" />
侧边栏壁纸
  • 累计撰写 15 篇文章
  • 累计创建 16 个标签
  • 累计收到 6 条评论

目 录CONTENT

文章目录

配置总部采用冗余网关与分支建立IPSec隧道

Jhl
Jhl
2023-10-30 / 0 评论 / 2 点赞 / 58 阅读 / 0 字 / 正在检测是否收录...
温馨提示:
本文最后更新于2023-10-30,若内容或图片失效,请留言反馈。 部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

组网需求

如图所示,为提高可靠性,企业总部提供AR2和AR3两台网关供企业分支网关AR5接入,分支与总部通过公网建立通信。

企业希望对分支与总部之间相互访问的流量进行安全保护。

由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立IPSec隧道来实施安全保护。分支网关首先与总部网关AR2建立通信,如果连接建立失败,则分支网关与总部网关AR3建立通信。

image-zcvo.pngensp不支持配置多个remoteIP

配置思路

  1. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 配置ACL,以定义需要IPSec保护的数据流。

  3. 配置IPSec安全提议,定义IPSec的保护方法。

  4. 配置IKE对等体,定义对等体间IKE协商时的属性。

  5. 分别在AR2、AR3和AR5上创建安全策略,确定对何种数据流采取何种保护方法。其中AR2和AR3采用策略模板方式创建安全策略。

  6. 在接口上应用安全策略组,使接口具有IPSec的保护功能。

操作步骤

配置IP以及静态路由

AR1

<Huawei>sys
[Huawei]sys AR1

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 12.12.12.1 24
[AR1-GigabitEthernet0/0/0]q

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 13.13.13.1 24
[AR1-GigabitEthernet0/0/1]q

[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip ad 10.1.1.1 24
[AR1-GigabitEthernet0/0/2]q

[AR1]ip route-static 0.0.0.0 0 12.12.12.2
[AR1]ip route-static 0.0.0.0 0 23.23.23.2

AR2

<Huawei>sys
[Huawei]sys AR2

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 12.12.12.2 24
[AR2-GigabitEthernet0/0/0]q

[AR2]un in en
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 24.24.24.2 24
[AR2-GigabitEthernet0/0/1]q

[AR2]ip route-static 10.1.1.0 24 12.12.12.1
[AR2]ip route-static 45.45.45.0 24 24.24.24.4
[AR2]ip route-static 10.1.5.0 24 24.24.24.4

AR3

<Huawei>sys
[Huawei]sys AR3
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 34.34.34.3 24
[AR3-GigabitEthernet0/0/0]q

[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 13.13.13.3 24
[AR3-GigabitEthernet0/0/1]q

[AR2]ip route-static 10.1.1.0 24 13.13.13.1
[AR2]ip route-static 45.45.45.0 24 34.34.34.4
[AR2]ip route-static 10.1.5.0 24 34.34.34.4

AR4

<Huawei>sys
[Huawei]sys AR4
[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]ip add 24.24.24.4 24
[AR4-GigabitEthernet0/0/0]q

[AR4]int g0/0/1
[AR4-GigabitEthernet0/0/1]ip add 34.34.34.4 24
[AR4-GigabitEthernet0/0/1]q

[AR4]int g0/0/2
[AR4-GigabitEthernet0/0/2]ip add 45.45.45.4 24
[AR4-GigabitEthernet0/0/2]
[AR4-GigabitEthernet0/0/2]q

[AR4]ip route-static 12.12.12.0 24 24.24.24.2
[AR4]ip route-s 13.13.13.0 24 34.34.34.3
[AR4]ip route-s 10.1.1.0 24 24.24.24.2
[AR4]ip route-s 10.1.1.0 24 34.34.34.3
[AR4]ip route-s 10.5.1.0 24 45.45.45.5

AR5

<Huawei>sys
[Huawei]sys AR5

[AR5]int g0/0/0
[AR5-GigabitEthernet0/0/0]ip add 45.45.45.5 24
[AR5-GigabitEthernet0/0/0]q

[AR5]int g0/0/1
[AR5-GigabitEthernet0/0/1]ip add 10.1.5.5 24
[AR5-GigabitEthernet0/0/1]q

[AR5]ip route-static 0.0.0.0 0 45.45.45.4

配置ACL,定义各自要保护的数据流

由于AR2、AR3采用策略模板创建安全策略,引用ACL是可选操作。如果配置了ACL,则必须要指定ACL规则的目的地址,所以总部源就不配置acl

AR5

[AR5]acl  number 3100 
[AR5-acl-adv-3100]rule permit ip source 10.1.5.0 0.0.0.255 destination 10.1.1.0 
0.0.0.255
[AR5-acl-adv-3100]q
[AR5]

创建IPSec安全提议

AR2

[AR2]ipsec proposal 1
[AR2-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR2-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR2-ipsec-proposal-1]q

AR3

[AR3]ipsec proposal 1
[AR3-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR3-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR2-ipsec-proposal-1]q

AR5

[AR5]ipsec proposal 1
[AR5-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR5-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR5-ipsec-proposal-1]q

查看配置IPSec的信息

#以AR2为例
<AR2>display ipsec proposal

Number of proposals: 1

IPSec proposal name: 1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-256                             
                     Encryption     AES-128
                     
Number of proposals #当前IPSec安全提议总数。 
IPSec proposal name #安全提议的名称。 
Encapsulation mode #IPSec安全提议采用的模式,包括两种:传输(transport)和隧道(tunnel)模式。 
Transform #IPSec安全提议采用的安全协议,包括:ah-new、esp-new、ah-esp-new ,缺省情况下,IPSec安全提议使用的安全协议为ESP
ESP protocol #ESP协议采用的认证算法和加密算法

配置IKE对等体

AR2

#配置IKE安全提议
[AR2]ike proposal 1
[AR2-ike-proposal-1]authentication-algorithm sha1
[AR2-ike-proposal-1]encryption-algorithm  aes-cbc-128
[AR2-ike-proposal-1]q

#配置IKE对等体
[AR2]ike peer 1 v1
[AR2-ike-peer-1]pre-shared-key cipher 20wl
[AR2-ike-peer-1]ike-proposal 1
[AR2-ike-peer-1]q
[AR2]

AR3

[AR3]ike proposal 1
[AR3-ike-proposal-1]authentication-algorithm sha1
[AR3-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR3-ike-proposal-1]q

[AR3]ike peer 1 v1
[AR3-ike-peer-1]ike-proposal 1
[AR3-ike-peer-1]pre-shared-key cipher 20wl
[AR3-ike-peer-1]q

AR5

ensp不支持配置多个remoteIP

[AR5]ike proposal 1
[AR5-ike-proposal-1]authentication-algorithm sha1
[AR5-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR5-ike-proposal-1]q

[AR5]ike peer 1 v1
[AR5-ike-peer-1]ike-proposal 1
[AR5-ike-peer-1]pre-shared-key cipher 20wl
[AR5-ike-peer-1]remote-address 24.24.24.2
[AR5-ike-peer-1]remote-address 34.34.34.3
[AR5-ike-peer-1]q

创建安全策略,其中AR2和AR3采用策略模板方式创建安全策略

AR2

#配置策略模板,并在安全策略中引用该策略模板
[AR2]ipsec policy-template 1 1
[AR2-ipsec-policy-templet-1-1]ike-peer 1
[AR2-ipsec-policy-templet-1-1]proposal 1
[AR2-ipsec-policy-templet-1-1]q
[AR2]ipsec policy 2 1 isakmp template 1

AR3

#配置策略模板,并在安全策略中引用该策略模板
[AR3]ipsec policy-template 1 1
[AR3-ipsec-policy-templet-1-1]ike-peer 1
[AR3-ipsec-policy-templet-1-1]proposal 1
[AR3-ipsec-policy-templet-1-1]q
[AR3]ipsec policy 2 1 isakmp template 1

AR5

#配置安全策略
[AR5]ipsec policy 1 1 isakmp 
[AR5-ipsec-policy-isakmp-1-1]ike-peer 1
[AR5-ipsec-policy-isakmp-1-1]proposal 1
[AR5-ipsec-policy-isakmp-1-1]security acl 3100
[AR5-ipsec-policy-isakmp-1-1]q

在接口上应用各自的安全策略组,使接口具有IPSec的保护功能

AR2

[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ipsec policy 2
[AR2-GigabitEthernet0/0/1]q

AR3

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy 2
[AR3-GigabitEthernet0/0/0]q

AR5

[AR5]int g0/0/0	
[AR5-GigabitEthernet0/0/0]ipsec policy 1
[AR5-GigabitEthernet0/0/0]q

检查配置结果

ping测试

PC>ping 10.1.5.100

Ping 10.1.5.100: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
From 10.1.5.100: bytes=32 seq=3 ttl=126 time=47 ms
From 10.1.5.100: bytes=32 seq=4 ttl=126 time=62 ms
From 10.1.5.100: bytes=32 seq=5 ttl=126 time=47 ms

--- 10.1.5.100 ping statistics ---
  5 packet(s) transmitted
  3 packet(s) received
  40.00% packet loss
  round-trip min/avg/max = 0/52/62 ms

查看建立隧道关系

AR5

[AR3]display ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        2    45.45.45.5      0     RD                     2     
        1    45.45.45.5      0     RD                     1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
  
IKE SA information #安全联盟配置信息。 
Conn-ID #安全联盟的连接索引。 
Peer #对端的IP地址和UDP端口号。 
VPN #应用IPSec安全策略的接口所绑定的VPN实例。 
Flag(s) #安全联盟的状态:
  #RD--READY:表示此SA已建立成功。
  #ST--STAYALIVE:表示此端是通道协商发起方。
  #RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。
  #FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。
  #TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。
  #HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。
  #LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。
  #BCK--BACKED UP:表示备份状态。
  #M--ACTIVE:表示IPSec策略组状态为主状态。
  #S--STANDBY:表示IPSec策略组状态为备状态。
  #A--ALONE:表示IPSec策略组状态为不备份状态。
  #NEG--NEGOTIATING:表示SA正在协商中。
  #字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。
Phase #SA所属阶段:1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。2表示协商安全服务的阶段,此阶段建立IPSec SA。
RemoteType #对端ID类型。 
RemoteID #对端ID。 

AR1

<AR5>display ike sa 
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        2    34.34.34.3      0     RD|ST                  2     
        1    34.34.34.3      0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

2

评论区