防火墻技術(shù)案例雙機熱備負(fù)載分擔(dān)組網(wǎng)下的IPSec配置

1、【防火墻技術(shù)案例5】雙機熱備（負(fù)載分擔(dān)）組網(wǎng)下的IPSec配置 論壇的小伙伴們，大家好。強叔最近已經(jīng)開始在“侃墻”系列中為各位小伙伴們介紹各種VPN了。說到VPN小伙伴們肯定首先想到的是最經(jīng)典的IPSec VPN而且我想大家對IPSec 的配置也是最熟悉的。但是如果在兩臺處于負(fù)載分擔(dān)狀態(tài)下的防火墻上部署 IPSec VPN又 該如何操作呢有什么需要注意的地方呢本期強叔就為大家介紹如何在雙機熱備的負(fù)載分擔(dān)組網(wǎng)下配置IPSec?！窘M網(wǎng)需求】 如下圖所示，總部防火墻 NGFW_郊NGFW_D負(fù)載分擔(dān)方式工作，具上下行接口都工作在 三層，并與上下行路由器之間運行 OSPF*議。（本例中，NGFWb下一

2、代防火墻USG6600 的簡稱，軟件版本為 USG6600V100R001C10現(xiàn)要求分支用戶訪問總部的流量受IPSec隧道保護(hù)，且NGFW_C理分支A發(fā)送到總部的流 量，NGFW_D理分支B發(fā)送到總部的流量。當(dāng)NGFW_C NGFW_D一臺防火墻出現(xiàn)故障時， 分支發(fā)往總部的流量能全部切換到另一臺運行正常的防火墻?！拘枨蠓治觥酷槍σ陨闲枨螅瑥娛逑葞』飩冏鲆粋€簡要分析，分析一下我們面臨的問題以及解決這個 問題的方法。1、如何使兩臺防火墻形成雙機熱備負(fù)載分擔(dān)狀態(tài)兩臺防火墻的上下行業(yè)務(wù)接口工作在三層，并且連接三層路由器，在這種情況下，就需 要在防火墻上配置 VGMPS （即hrp track 命令

3、）來監(jiān)控上下行業(yè)務(wù)接口。如果是負(fù)載 分擔(dān)狀態(tài)，則需要在每臺防火墻上調(diào)動兩個 VGMIfi （ active組和standby組）來監(jiān)控 業(yè)務(wù)接口。2、分支與總部之間如何建立IPSec隧道正常狀態(tài)下，根據(jù)組網(wǎng)需求，需要在 NGFW_ANGFW_C間建立一條隧道，在 NGFW_B 與NGFW_D間建立一條隧道。當(dāng) NGFW_C NGFW_D中一臺防火墻故障時，NGFW_A NGFW_B會與另外一臺防火墻建立隧道。3、總部的兩臺防火墻如何對流量進(jìn)行引導(dǎo)總部的兩臺防火墻（NGFW_CNGFW）D通過路由策略來調(diào)整自身的Cost值，從而實現(xiàn) 正常狀態(tài)下來自NGFW_A量通過NGFW_C發(fā)，來自NGFW_

4、m量通過NGFW_D發(fā)， 故障狀態(tài)下來自NGFW_A NGFW_B流量都通過正常運行的防火墻轉(zhuǎn)發(fā)?！九渲貌襟E】1、配置雙機熱備功能。在配置雙機熱備功能前，小伙伴們需要按照上圖配置各接口的IP地址，并將各接口加入相應(yīng)的安全區(qū)域，然后配置正確的安全策略，允許網(wǎng)絡(luò)互通。由于這些不是本案例的 重點，因此不在此贅述。完成以上配置后，就要開始配置雙機熱備功能了。 大家可以看到形成雙機的兩臺防火墻 （NGFW_CNGFW_D載分擔(dān)處理流量）的上下行接口都工作在三層，而且連接的是路 由器。這無疑是非常經(jīng)典的“防火墻業(yè)務(wù)接口工作在三層，上下行連接路由器的負(fù)載分擔(dān)組網(wǎng)”。各位小伙伴們可以在華為的任何防火墻資料中看

5、到此經(jīng)典舉例，無論是命令行配置舉例還是WeM己置舉例，大家想怎么看就怎么看因此強叔只在此給出雙機熱備的命令行配置和關(guān)鍵解釋。#hrp mirror session enable /負(fù)載分擔(dān)組網(wǎng)必須配置此命令hrp enable /啟用雙機熱備功能hrp ospf-cost adjust-enable /根據(jù)主備狀態(tài)調(diào)整 OSPF勺 COST?hrp interface GigabitEthernet 1/0/7 /指定心跳接口#interface GigabitEthernet 1/0/1ip addresshrp track active 業(yè)務(wù)接口工作在三層，上下行連接路由器的組網(wǎng)需要配置

6、hrp track hrp track standby /負(fù)載分擔(dān)組網(wǎng)需要同時配置 hrp track active 和standby#interface GigabitEthernet 1/0/3ip addresshrp track activehrp track standby#interface GigabitEthernet 1/0/7ip address【強叔點評】各位小伙伴們在配置雙機熱備功能時，首先要確定的是防火墻業(yè)務(wù)接口的工 作狀態(tài)和上下行連接的設(shè)備，然后據(jù)此采用不同的命令進(jìn)行配置。強叔在此先為大家簡單 總結(jié)下，如果小伙伴們想深入學(xué)習(xí)，可以關(guān)注后面幾期的“侃墻”系列。且網(wǎng)配置

7、命令“務(wù)接口工作在三層，上下行連接二層設(shè)備VRRPf關(guān)命令“務(wù)接口工作在三層，上下行連接三層設(shè)備在接口視圖下配置(hrp track )“務(wù)接口工作在二層，上下行連接三層設(shè)備在VLANB圖卜配置(hrp track )2、配置 IPSeCo【強叔點評】雙機熱備配置完成后，我們就開始配置IPSec功能，建立IPSec VPN1道啦。由于公司希望NGFWJC理分支A(NGFW)俄送到總部的流量，NGFW_D理分支B NGFW_B 發(fā)送到總部的流量，因此正常情況下我們需要在 NGFW_C NGFW_A間建立一條隧道， 在NGFW_D NGFW_B間建立一條隧道。這樣看似已經(jīng)滿足需求了，但是如果 NG

8、FW_D現(xiàn)故障了怎么辦呢分支B發(fā)送到總部的 流量不就中斷了嗎小伙伴們仔細(xì)思考就會想到辦法，我們需要在 NGFW_CNGFW_B NGFW_D NGFW_A間分別建立一條備用隧道(圖中虛線表示)。這樣當(dāng) NGFW_山現(xiàn) 故障時，分支B發(fā)送到總部的流量會通過備用隧道由 NGFW戈送到總部，就不會導(dǎo)致 業(yè)務(wù)中斷啦。這個想法很好，但是如何實現(xiàn)呢我們可以在 NGFW_C創(chuàng)建兩個tunnel接口，然后在 tunnell上與NGFW_A立一條主用隧道，在 tunnel2 上與NGFW_B立一條備份隧道。同理在NGFW_D tunnell上與NGFW_A立一條備份隧道，在 tunnel2上與NGFW_B 立一

9、條主用隧道。這里需要注意的是 NGFW_C的tunnell (tunnel2 )地址需要與NGFW_D 上的tunnell (tunnel2 )地址保持一致。lunnellNCFW_C 2.2.4.1我想這時小伙伴們又要問為什么了這樣做的好處是在NGFW_A只需要與對端的tunnell接口建立隧道即可，NGFW_A用去關(guān)心這個tunnell是NGFW_C是NGFW_D（因為他們的IP是一致的）。同理NGFW_B需要與對端的tunnel2接口建立隧道即可。1）定義受IPSec VPN保護(hù)的數(shù)據(jù)流HRP_ANGFW_C| 3005 ?HRP_ANGFW_C-acl-adv-300司ule perm

10、it ip source destination?HRP_ANGFW_C-acl-adv-3005quit ?HRP_ANGFW_C acl 3006HRP_ANGFW_C-acl-adv-3006rule permit ip source destination?HRP_A NGFW_C-acl-adv-3006quit【強叔點評】ACL300旋義的是總部與分支A之間的流量，ACL3006S義的是總部與 分支B之間的流量。2）配置IPSec安全提議?！緩娛妩c評】如果創(chuàng)建IPSec安全提議后，不進(jìn)行任何配置，則IPSec安全提議使 用默認(rèn)參數(shù)。本案例中使用默認(rèn)參數(shù)，小伙伴們可以根據(jù)自己的實際安

11、全需求修改 IPSec安全提議中的參數(shù)。HRP_ANGFW_ipSec proposal tranlHRP_ANGFW_C-ipsec-proposal-tran1 quit3）配置IKE安全提議。本案例中使用IKE安全提議的默認(rèn)參數(shù)。HRP_ANGFW_Ce proposal 10HRP_ANGFW_C-ike-proposal-10quit4）配置兩個IKE對等體，分別用于總部與兩個分支建立IPSeCoHRP_ANGFW_Ce peer ngfw_a ?HRP_ANGFW_C-ike-peer-ngfw_ake-proposal 10?HRP_ANGFW_C-ike-peer-ngfw_a

12、remote-address ?HRP_ANGFW_C-ike-peer-ngfw_apre-shared-key Admin123 ?HRP_ANGFW_C-ike-peer-ngfw_aquit ?HRP_ANGFW網(wǎng) peer ngfw_b ?HRP_ANGFW_C-ike-peer-ngfw_bke-proposal 10?HRP_ANGFW_C-ike-peer-ngfw_bremote-address ?HRP_ANGFW_C-ike-peer-ngfw_bpre-shared-key Admin123 ? HRP_ANGFW_C-ike-peer-ngfw_bquit5）配置兩個

13、IPSec策略，分別用于總部與兩個分支建立IPSeCoHRP_ANGFW_psec policy map1 10 isakmp ?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 security acl 3005?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 proposal tran1 ?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 ike-peer ngfw_a ?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 quit ?HRP_ANGFW_psec pol

14、icy map2 10 isakmp ?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 security acl 3006?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 proposal tran1 ?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 ike-peer ngfw_b ?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 quit6）配置在Tunnel接口上應(yīng)用IPSec策略?！緩娛妩c評】之前點評中提到我們需要在 NGFW_C tunnel1上與NGFW_A

15、立一條 主用隧道，在tunnel2上與NGFW_B立一條備份隧道，這是通過在應(yīng)用IPSec策略 時設(shè)定active 或standby參數(shù)來實現(xiàn)的。 TOC o 1-5 h z HRP_ANGFW_Cerface Tunnel 1?HRP_ANGFW_C-Tunnelipsec policy map1 active?HRP_ANGFW_C-Tunnelquit ?HRP_ANGFW_iCterface Tunnel 2?HRP_ANGFW_C-Tunnel2psec policy map2standby ?HRP_ANGFW_C-Tunnel2uit7）在 NGFW_D酉己置 IPSec。雙機熱

16、備狀態(tài)成功建立后，NGFW_C配置的ACL IPSec策略（包括其中的IPSec 安全提議，IKE對等體）等都會自動備份到 NGFW_Do只有在接口上應(yīng)用IPSec策 略的配置不會備份，需要在此手動配置。HRP_SNGFW_Dnterface Tunnel 1?HRP_SNGFW_D-Tunnel1psec policy map1 standby ?HRP_SNGFW_D-Tunnel1quit ?HRP_SNGFW_Dnterface Tunnel 2?HRP_SNGFW_D-Tunnel2psec policy map2 active ?HRP_SNGFW_D-Tunnel2quit8）在

17、 NGFW_A NGFW_B配置 IPSec。NGFW_A NGFW_B配置比較簡單，就是一個點到點方式的IPSec配置。只要將NGFW_A IPSec 隧道 Remote Address 配置為 Tunnel1 接口的 IP 地址；NGFW_BIPSec隧道Remote Address配置為Tunnel2接口的IP地址就行了。受篇幅所限， 強叔就不詳細(xì)講了。3、配置路由和路由策略。雙機熱備和IPSec配置完成后，只要再保證 NGFW_A Tunnell接口的路由可達(dá)，就可 以成功建立IPSec隧道了。但這時一個新的問題又出現(xiàn)了， 那就是流量到達(dá)Router1后 不知道是該送往NGFW_C N

18、GFW_D Tunnel1接口了，如下圖所示。GE1W110.142410 1 3UX而且我們還面臨另外一個問題，那就是如何確保NGFW_A回程流量能夠回到NGFW_A 回程流量到達(dá)Router2后不知道是該發(fā)給NGFW_C是 NGFW_D小伙伴們別急，強叔還是有辦法的，那就是通過路由策略來實現(xiàn)。1）首先我們需要定義三條數(shù)據(jù)流，一條匹配來自分支A的去和回的流量:HRP_ANGFW_C| 2000 ? TOC o 1-5 h z HRP_ANGFW_C-acl-basic-2000rule permit source?HRP_ANGFW_C-acl-basic-2000rule permit s

19、ource?HRP_ANGFW_C-acl-basic-2000quit一條匹配分支B的去和回的流量：HRP_ANGFW_acl 2001 ?HRP_ANGFW_C-acl-basic-2001rule permit source?HRP_ANGFW_C-acl-basic-2001rule permit source?HRP_ANGFW_C-acl-basic-2001quit第三條匹配來自分支A和B的去和回的流量：？HRP_ANGFW_acl 2002 ?HRP_ANGFW_C-acl-basic-2002rule permit source?HRP_ANGFW_C-acl-basic-2

20、002rule permit source?HRP_ANGFW_C-acl-basic-2002rule permit source?HRP_ANGFW_C-acl-basic-2002rule permit source?HRP_ANGFW_C-acl-basic-2002quit2）然后我們需要配置幾條路由策略，實現(xiàn)以下效果。當(dāng)雙機熱備負(fù)載分擔(dān)狀態(tài)正常時，來自分支A的去和回的流量通過NGFW_C開銷減少10:HRP_ANGFW_Cute-policy rp permit node 1?HRP_ANGFW_C-route-policy if-match acl 2000?HRP_ANGFW_

21、C-route-policy if-match backup-status load-balance ?HRP_ANGFW_C-route-policy apply cost 10HRP_ANGFW_C-route-policy quit當(dāng)雙機熱備負(fù)載分擔(dān)狀態(tài)正常時，來自分支 B的去和回的流量通過NGFW_C開銷增加10: TOC o 1-5 h z HRP_ANGFW_CUte-policy rp permit node 2?HRP_ANGFW_C-route-policy if-match acl 2001?HRP_ANGFW_C-route-policy if-match backup-

22、status load-balance ?HRP_ANGFW_C-route-policy apply cost + 10?HRP_ANGFW_C-route-policy quit當(dāng)NGFW_C為主用設(shè)備（NGFW_D障）時，來自分支A和B的去和回的流量通過NGFW_C 時開銷減少10:HRP_ANGFW_Cute-policy rp permit node 3?HRP_ANGFW_C-route-policy if-match acl 2002?HRP_ANGFW_C-route-policy if-match backup-status active ?HRP_ANGFW_C-route

