04
2023
12
23:58:24

配置分支采用多链路共享功能与总部建立IPSec隧道示例

https://support.huawei.com/enterprise/zh/doc/EDOC1100332366?section=j068

组网需求

图5-47所示,RouterA为企业分支网关,RouterB为企业总部网关,分支采用两条出口链路互为备份或者负载分担,与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护,并且若主备链路切换或某条出口链路故障时,要求安全保护不中断。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立IPSec隧道来实施安全保护。由于两个出接口是分别协商生成IPSec SA,在主备链路切换时,接口会出现Up/Down状态变化,需要重新进行IKE协商,而导致数据流的暂时中断。为保证安全保护不中断,实现IPSec SA能够平滑切换,分支网关的两条出口链路与总部网关只协商一个共享的IPSec SA。

图5-47 配置采用多链路共享的IPSec隧道组网图

配置思路

分支网关使用LoopBack接口与总部网关建立IPSec隧道,其两条出口链路与总部网关只协商一个共享的IPSec SA。采用如下思路配置采用多链路共享的方式建立IPSec隧道:

  1. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 配置ACL,以定义需要IPSec保护的数据流。

  3. 配置IPSec安全提议,定义IPSec的保护方法。

  4. 配置IKE对等体,定义对等体间IKE协商时的属性。

  5. 配置安全策略,并引用ACL和IPSec安全提议,确定对何种数据流采取何种保护方法。

  6. 在接口上应用安全策略组,使接口具有IPSec的保护功能。其中RouterA上的安全策略组在应用前需要设置为多链路共享,用于在多个接口上应用。

操作步骤

  1. 分别在RouterA和RouterB上配置各接口的IP地址和到对端的静态路由


    # 在RouterA上配置接口的IP地址。

    <Huawei> system-view[Huawei] sysname RouterA[RouterA] interface gigabitethernet 1/0/0[RouterA-GigabitEthernet1/0/0] ip address 70.1.1.1 255.255.255.0[RouterA-GigabitEthernet1/0/0] quit[RouterA] interface gigabitethernet 2/0/0[RouterA-GigabitEthernet2/0/0] ip address 80.1.1.1 255.255.255.0[RouterA-GigabitEthernet2/0/0] quit[RouterA] interface gigabitethernet 3/0/0 [RouterA-GigabitEthernet3/0/0] ip address 10.1.1.1 255.255.255.0 [RouterA-GigabitEthernet3/0/0] quit[RouterA] interface loopback 0[RouterA-LoopBack0] ip address 1.1.1.1 255.255.255.255[RouterA-LoopBack0] quit

    # 在RouterA上配置到对端的静态路由,此处假设RouterA的两个出接口到对端的下一跳地址分别为70.1.1.2和80.1.1.2。

    [RouterA] ip route-static 10.1.2.0 255.255.255.0 70.1.1.2 preference 10[RouterA] ip route-static 10.1.2.0 255.255.255.0 80.1.1.2 preference 20[RouterA] ip route-static 60.1.1.0 255.255.255.0 70.1.1.2 preference 10[RouterA] ip route-static 60.1.1.0 255.255.255.0 80.1.1.2 preference 20

    # 在RouterB上配置接口的IP地址。

    <Huawei> system-view[Huawei] sysname RouterB[RouterB] interface gigabitethernet 1/0/0[RouterB-GigabitEthernet1/0/0] ip address 60.1.1.1 255.255.255.0[RouterB-GigabitEthernet1/0/0] quit[RouterB] interface gigabitethernet 3/0/0 [RouterB-GigabitEthernet3/0/0] ip address 10.1.2.1 255.255.255.0 [RouterB-GigabitEthernet3/0/0] quit

    # 在RouterB上配置到对端的静态路由,此处假设RouterB到对端的下一跳地址分别为60.1.1.2。

    [RouterB] ip route-static 1.1.1.1 255.255.255.255 60.1.1.2[RouterB] ip route-static 10.1.1.0 255.255.255.0 60.1.1.2[RouterB] ip route-static 70.1.1.0 255.255.255.0 60.1.1.2[RouterB] ip route-static 80.1.1.0 255.255.255.0 60.1.1.2


