IPSec VPN主备模式

最新推荐文章于 2024-08-05 10:34:41 发布
最新推荐文章于 2024-08-05 10:34:41 发布
阅读量450 收藏 6
点赞数
分类专栏: 华为防火墙USG实验 文章标签: 网络 安全 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SSR_ZZ/article/details/133133472
版权

一、拓扑图

在这里插入图片描述
FW1作为Master设备与FW3建立IPSec隧道,FW2作为备份设备。

二、底层配置

R1:
接口IP地址、OSPF配置

sysname R1
#
interface GigabitEthernet0/0/0
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 10.1.121.1 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 10.1.131.1 255.255.255.0
#
ospf 1
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255
#

FW1:
接口配置IP地址、划分安全区域,配置OSPF并下放默认路由,
配置HRP,FW1为主设备,追踪下行接口状态
配置安全策略,放行USG本省发起的流量
配置静态路由

sysname FW1
#
hrp enable
hrp interface GigabitEthernet1/0/1 remote 10.0.0.13
hrp track interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 155.1.1.12 255.255.255.0
#
interface GigabitEthernet1/0/1
 ip address 10.0.0.12 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.1.121.12 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 add interface GigabitEthernet1/0/1
#
ospf 1
 default-route-advertise
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255
#
ip route-static 0.0.0.0 0.0.0.0 155.1.1.2
#
security-policy
 rule name local->any
  source-zone local
  action permit
#

FW2:
接口配置IP地址、划分安全区域,配置OSPF并下放默认路由,
配置HRP,FW2为备设备
配置安全策略,放行USG本省发起的流量
配置静态路由

sysname FW2
#
 hrp enable
 hrp standby-device
 hrp interface GigabitEthernet1/0/1 remote 10.0.0.12
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 155.1.1.13 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.0.0.13 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.1.131.13 255.255.255.0
#
firewall zone dmz
 add interface GigabitEthernet1/0/1
#
ospf 1
 default-route-advertise
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255
#
ip route-static 0.0.0.0 0.0.0.0 155.1.1.2
#
security-policy
 rule name local->any
  source-zone local
  action permit
#

R2:

sysname R2
#
interface GigabitEthernet0/0/0
 ip address 155.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 155.1.2.2 255.255.255.0
#

FW3:

sysname FW3
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 155.1.2.14 255.255.255.0
 ipsec policy POL1
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.2.14 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 155.1.2.2
#
security-policy
 rule name local->any
  source-zone local
  action permit
#

在这里插入图片描述
在这里插入图片描述

查看HRP状态

在这里插入图片描述
如果配置未同步,可以手动同步配置

hrp sync config

在这里插入图片描述

查看OSPF邻居状态及路由

在这里插入图片描述
在这里插入图片描述

三、配置VRRP

FW1作为Master,FW2作为Backup
FW1:

interface GigabitEthernet1/0/0
 vrrp vrid 1 virtual-ip 155.1.1.254 active
 #

FW2:

interface GigabitEthernet1/0/0
 vrrp vrid 1 virtual-ip 155.1.1.254 standby
#

查看VRRP主备状态

在这里插入图片描述
在这里插入图片描述

四、配置IPSec VPN

注意FW1、FW2使用VRRP虚拟地址建立VPN,FW1为主,FW为备
在FW1上配置,会同步配置到FW2
FW1:

acl number 3000
 rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#
ipsec proposal PRO1
 esp authentication-algorithm sha1
 esp encryption-algorithm 3des
#
ike proposal 10
 encryption-algorithm 3des
 dh group2
 authentication-algorithm sha1
 authentication-method pre-share
#
ike peer FW3
 pre-shared-key huawei@123
 ike-proposal 10
 dpd type periodic
 remote-address 155.1.2.14
#
ipsec policy POL1 10 isakmp
 security acl 3000
 ike-peer FW3
 proposal PRO1
 tunnel local 155.1.1.254
#
interface GigabitEthernet1/0/0
 ipsec policy POL1 master
#

FW3:

acl number 3000
 rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#
ipsec proposal PRO1
 esp authentication-algorithm sha1
 esp encryption-algorithm 3des
#
ike proposal 10
 encryption-algorithm 3des
 dh group2
 authentication-algorithm sha1
 authentication-method pre-share
#
ike peer Hub
 pre-shared-key huawei@123
 ike-proposal 10
 dpd type periodic
 remote-address 155.1.1.254
#
ipsec policy POL1 10 isakmp
 security acl 3000
 ike-peer Hub
 proposal PRO1
#
interface GigabitEthernet1/0/0
 ipsec policy POL1 
#

五、配置安全策略

放行IKE协商流量、ESP流量
放行主机互访的流量
FW1的安全策略会同步到FW2

FW1、FW3:

security-policy
 rule name vpn
  source-zone untrust
  destination-zone local
  service esp
  service protocol udp destination-port 500
  action permit
 rule name in->out
  source-zone trust
  destination-zone untrust
  source-address 10.1.0.0 mask 255.255.0.0
  destination-address 10.1.0.0 mask 255.255.0.0
  action permit
 rule name out->in
  source-zone untrust
  destination-zone trust
  source-address 10.1.0.0 mask 255.255.0.0
  destination-address 10.1.0.0 mask 255.255.0.0
  action permit
#

测试PC互访

在这里插入图片描述
在这里插入图片描述

查看IKE SA

在这里插入图片描述
此时FW1为VPN的主设备

查看IPSec SA

在这里插入图片描述

模拟故障

模拟下行链路故障

去掉FW1与R1的连线
在这里插入图片描述

PC1长pingPC2,故障期间丢失几个包后,流量恢复
在这里插入图片描述

查看HRP状态,FW2已成为主设备
在这里插入图片描述

查看IKE SA,FW1为VPN的备设备,FW2成为主设备,流量走FW2
在这里插入图片描述
在这里插入图片描述

开启防火墙的icmp超时发送,trace路径,可以看出此时流量走FW2设备

icmp ttl-exceeded send

在这里插入图片描述
在这里插入图片描述

上行链路故障也可以正常切换,与上面情况相似,此处不再赘述。
在这里插入图片描述

故障恢复后,HRP抢占延迟默认为60s。

SSR_ZZ
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IPSec高可用-主备链路
m0_49864110的博客
05-24 629
防火墙——IPSec高可靠性(IPSec5)_多谢思考的博客-CSDN博客根据图配置接口IP地址和安全区域。
IPSec高可用——设备冗余实验配置
m0_49864110的博客
05-31 526
FW1和FW2使用相同隧道口,建立一个IPSec通道-----Tunnel接口加入Untrust安全区域。和FW2的配置相同,正常配置感兴趣流、IKE安全提议、IKE对等体、IPSec安全提议。tunnel local 121.0.0.254 配置隧道的本端地址。双机热备——上下层路由器主备备份(负载分担)_多谢思考的博客-CSDN博客。正常配置IPSec(IKE对等体的对端地址指的时Tunnel口地址)接口IP地址根据图上配置、并加入相应的安全区域。同上下层为路由器的双机热备配置(主备备份模式
IPSEC模式分析三
weixin_34008805的博客
10-18 216
1.作用 这个过程主要任务是认证。(通过1-2和3-4的协商已经具备策略和密钥所以这个阶段已经在安全环境中进行了) 2.第五个包的格式 从上图可以看出,模式只主模式,载荷联系身份认证,FLAGS这个开源参考IETF IP 安全标识数据的特定细节。(这些已经比较难了) 3.第六个包格式  说明此文档只是验证了共享密钥的验证方法,证书验证在以后的文章中给出。...
IPSEC模式配置(HCL)+思路
最新发布
a64564的博客
08-05 479
---------------------------------------------实现公网互联------------------------------------------[总部-ike-keychain-1]pre-shared-key address 200.0.0.2 24 key simple 12345。[总部-ipsec-policy-isakmp-1-1]dis th。[分部-ipsec-policy-isakmp-1-1]DIS TH。
数据传输安全--IPSEC
banliyaoguai的博客
07-23 1181
默认使用IP地址作为身份标识(因为身份验证是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取预共享密钥计算,要是等身份标识的话等不下去了,所以只能看IP地址了,然后在第五六个数据包的时候再进行身份认证确认,所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用预共享密钥进行身份认证,然后这个预共享密钥可能一个人和另外好几个人都有。注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低。
思科防火墙IPsec配置-主模式方式(基于9.9版本)
xiayu0912的专栏
02-06 2092
思科防火墙9.9版本,配置Ipsec模式
思科防火墙IPsec配置-主模式方式(基于8.0版本)
xiayu0912的专栏
01-18 1855
cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。配置从192.168.1.0到192.168.3.0的数据包不做地址转换,该网络拓扑比较简单,可以不配置,但是真实环境比较复杂,一般都需要配置,故这里也配置上。网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。
IPsec (主模式,野蛮模式
七汣的博客
02-04 2281
IPsec vpn的主模式和野蛮模式
2. 详解 IPSEC 的认证模式、主模式和野蛮模式
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
安全防御 IPsec VPN
upmans的博客
04-21 1639
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1.防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2.防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
云上 AWS 云下本地数据中心内网 IP 地址段相 同通过静态地址转换实现 IPSEC 互联互通 (解决IPsec网段冲突问题)
scliubingxin的博客
04-24 2717
如有疑问请加作者微信qw596583587咨询1规划设计1.1 功能需求客户本地数据中心一台服务器迁移上云后服务器 IP 和本地数据中心服务器同在192.168.9.0/24 网段。现在因业务需要,要求两分支通过 IPSEC 互联,实现业务互访。 1.2 组网设计如图所示,本地数据中心出口为一台华为 USG6300 NGFW,本地数据中心服务器网段 为 192.168.9.0/24,云上分为公有子...
IPSec网关主备双机热备实验.docx
01-06
网络攻防原理与技术
IPSEC流程例子及两个阶段的协商过程详细介绍
qq_44910432的博客
04-16 4369
IPSEC流程例子及两个阶段的协商过程详细介绍
IPsec的主模式(Main mode)和积极模式(Aggressive mode)
weixin_33701294的博客
03-13 1092
模式和积极模式的信息交换机制不同。 主模式有6条消息要交换,2个一组对称。主模式中,第1、2条信息中,双方交换了一些协商信息,如认证算法(hash)、加密算法、DH组、认证机制等。第3、4条信息中,双方交换了公钥,在交换了公钥之后,就可以根据DH算法生成后续所需的密钥了(SKEYID),其中包括给数据加密的对称密钥。第5、6条消息中交换ID,这个ID就是域名这类信息。...
IPsec 9个包分析(主模式+快速模式
热门推荐
遇见你是我最美丽的意外
03-06 2万+
第一阶段:ISAKMP协商阶段 1.1 第一包 包1:发起端协商SA,使用的是UDP协议,端口号是500,上层协议是ISAKMP,该协议提供的是一个框架,里面的负载Next payload类似模块,可以自由使用。可以看到发起端提供了自己的cookie值,以及SA的加密套件,加密套件主要是加密算法,哈希算法,认证算法,生存时间等。 Initiator cookie:817622ea0136...
华为ensp防火墙双出口GRE over IPSEC主备切换
白话聊网络的博客
11-03 1966
IPSEC 对两个私网流量加密,通过GRE进行选路,通过静态路由来控制选路,但是主链路中的热任何节点故障,防火墙的主备ipsec流量该如何切换成为难题,这里用NQA和静态的联动,非常的可以解决该问题。配置nqa,只要你中间链路路由可达,指明目的地址,防火墙就开始发送nqa探测报文了。中间路由就是用动态协议打通网络,ospf isis 静态都可以,不是重点配置。本期实验适用在防火墙ipsec vpn多出口的场景,看拓扑。为两个gre隧道口创建两个ipsec名。配置ipsec流量进入gre隧道流量。
【华为_安全】防火墙IPsec双机实验
weixin_53337011的博客
12-08 2762
学习华为防火墙IPsec双机实验记录拓扑。
防火墙:配置IPSec VPN
weixin_42494218的博客
11-15 633
在思科 FPR1120-ASA-K9 上设置 IPSec VPN.
IPSec VPN 原理与配置
m0_73258133的博客
04-20 2553
VPN就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直 接相连,但通常情况下它们会相隔较远的距离。对于定义的“受保护”一词,可以从以下几个方面理解。实际工作环境中的VPN解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式 决定。而且很多企业可能采用不止一种的VPN解决方案。
ipsec网关主备双机热备
06-11
您的问题是关于ipsec网关主备双机热备的实现。 在ipsec网关主备双机热备方案中,主机和备机之间会建立一个心跳连接,以便及时检测到主机的故障并切换到备机。一般情况下,心跳连接会使用一些高可靠性的协议,如VRRP(虚拟路由器冗余协议)或HSRP(热备份路由协议)。 在主备双机热备方案中,主机和备机之间的状态会实时同步,以确保备机可以在主机故障时立即接管主机的工作。此外,主备双机热备方案还可以使用一些其他技术,如负载均衡、故障切换等,以提高系统的可用性和可靠性。 总之,ipsec网关主备双机热备方案可以有效地提高系统的可用性和可靠性,确保网络安全性和稳定性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值