23、-policy apply cost - 10?HRP_ANGFW_C-route-policy quit當(dāng)NGFW_C為備用設(shè)備（NGFW_C障）時，來自分支A和B的去和回的流量通過NGFW_C 時開銷增加10:HRP_ANGFW_Cute-policy rp permit node 4?HRP_ANGFW_C-route-policy if-match acl 2002?HRP_ANGFW_C-route-policy if-match backup-status standby ?HRP_ANGFW_C-route-policy apply cost + 10?HRP_ANGFW_C-r

24、oute-policy quit ?3）最后我們需要在OSPH引入直連和靜態(tài)路由，并將自身的路由發(fā)布出去?！緩娛妩c評】這里引入的直連路由是Tunnel接口的路由；引入的靜態(tài)路由是下面配置的使回程流量進(jìn)入隧道的路由。HRP_ANGFW_Cpf 1 TOC o 1-5 h z HRP_ANGFW_Croute-static 24 tunnel 1?HRP_ANGFW_Croute-static 24 tunnel 2HRP_ANGFW_C-ospf-1mport-route direct route-policy rp?HRP_ANGFW_C-ospf-1mport-route static ro

25、ute-policy rp?HRP_ANGFW_C-ospf-1jrea ?HRP_ANGFW_C-ospf-1-area-network ?HRP_ANGFW_C-ospf-1-area-network ?HRP_ANGFW_C-ospf-1-area-quit ?HRP_ANGFW_C-ospf-1juit4）在NGFW_D配置路由和路由策略。按照 NGFW_C配置舉一反三，我想各位小伙伴肯定 沒問題的?！窘Y(jié)果驗證】1、當(dāng)雙機熱備負(fù)載分擔(dān)狀態(tài)正常運行時，可以在Router1上看到去往Tunnel1目的地址為） 的流量通過NGFW轉(zhuǎn)發(fā)（下一跳為NGFW_物理接口 IP地址）。而去往Tunne

26、l2接 口（目的地址為）的流量通過 NGFW_D發(fā)（下一跳為NGFW_D物理接口 IP地址）。Reuter 1jdisplay ospf routing L5:29il5 201405x05OSPF Proc 1 with Router ID 2.32.32.3 Routine TablesRouting tor Cvstination 3.3.3.024 3.3.4,0/24 2.2.0/242.2.3.口2Nstwrk CostType Transit Tronftit Transit TransitNextHopAdvRouter M M0.1 10.10.0.2 10.10,0,1 1

27、0.10,0*3Area 0.0.0*0 0.0.0.0 口口*0.0 oTo,oToRouting for reatination 30.L0.0.0Z24 KMZQ/2* 30.L.3.0 x24 10,1.4,024 2.2.4.0z24 Q.2.S.0Z24TypeTogTyp*21Type21Type21Type2IType21Type2iNexttlopAdvRouter2.2.3.110.10,0,22、當(dāng)雙機熱備負(fù)載分擔(dān)狀態(tài)正常運行時，可以在 Router2上看到總部回復(fù)分支A （目的地B （目的地址）的流量通過址）的流量通過NGFW_C發(fā)（下一跳為）；總部回復(fù)分支 NGFW_

28、D發(fā)（下一跳為）。hemtorZdiplay ospf routing 15:56:30 2014/0505OSPF Proc由的 1 with Rotit&r ID 3. J . 4.2Routing TobiasRjoutlag for 144tworeat mat iCACostTypoHextHop3.3.3.0/24ITransitq q q )334 .0/?4Transit3,3.4.?N W0/24Transit333.1工 Z3.U/24*3.5.4 . 1AdvRouter10.10,0.1M10.0,210.10.0,110.1Q.0.2C.0.0.0 c.o.o.o n. 口4 c.a.c.0Routing for ASEs Ce9t mat ionCostirl 0LypypypypypypypypAdvRouter 1O.10.Q.2 1Q.IG.Q.1 1G.10*0.?30.10,0.110.10.0.210.10.0.2JO,10.0.2以上兩步可以看出在路由層面，我們的配置滿足了組網(wǎng)需求。3、在 NGFWj D上執(zhí)行 display ike sa 、display ipsec sa命令查看 I