  2. 分别在RouterA和RouterB上配置ACL,定义各自要保护的数据流


    # 在RouterA上配置ACL,定义由子网10.1.1.0/24去子网10.1.2.0/24的数据流。

    [RouterA] acl number 3101[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255[RouterA-acl-adv-3101] quit

    # 在RouterB上配置ACL,定义由子网10.1.2.0/24去子网10.1.1.0/24的数据流。

    [RouterB] acl number 3101[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255[RouterB-acl-adv-3101] quit


  3. 分别在RouterA和RouterB上创建IPSec安全提议


    # 在RouterA上配置IPSec安全提议。

    [RouterA] ipsec proposal prop[RouterA-ipsec-proposal-prop] esp authentication-algorithm sha2-256[RouterA-ipsec-proposal-prop] esp encryption-algorithm aes-128[RouterA-ipsec-proposal-prop] quit

    # 在RouterB上配置IPSec安全提议。

    [RouterB] ipsec proposal prop[RouterB-ipsec-proposal-prop] esp authentication-algorithm sha2-256[RouterB-ipsec-proposal-prop] esp encryption-algorithm aes-128[RouterB-ipsec-proposal-prop] quit


  4. 分别在RouterA和RouterB上配置IKE安全提议


    # 在RouterA上配置IKE安全提议。
    [RouterA] ike proposal 5[RouterA-ike-proposal-5] encryption-algorithm aes-128[RouterA-ike-proposal-5] authentication-algorithm sha2-256[RouterA-ike-proposal-5] dh group14[RouterA-ike-proposal-5] quit

    # 在RouterB上配置IKE安全提议。

    [RouterB] ike proposal 5[RouterB-ike-proposal-5] encryption-algorithm aes-128[RouterB-ike-proposal-5] authentication-algorithm sha2-256[RouterB-ike-proposal-5] dh group14[RouterB-ike-proposal-5] quit


  5. 分别在RouterA和RouterB上配置IKE对等体


    # 在RouterA上配置IKE对等体,并引用IKE安全提议,配置预共享密钥和对端ID。

    [RouterA] ike peer rut[RouterA-ike-peer-rut] version 1[RouterA-ike-peer-rut] undo version 2[RouterA-ike-peer-rut] ike-proposal 5[RouterA-ike-peer-rut] pre-shared-key cipher YsHsjx_202206[RouterA-ike-peer-rut] remote-address 60.1.1.1[RouterA-ike-peer-rut] quit

    # 在RouterB上配置IKE对等体,并引用IKE安全提议,配置预共享密钥和对端ID。

    [RouterB] ike peer rut[RouterB-ike-peer-rut] version 1[RouterB-ike-peer-rut] undo version 2[RouterB-ike-peer-rut] ike-proposal 5[RouterB-ike-peer-rut] pre-shared-key cipher YsHsjx_202206[RouterB-ike-peer-rut] remote-address 1.1.1.1[RouterB-ike-peer-rut] quit


  6. 分别在RouterA和RouterB上创建安全策略


    # 在RouterA上配置安全策略。

    [RouterA] ipsec policy policy1 10 isakmp[RouterA-ipsec-policy-isakmp-policy1-10] ike-peer rut[RouterA-ipsec-policy-isakmp-policy1-10] proposal prop[RouterA-ipsec-policy-isakmp-policy1-10] security acl 3101[RouterA-ipsec-policy-isakmp-policy1-10] quit

    # 在RouterB上配置安全策略。

    [RouterB] ipsec policy policy1 10 isakmp[RouterB-ipsec-policy-isakmp-policy1-10] ike-peer rut[RouterB-ipsec-policy-isakmp-policy1-10] proposal prop[RouterB-ipsec-policy-isakmp-policy1-10] security acl 3101[RouterB-ipsec-policy-isakmp-policy1-10] quit


  7. 分别在RouterA和RouterB的接口上应用各自的安全策略组,使接口具有IPSec的保护功能


    # 将RouterA上的安全策略组配置为共享安全策略组,并分别在两个接口上引用安全策略组。
    [RouterA] ipsec policy policy1 shared local-interface loopback 0[RouterA] interface gigabitethernet 1/0/0[RouterA-GigabitEthernet1/0/0] ipsec policy policy1[RouterA-GigabitEthernet1/0/0] quit[RouterA] interface gigabitethernet 2/0/0[RouterA-GigabitEthernet2/0/0] ipsec policy policy1[RouterA-GigabitEthernet2/0/0] quit

    # 在RouterB的接口上引用安全策略组。

    [RouterB] interface gigabitethernet 1/0/0[RouterB-GigabitEthernet1/0/0] ipsec policy policy1[RouterB-GigabitEthernet1/0/0] quit


  8. 检查配置结果


    # 配置成功后,在主机PC A执行ping操作仍然可以ping通主机PC B,它们之间的数据传输将被加密,执行命令display ipsec statistics可以查看数据包的统计信息。

    # 在RouterA上执行display ike sa操作,结果如下。

    [RouterA] display ike saIKE SA information :
  Conn-ID  Peer          VPN   Flag(s)   Phase   RemoteType  RemoteID
  --------------------------------------------------------------------------
   937    60.1.1.1:500         RD|ST     v1:2    IP          60.1.1.1
   936    60.1.1.1:500         RD|ST     v1:1    IP          60.1.1.1
                                   
  Number of IKE SA : 2
  --------------------------------------------------------------------------
                                                           
  Flag Description:           
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING


配置文件

  • RouterA的配置文件

    #
 sysname RouterA
#
acl number 3101
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop
 esp authentication-algorithm sha2-256   
 esp encryption-algorithm aes-128
#
ike proposal 5
 encryption-algorithm aes-128
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
ike peer rut
 version 1
 pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#
 ike-proposal 5
 remote-address 60.1.1.1
#
ipsec policy policy1 10 isakmp
 security acl 3101
 ike-peer rut
 proposal prop
#
ipsec policy policy1 shared local-interface LoopBack0
#
interface GigabitEthernet1/0/0
 ip address 70.1.1.1 255.255.255.0
 ipsec policy policy1
#
interface GigabitEthernet2/0/0
 ip address 80.1.1.1 255.255.255.0
 ipsec policy policy1
#interface GigabitEthernet3/0/0 ip address 10.1.1.1 255.255.255.0#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255
#
ip route-static 10.1.2.0 255.255.255.0 70.1.1.2 preference 10
ip route-static 10.1.2.0 255.255.255.0 80.1.1.2 preference 20
ip route-static 60.1.1.0 255.255.255.0 70.1.1.2 preference 10
ip route-static 60.1.1.0 255.255.255.0 80.1.1.2 preference 20
#
return

  • RouterB的配置文件

    #
 sysname RouterB
#
acl number 3101
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal prop
 esp authentication-algorithm sha2-256   
 esp encryption-algorithm aes-128
#
ike proposal 5
 encryption-algorithm aes-128
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
ike peer rut
 version 1
 pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%#
 ike-proposal 5
 remote-address 1.1.1.1
#
ipsec policy policy1 10 isakmp
 security acl 3101
 ike-peer rut
 proposal prop
#
interface GigabitEthernet1/0/0
 ip address 60.1.1.1 255.255.255.0
 ipsec policy policy1
#interface GigabitEthernet3/0/0 ip address 10.1.2.1 255.255.255.0#
ip route-static 1.1.1.1 255.255.255.255 60.1.1.2
ip route-static 10.1.1.0 255.255.255.0 60.1.1.2
ip route-static 70.1.1.0 255.255.255.0 60.1.1.2
ip route-static 80.1.1.0 255.255.255.0 60.1.1.2
#
return




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4644.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:385 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: