3.00.0.0.255

HRP_A[NGFW_C-acl-adv-3005]

quit

HRP_A[NGFW_C]acl3006

HRP_A[NGFW_C-acl-adv-3006]

rulepermitipsource10.1.2.00.0.0.255destination10.1.4.00.0.0.255

HRP_A[NGFW_C-acl-adv-3006]

quit【強叔點評】ACL3005定義的是總部與分支A之間的流量，ACL3006定義的是總部與分支B之間的流量。2）

配置IPSec安全提議。【強叔點評】如果創(chuàng)建IPSec安全提議后，不進(jìn)行任何配置，則IPSec安全提議使用默認(rèn)參數(shù)。本案例中使用默認(rèn)參數(shù)，小伙伴們可以根據(jù)自己的實際安全需求修改IPSec安全提議中的參數(shù)。HRP_A[NGFW_C]

ipsecproposaltran1

HRP_A[NGFW_C-ipsec-proposal-tran1]

quit3）

配置IKE安全提議。本案例中使用IKE安全提議的默認(rèn)參數(shù)。HRP_A[NGFW_C]

ikeproposal10

HRP_A[NGFW_C-ike-proposal-10]

quit4）

配置兩個IKE對等體，分別用于總部與兩個分支建立IPSec。HRP_A[NGFW_C]

ikepeerngfw_a

HRP_A[NGFW_C-ike-peer-ngfw_a]

ike-proposal10

HRP_A[NGFW_C-ike-peer-ngfw_a]

remote-address1.1.1.1

HRP_A[NGFW_C-ike-peer-ngfw_a]

pre-shared-keyAdmin@123

HRP_A[NGFW_C-ike-peer-ngfw_a]

quit

HRP_A[NGFW_C]

ikepeerngfw_b

HRP_A[NGFW_C-ike-peer-ngfw_b]

ike-proposal10

HRP_A[NGFW_C-ike-peer-ngfw_b]

remote-address1.1.2.1

HRP_A[NGFW_C-ike-peer-ngfw_b]

pre-shared-keyAdmin@123

HRP_A[NGFW_C-ike-peer-ngfw_b]

quit5）

配置兩個IPSec策略，分別用于總部與兩個分支建立IPSec。HRP_A[NGFW_C]

ipsecpolicymap110isakmp

HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]

securityacl3005

HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]

proposaltran1

HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]

ike-peerngfw_a

HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]

quit

HRP_A[NGFW_C]

ipsecpolicymap210isakmp

HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]

securityacl3006

HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]

proposaltran1

HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]

ike-peerngfw_b

HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]

quit6）

配置在Tunnel接口上應(yīng)用IPSec策略?！緩娛妩c評】之前點評中提到我們需要在NGFW_C的tunnel1上與NGFW_A建立一條主用隧道，在tunnel2上與NGFW_B建立一條備份隧道，這是通過在應(yīng)用IPSec策略時設(shè)定active或standby參數(shù)來實現(xiàn)的。HRP_A[NGFW_C]

interfaceTunnel1

HRP_A[NGFW_C-Tunnel1]

ipsecpolicymap1active

HRP_A[NGFW_C-Tunnel1]

quit

HRP_A[NGFW_C]

interfaceTunnel2

HRP_A[NGFW_C-Tunnel2]

ipsecpolicymap2

standby

HRP_A[NGFW_C-Tunnel2]

quit7）

在NGFW_D上配置IPSec。雙機熱備狀態(tài)成功建立后，NGFW_C上配置的ACL、IPSec策略（包括其中的IPSec安全提議，IKE對等體）等都會自動備份到NGFW_D上。只有在接口上應(yīng)用IPSec策略的配置不會備份，需要在此手動配置。

HRP_S[NGFW_D]

interfaceTunnel1

HRP_S[NGFW_D-Tunnel1]

ipsecpolicymap1standby

HRP_S[NGFW_D-Tunnel1]

quit

HRP_S[NGFW_D]

interfaceTunnel2

HRP_S[NGFW_D-Tunnel2]

ipsecpolicymap2active

HRP_S[NGFW_D-Tunnel2]

quit8）

在NGFW_A和NGFW_B上配置IPSec。NGFW_A和NGFW_B的配置比較簡單，就是一個點到點方式的IPSec配置。只要將NGFW_A的IPSec隧道RemoteAddress配置為Tunnel1接口的IP地址；NGFW_B的IPSec隧道RemoteAddress配置為Tunnel2接口的IP地址就行了。受篇幅所限，強叔就不詳細(xì)講了。3、

配置路由和路由策略。雙機熱備和IPSec配置完成后，只要再保證NGFW_A與Tunnel1接口的路由可達(dá)，就可以成功建立IPSec隧道了。但這時一個新的問題又出現(xiàn)了，那就是流量到達(dá)Router1后不知道是該送往NGFW_C還是NGFW_D的Tunnel1接口了，如下圖所示。而且我們還面臨另外一個問題，那就是如何確保NGFW_A的回程流量能夠回到NGFW_A呢？回程流量到達(dá)Router2后不知道是該發(fā)給NGFW_C還是NGFW_D。小伙伴們別急，強叔還是有辦法的，那就是通過路由策略來實現(xiàn)。1）首先我們需要定義三條數(shù)據(jù)流，一條匹配來自分支A的去和回的流量：HRP_A[NGFW_C]

acl2000

HRP_A[NGFW_C-acl-basic-2000]

rulepermitsource2.2.4.00.0.0.255

HRP_A[NGFW_C-acl-basic-2000]

rulepermitsource10.1.3.00.0.0.255

HRP_A[NGFW_C-acl-basic-2000]

quit一條匹配分支B的去和回的流量：

HRP_A[NGFW_C]

acl2001

HRP_A[NGFW_C-acl-basic-2001]

rulepermitsource2.2.5.00.0.0.255

HRP_A[NGFW_C-acl-basic-2001]

rulepermitsource10.1.4.00.0.0.255

HRP_A[NGFW_C-acl-basic-2001]

quit第三條匹配來自分支A和B的去和回的流量：

HRP_A[NGFW_C]

acl2002

HRP_A[NGFW_C-acl-basic-2002]

rulepermitsource2.2.4.00.0.0.255

HRP_A[NGFW_C-acl-basic-2002]

rulepermitsource10.1.3.00.0.0.255

HRP_A[NGFW_C-acl-basic-2002]

rulepermitsource2.2.5.00.0.0.255

HRP_A[NGFW_C-acl-basic-2002]

rulepermitsource10.1.4.00.0.0.255

HRP_A[NGFW_C-acl-basic-2002]

quit

2）然后我們需要配置幾條路由策略，實現(xiàn)以下效果。當(dāng)雙機熱備負(fù)載分擔(dān)狀態(tài)正常時，來自分支A的去和回的流量通過NGFW_C時開銷減少10：HRP_A[NGFW_C]

route-policyrppermitnode1

HRP_A[NGFW_C-route-policy]

if-matchacl2000

HRP_A[NGFW_C-route-policy]

if-matchbackup-statusload-balance

HRP_A[NGFW_C-route-policy]

applycost–10HRP_A[NGFW_C-route-policy]

quit當(dāng)雙機熱備負(fù)載分擔(dān)狀態(tài)正常時，來自分支B的去和回的流量通過NGFW_C時開銷增加10：

HRP_A[NGFW_C]

route-policyrppermitnode2

HRP_A[NGFW_C-route-policy]

if-matchacl2001

HRP_A[NGFW_C-route-policy]

if-matchbackup-statusload-balance

HRP_A[NGFW_C-route-policy]

applycost+10

HRP_A[NGFW_C-route-policy]

quit當(dāng)NGFW_C作為主用設(shè)備（NGFW_D故障）時，來自分支A和B的去和回的流量通過NGFW_C時開銷減少10：

HRP_A[NGFW_C]

route-policyrppermitnode3

HRP_A[NGFW_C-route-policy]

if-matchacl2002

HRP_A[NGFW_C-route-policy]

if-matchbackup-statusactive

HRP_A[NGFW_C-route-policy]

applycost-10

HRP_A[NGFW_C-route-policy]

quit當(dāng)NGFW_C作為備用設(shè)備（NGFW_C故障）時，來自分支A和B的去和回的流量通過NGFW_C時開銷增加10：

HRP_A[NGFW_C]

route-policyrppermitnode4

HRP_A[NGFW_C-route-policy]

if-matchacl2002

HRP_A[NGFW_C-route-policy]

if-matchbackup-statusstandby

HRP_A[NGFW_C-route-policy]

applycost+10

HRP_A[NGFW_C-route-policy]

quit

3）最后我們需要在OSPF中引入直連和靜態(tài)路由，并將自身的路由發(fā)布出去?！緩娛妩c評】這里引入的直連路由是Tunnel接口的路由；引入的靜態(tài)路由是下面配置的使回程流量進(jìn)入隧道的路由。HRP_A[NGFW_C]

ospf1

HRP_A[NGFW_C]

iproute-static10.1.3.024tunnel1

HRP_A[NGFW_C]

iproute-static10.1.4.024tunnel2

HRP_A[NGFW_C-ospf-1]

import-routedirectroute-policyrp

HRP_A[NGFW_C-ospf-1]

import-routestaticroute-policyrp

HRP_A[NGFW_C-ospf-1]

area0.0.0.0

HRP_A[NGFW_C-ospf-1-area-0.0.0.0]

network3.3.3.00.0.0.255

HRP_A[NGFW_C-ospf-1-area-0.0.0.0]

人人文庫> 全部分類> 教育資料 > 課件下載

溫馨提示

1. 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽，若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫網(wǎng)僅提供信息存儲空間，僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

防火墻技術(shù)案例5-雙機熱備(負(fù)載分擔(dān))組網(wǎng)下的IPSec配置

文檔簡介

溫馨提示

最新文檔

評論

防火墻技術(shù)案例5-雙機熱備(負(fù)載分擔(dān))組網(wǎng)下的IPSec配置

文檔簡介

溫馨提示

最新文檔

評論

相關(guān)文檔