配置总部采用冗余网关与分支建立IPSec隧道示例
组网需求
如图所示,为提高可靠性,企业总部提供AR2和AR3两台网关供企业分支网关AR5接入,分支与总部通过公网建立通信。
企业希望对分支与总部之间相互访问的流量进行安全保护。
由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立IPSec隧道来实施安全保护。分支网关首先与总部网关AR2建立通信,如果连接建立失败,则分支网关与总部网关AR3建立通信。
配置思路配置接口的IP地址和到对端的静态路由,保证两端路由可达。配置ACL,以定义需要IPSec保护的数据流。配置IPSec安全提议,定义IPSec的保护方法。配置IKE对等体,定义对等体间IKE协商时的属性。分别在AR2、AR3和AR5上创建安全策略,确定对何种数据流采取何种保护方法。其中AR2和AR3采用策略模板方式创建安全策略。在接口上应用安全策略组,使接口具有IPSec的保护功能。操作步骤配置IP以及静态路由AR1sys [Huawei]sys AR1 [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 12.12.12.1 24 [AR1-GigabitEthernet0/0/0]q [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip add 13.13.13.1 24 [AR1-GigabitEthernet0/0/1]q [AR1]int g0/0/2 [AR1-GigabitEthernet0/0/2]ip ad 10.1.1.1 24 [AR1-GigabitEthernet0/0/2]q [AR1]ip route-static 0.0.0.0 0 12.12.12.2 [AR1]ip route-static 0.0.0.0 0 23.23.23.2AR2sys [Huawei]sys AR2 [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip add 12.12.12.2 24 [AR2-GigabitEthernet0/0/0]q [AR2]un in en [AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip add 24.24.24.2 24 [AR2-GigabitEthernet0/0/1]q [AR2]ip route-static 10.1.1.0 24 12.12.12.1 [AR2]ip route-static 45.45.45.0 24 24.24.24.4 [AR2]ip route-static 10.1.5.0 24 24.24.24.4AR3sys [Huawei]sys AR3 [AR3]int g0/0/0 [AR3-GigabitEthernet0/0/0]ip add 34.34.34.3 24 [AR3-GigabitEthernet0/0/0]q [AR3]int g0/0/1 [AR3-GigabitEthernet0/0/1]ip add 13.13.13.3 24 [AR3-GigabitEthernet0/0/1]q [AR2]ip route-static 10.1.1.0 24 13.13.13.1 [AR2]ip route-static 45.45.45.0 24 34.34.34.4 [AR2]ip route-static 10.1.5.0 24 34.34.34.4AR4sys [Huawei]sys AR4 [AR4]int g0/0/0 [AR4-GigabitEthernet0/0/0]ip add 24.24.24.4 24 [AR4-GigabitEthernet0/0/0]q [AR4]int g0/0/1 [AR4-GigabitEthernet0/0/1]ip add 34.34.34.4 24 [AR4-GigabitEthernet0/0/1]q [AR4]int g0/0/2 [AR4-GigabitEthernet0/0/2]ip add 45.45.45.4 24 [AR4-GigabitEthernet0/0/2] [AR4-GigabitEthernet0/0/2]q [AR4]ip route-static 12.12.12.0 24 24.24.24.2 [AR4]ip route-s 13.13.13.0 24 34.34.34.3 [AR4]ip route-s 10.1.1.0 24 24.24.24.2 [AR4]ip route-s 10.1.1.0 24 34.34.34.3 [AR4]ip route-s 10.5.1.0 24 45.45.45.5AR5sys [Huawei]sys AR5 [AR5]int g0/0/0 [AR5-GigabitEthernet0/0/0]ip add 45.45.45.5 24 [AR5-GigabitEthernet0/0/0]q [AR5]int g0/0/1 [AR5-GigabitEthernet0/0/1]ip add 10.1.5.5 24 [AR5-GigabitEthernet0/0/1]q [AR5]ip route-static 0.0.0.0 0 45.45.45.4配置ACL,定义各自要保护的数据流
由于AR2、AR3采用策略模板创建安全策略,引用ACL是可选操作。如果配置了ACL,则必须要指定ACL规则的目的地址,所以总部源就不配置aclAR5[AR5]acl number 3100 [AR5-acl-adv-3100]rule permit ip source 10.1.5.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [AR5-acl-adv-3100]q [AR5]创建IPSec安全提议AR2[AR2]ipsec proposal 1 [AR2-ipsec-proposal-1]esp authentication-algorithm sha2-256 [AR2-ipsec-proposal-1]esp encryption-algorithm aes-128 [AR2-ipsec-proposal-1]qAR3[AR3]ipsec proposal 1 [AR3-ipsec-proposal-1]esp authentication-algorithm sha2-256 [AR3-ipsec-proposal-1]esp encryption-algorithm aes-128 [AR2-ipsec-proposal-1]qAR5[AR5]ipsec proposal 1 [AR5-ipsec-proposal-1]esp authentication-algorithm sha2-256 [AR5-ipsec-proposal-1]esp encryption-algorithm aes-128 [AR5-ipsec-proposal-1]q查看配置IPSec的信息#以AR2为例 display ipsec proposal Number of proposals: 1 IPSec proposal name: 1 Encapsulation mode: Tunnel Transform : esp-new ESP protocol : Authentication SHA2-HMAC-256 Encryption AES-128 Number of proposals #当前IPSec安全提议总数。 IPSec proposal name #安全提议的名称。 Encapsulation mode #IPSec安全提议采用的模式,包括两种:传输(transport)和隧道(tunnel)模式。 Transform #IPSec安全提议采用的安全协议,包括:ah-new、esp-new、ah-esp-new ,缺省情况下,IPSec安全提议使用的安全协议为ESP ESP protocol #ESP协议采用的认证算法和加密算法配置IKE对等体AR2#配置IKE安全提议 [AR2]ike proposal 1 [AR2-ike-proposal-1]authentication-algorithm sha1 [AR2-ike-proposal-1]encryption-algorithm aes-cbc-128 [AR2-ike-proposal-1]q #配置IKE对等体 [AR2]ike peer 1 v1 [AR2-ike-peer-1]pre-shared-key cipher 20wl [AR2-ike-peer-1]ike-proposal 1 [AR2-ike-peer-1]q [AR2]AR3[AR3]ike proposal 1 [AR3-ike-proposal-1]authentication-algorithm sha1 [AR3-ike-proposal-1]encryption-algorithm aes-cbc-128 [AR3-ike-proposal-1]q [AR3]ike peer 1 v1 [AR3-ike-peer-1]ike-proposal 1 [AR3-ike-peer-1]pre-shared-key cipher 20wl [AR3-ike-peer-1]qAR5(不支持配置多个remoteIP)[AR5]ike proposal 1 [AR5-ike-proposal-1]authentication-algorithm sha1 [AR5-ike-proposal-1]encryption-algorithm aes-cbc-128 [AR5-ike-proposal-1]q [AR5]ike peer 1 v1 [AR5-ike-peer-1]ike-proposal 1 [AR5-ike-peer-1]pre-shared-key cipher 20wl [AR5-ike-peer-1]remote-address 24.24.24.2 [AR5-ike-peer-1]remote-address 34.34.34.3 [AR5-ike-peer-1]q创建安全策略,其中AR2和AR3采用策略模板方式创建安全策略AR2#配置策略模板,并在安全策略中引用该策略模板 [AR2]ipsec policy-template 1 1 [AR2-ipsec-policy-templet-1-1]ike-peer 1 [AR2-ipsec-policy-templet-1-1]proposal 1 [AR2-ipsec-policy-templet-1-1]q [AR2]ipsec policy 2 1 isakmp template 1AR3#配置策略模板,并在安全策略中引用该策略模板 [AR3]ipsec policy-template 1 1 [AR3-ipsec-policy-templet-1-1]ike-peer 1 [AR3-ipsec-policy-templet-1-1]proposal 1 [AR3-ipsec-policy-templet-1-1]q [AR3]ipsec policy 2 1 isakmp template 1AR5#配置安全策略 [AR5]ipsec policy 1 1 isakmp [AR5-ipsec-policy-isakmp-1-1]ike-peer 1 [AR5-ipsec-policy-isakmp-1-1]proposal 1 [AR5-ipsec-policy-isakmp-1-1]security acl 3100 [AR5-ipsec-policy-isakmp-1-1]q在接口上应用各自的安全策略组,使接口具有IPSec的保护功能AR2[AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ipsec policy 2 [AR2-GigabitEthernet0/0/1]qAR3[AR3]int g0/0/0 [AR3-GigabitEthernet0/0/0]ipsec policy 2 [AR3-GigabitEthernet0/0/0]qAR5[AR5]int g0/0/0 [AR5-GigabitEthernet0/0/0]ipsec policy 1 [AR5-GigabitEthernet0/0/0]q检查配置结果ping测试PC>ping 10.1.5.100 Ping 10.1.5.100: 32 data bytes, Press Ctrl_C to break Request timeout! Request timeout! From 10.1.5.100: bytes=32 seq=3 ttl=126 time=47 ms From 10.1.5.100: bytes=32 seq=4 ttl=126 time=62 ms From 10.1.5.100: bytes=32 seq=5 ttl=126 time=47 ms --- 10.1.5.100 ping statistics --- 5 packet(s) transmitted 3 packet(s) received 40.00% packet loss round-trip min/avg/max = 0/52/62 ms查看建立隧道关系AR5[AR3]display ike sa Conn-ID Peer VPN Flag(s) Phase --------------------------------------------------------------- 2 45.45.45.5 0 RD 2 1 45.45.45.5 0 RD 1 Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP IKE SA information #安全联盟配置信息。 Conn-ID #安全联盟的连接索引。 Peer #对端的IP地址和UDP端口号。 VPN #应用IPSec安全策略的接口所绑定的VPN实例。 Flag(s) #安全联盟的状态: #RD--READY:表示此SA已建立成功。 #ST--STAYALIVE:表示此端是通道协商发起方。 #RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。 #FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。 #TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。 #HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。 #LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。 #BCK--BACKED UP:表示备份状态。 #M--ACTIVE:表示IPSec策略组状态为主状态。 #S--STANDBY:表示IPSec策略组状态为备状态。 #A--ALONE:表示IPSec策略组状态为不备份状态。 #NEG--NEGOTIATING:表示SA正在协商中。 #字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。 Phase #SA所属阶段:1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。2表示协商安全服务的阶段,此阶段建立IPSec SA。 RemoteType #对端ID类型。 RemoteID #对端ID。 AR1display ike sa Conn-ID Peer VPN Flag(s) Phase --------------------------------------------------------------- 2 34.34.34.3 0 RD|ST 2 1 34.34.34.3 0 RD|ST 1 Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP