HCIE-Security Day42:IPsec高可用技术

最新推荐文章于 2024-08-28 10:42:20 发布
最新推荐文章于 2024-08-28 10:42:20 发布
阅读量1.3k 收藏 8
点赞数 3
分类专栏: HCIE-Security 文章标签: 华为 安全 网络安全 HCIE 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/126415303
版权

为了提高网络可靠性,企业分支一般通过两条或者多条链路与企业总部建立IPSec连接。本节主要考虑如何感知IPSec链路状态并实现流量在多条IPSec之间按需切换,以保证业务的正常运行。

ipsec高可靠性涉及可以分为两类,一种是链路冗余,另一种是主备网关备份。其中链路冗余又有多种不同的实现方法。

主备链路备份

2:2模式

场景

FW1、FW2均有两个出口接入ISP,要求其中一个出口链路故障不会影响业务。

实现原理

FW1的两个物理接口分别应用不同的ipsec策略,FW2的两个物理接口也分别应用不同的ipsec策略。现网中比较少见,因为分支机构很少有两条链路接入公网,如果采用这种方法,配置上没有特别需要注意的。

2:1模式

场景

FWB有两个出口接入ISP,FWA只有一个出口接入ISP,要求FWB的一个出口链路故障不会影响业务。

实现原理

FWB的两个物理接口分别应用不同的ipsec策略,FWA的物理接口上创建两个tunnel,分别在两个tunnel上创建不同的ipsec策略。最常见的组网方式。注意不能使用子接口,子接口无法配置ipsec

实验一:两个网关之间配置IPSec VPN主备链路备份(双链路)

fw1的两个物理口分别应用不同的ipsec策略,fw2的物理口上创建两个tunnel,分别在两个tunnel上创建ipsec策略。

fw1的g0/0/2接口故障,业务切换到g0/0/3,相应 的fw2也要将业务从tunnel1切换到tunnel2,可以通过ip-link来检测链路,实现同步切换。

1、防火墙基本配置

#fw1

interface GigabitEthernet0/0/1

ip address 10.1.1.10 255.255.255.0

interface GigabitEthernet0/0/2

ip address 202.100.1.10 255.255.255.0

interface GigabitEthernet0/0/3

ip address 192.168.1.10 255.255.255.0

interface GigabitEthernet0/0/4

ip address 202.100.2.10 255.255.255.0

#fw2

interface GigabitEthernet0/0/1

ip address 10.1.2.11 255.255.255.0

interface GigabitEthernet0/0/2

ip address 10.1.21.10 255.255.255.0

interface GigabitEthernet0/0/3

ip address 192.168.1.11 255.255.255.0

2、安全策略配置

security-policy
 rule name ike
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 10.1.21.10 mask 255.255.255.255
  source-address 202.100.1.10 mask 255.255.255.255
  source-address 202.100.2.10 mask 255.255.255.255
  destination-address 10.1.21.10 mask 255.255.255.255
  destination-address 202.100.1.10 mask 255.255.255.255
  destination-address 202.100.2.10 mask 255.255.255.255
  service esp
  service isakmp
  action permit
 rule name pki
  source-zone dmz
  source-zone trust
  destination-zone dmz
  destination-zone trust
  source-address 10.1.1.0 mask 255.255.255.0
  source-address 192.168.1.1 mask 255.255.255.255
  destination-address 10.1.1.0 mask 255.255.255.0
  destination-address 192.168.1.1 mask 255.255.255.255
  action permit                           
 rule name ipsec                          
  source-zone trust                       
  source-zone untrust                     
  destination-zone trust                  
  destination-zone untrust                
  source-address 10.1.1.0 mask 255.255.255.0
  source-address 10.1.2.0 mask 255.255.255.0
  destination-address 10.1.1.0 mask 255.255.255.0
  destination-address 10.1.2.0 mask 255.255.255.0
  action permit

3、ip-link配置

ip-link check enable
ip-link name iplink1
 destination 202.100.1.11 interface GigabitEthernet0/0/2 mode icmp

4、负载静态路由配置

ip route-static 0.0.0.0 0.0.0.0 202.100.1.11 track ip-link iplink1
ip route-static 0.0.0.0 0.0.0.0 202.100.2.11 preference 200

5、fw1 ipsec策略配置

6、FW2创建tunnel接口

interface Tunnel1                         
 ip address unnumbered interface GigabitEthernet0/0/2# 借用公网接口地址
 tunnel-protocol ipsec                    

                                       
interface Tunnel2                         
 ip address unnumbered interface GigabitEthernet0/0/2# 借用公网接口地址
 tunnel-protocol ipsec                    
#务必将接口加入安全区域
firewall zone untrust
 
 add interface Tunnel1
 add interface Tunnel2

7、fw2配置ip-link

[FW2]ip-link name iplink2

 destination 202.100.1.11 interface GigabitEthernet0/0/2 mode icmp next-hop 10.1.21.254
 ip-link check enable

8、fw2配置静态路由

ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
ip route-static 0.0.0.0 0.0.0.0 10.1.21.254
ip route-static 10.1.1.0 255.255.255.0 Tunnel1 track ip-link iplink2
ip route-static 10.1.1.0 255.255.255.0 Tunnel2 preference 200

9、fw2 ipsec policy配置

10、连通性测试

11、检查fw2的路由表

实验二:两个网关之间配置IPSec VPN主备链路备份

需求和拓扑

FW_A通过主备两条链路接入Internet,主备接口使用固定的公网IP地址;FW_B通过一条链路接入Internet,出接口同样使用固定的公网IP地址。

要求实现如下需求:

  • FW_A和FW_B之间通过IPSec方式建立安全通信隧道,实现总部与分支之间的互访。
  • FW_A上的主链路发生故障时,业务可以自动切换到备链路;主链路恢复时,业务会自动回切到主链路。

操作和配置

1、配置防火墙接口IP地址和安全区域

1.1、fw1


interface GigabitEthernet1/0/0

 ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet1/0/1

 ip address 1.1.3.1 255.255.255.0
 service-manage ping permit


interface GigabitEthernet1/0/2

 ip address 1.1.4.1 255.255.255.0
 service-manage ping permit

firewall zone trust

 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
firewall zone untrust
 
 add interface GigabitEthernet1/0/1
 add interface GigabitEthernet1/0/2

1.2、fw2

interface GigabitEthernet1/0/0

 ip address 10.2.1.1 255.255.255.0

interface GigabitEthernet1/0/1

 ip address 2.2.2.2 255.255.255.0
 service-manage ping permit
 
firewall zone trust

 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0

firewall zone untrust
 
 add interface GigabitEthernet1/0/1
 add interface Tunnel1
 add interface Tunnel2

1.3、配置FW2的tunnel接口

FW1需要和FW2建立两条隧道,而FW2只有一个物理接口,所以需要在FW2上配置两个tunnel接口,来分别与FW1的主备接口建立隧道。当FW1发生主备链路切换时,FW2也会切换Tunnel接口,双方重新进行IPSec隧道协商。

在FW2上配置Tunnel1(主接口)和Tunnel2(备接口)两个Tunnel接口,分别与FW1上的主备接口对应。当FW1发生主备链路切换时,FW2也会切换到对应的Tunnel接口。

interface Tunnel1
 ip address unnumbered interface GigabitEthernet1/0/1
 tunnel-protocol ipsec


interface Tunnel2
 ip address unnumbered interface GigabitEthernet1/0/1
 tunnel-protocol ipsec
firewall zone untrust
 

 add interface Tunnel1
 add interface Tunnel2

2、配置防火墙ip-link和路由

2.1、配置fw1的ip-link和路由

配置两条FW1到FW2的路由,两条路由的优先级不同,实现路由备份。同时,为主路由绑定ip-link,用于检测主路由上的链路状态。当主路由上的链路发生故障时,系统会自动切换到备用路由。

#FW1
ip-link check enable
ip-link name HA1
 destination 2.2.2.2 interface GigabitEthernet1/0/1 mode icmp next-hop 1.1.3.2
ip route-static 2.2.2.2 255.255.255.255 1.1.3.2 track ip-link HA1
ip route-static 2.2.2.2 255.255.255.255 1.1.4.2 preference 200
ip route-static 10.2.1.0 255.255.255.0 1.1.3.2 track ip-link HA1
ip route-static 10.2.1.0 255.255.255.0 1.1.4.2 preference 200

2.1、配置fw2的ip-link和路由

在FW2上将需要保护的数据流通过路由引流到Tunnel接口。因为FW2上有两个Tunnel接口,所以需要配置两条到总部的路由,出接口为Tunnel1和Tunnel2,两条路由的优先级不同,实现路由备份。同时,为主路由绑定IP-Link,用于检测主路由上的链路状态。当主路由上的链路发生故障时,系统会自动切换到备用路由。

#FW2
ip-link check enable
ip-link name HA1
 destination 1.1.3.1 interface GigabitEthernet1/0/1 mode icmp next-hop 2.2.2.1
ip route-static 1.1.3.1 255.255.255.255 2.2.2.1
ip route-static 1.1.4.1 255.255.255.255 2.2.2.1
ip route-static 10.1.1.0 255.255.255.0 Tunnel1 track ip-link HA1
ip route-static 10.1.1.0 255.255.255.0 Tunnel2 preference 200

3、配置ipsec

3.1、fw1配置ipsec

3.1.1、配置感兴趣流

acl number 3000 
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255

3.1.2、配置ike安全提议

ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

3.1.3、配置ike对等体

ike peer FW2
 undo version 2
 pre-shared-key Huawei@123
 ike-proposal 1
 remote-address 2.2.2.2

3.1.4、配置ipsec安全提议

ipsec proposal FW1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

3.1.5、配置ipsec安全策略

ipsec policy FW1 10 isakmp
 security acl 3000
 ike-peer FW2
 proposal FW1
ipsec policy FW1B 20 isakmp
 security acl 3000
 ike-peer FW2
 proposal FW1

3.1.6、将ipsec安全策略绑定到接口上

FW1的GigabitEthernet 1/0/1、GigabitEthernet 1/0/2分别为主接口和备接口。需要在主备接口上应用相同的IPSec安全策略,当主接口发生故障时,系统自动将IPSec隧道切换至备接口。

interface GigabitEthernet1/0/1
ipsec policy FW1

interface GigabitEthernet1/0/2
ipsec policy FW1B

3.2、fw2配置ipsec

3.2.1、配置感兴趣流

acl number 3000
 rule 5 permit ip source 10.2.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

3.2.2、配置ike安全提议

ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

3.2.3、配置ike对等体

ike peer FW1
 undo version 2
 pre-shared-key Huawei@123
 ike-proposal 1
 remote-address 1.1.3.1
ike peer FW1B
 undo version 2
 pre-shared-key Huawei@123
 ike-proposal 1
 remote-address 1.1.4.1

3.2.4、配置ipsec安全提议

ipsec proposal FW2
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

3.2.5、配置ipsec安全策略

ipsec policy FW2 10 isakmp
 security acl 3000
 ike-peer FW1
 proposal FW2
ipsec policy FW2B 20 isakmp
 security acl 3000
 ike-peer FW1B
 proposal FW2

3.2.6、将ipsec安全策略绑定到接口上

在Tunnel1和Tunnel2上分别应用IPSec安全策略,当主接口发生故障时,系统自动将IPSec隧道切换至备接口。

interface Tunnel1
 ip address unnumbered interface GigabitEthernet1/0/1
 tunnel-protocol ipsec
 ipsec policy FW2

interface Tunnel2
 ip address unnumbered interface GigabitEthernet1/0/1
 tunnel-protocol ipsec
 ipsec policy FW2B

4、配置安全策略

#fw1&fw2
security-policy
rule name ike
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 1.1.3.1 mask 255.255.255.255
  source-address 1.1.4.1 mask 255.255.255.255
  source-address 2.2.2.2 mask 255.255.255.255
  destination-address 1.1.3.1 mask 255.255.255.255
  destination-address 1.1.4.1 mask 255.255.255.255
  destination-address 2.2.2.2 mask 255.255.255.255
  service esp
  service protocol udp destination-port 500
  action permit
 rule name trust_untrust
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  source-address 10.2.1.0 mask 255.255.255.0
  destination-address 10.1.1.0 mask 255.255.255.0
  destination-address 10.2.1.0 mask 255.255.255.0
  action permit
<
最低0.47元/天 解锁文章
信封同学
关注
专栏目录
IPSec高可用-隧道化链路备份
m0_49864110的博客
05-24 473
目录 基础配置 配置IPSec 配置路由 配置安全策略 防火墙——IPSec高可靠性(IPSec5)_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/124846824?spm=1001.2014.3001.5501 黑色是FW1和FW2相同的配置 绿色是FW1的配置 蓝色是FW2的配置 基础配置 根据图配置接口IP地址和安全区域 配置IPSec FW1两个物理接口,创建一个IPSec隧道(......
IPSec高可用-主备链路
m0_49864110的博客
05-24 650
防火墙——IPSec高可靠性(IPSec5)_多谢思考的博客-CSDN博客根据图配置接口IP地址和安全区域。
安全进阶:防火墙双机组网环境中的 IPSecVPN 实验配置
网络技术联盟站
08-07 725
在完成配置后,FW3会与主防火墙FW1完成IPSecVPN隧道的建立,FW1会将建立好的IPSecSAs同步到备份防火墙FW2上,主备防火墙的IPSec SAs的策略、入站及出站的SPI都是一样的。IPSecVPN相关策略的配置在主防火墙FW1上配置即可,这些配置会自动同步到备份防火墙FW2上,不过,在接口上应用IPSec Policy的这一条命令,是需要在主备防火墙相应的接口上都做配置的,因为这条命令不会自动同步。配置完成后,FW1/FW2会进行主备协商,FW1成为主防火墙,FW2成为备份防火墙。
IPsec VPN 主备链路备份及流统
最新发布
niaooer的博客
08-28 214
【代码】IPsec VPN 主备链路备份及流统。
IPSec高可用技术
weixin_30266885的博客
12-14 545
IPSec VPN的高可用技术:①、DPD(Dead Peer Detection)对等体检测 ——旨在检查有问题的IPSec VPN网络,并快速的切换到备用网关②、RRI(Reverse Route Injection)反向路由注入 ——解决高可用性的路由问题 ****************DPD*****...
防火墙——IPSec高可靠性(IPSec5)
m0_49864110的博客
05-18 1284
IPSec通道链路固定IP接入,备IPSec通道链路采用固定或拨号接入(需要建立多个IPSec)将IPSec策略应用到Tunnel接口中,然后多个物理接口做备份(只需要建立一个IPSecIPSec高可用-主备链路_vpp ipsec主备_静下心来敲木鱼的博客-CSDN博客。IPSec高可用——设备冗余实验配置_静下心来敲木鱼的博客-CSDN博客。冗余的两台FW做双机热备,在物理口上引用IPSec安全策略(正常配置)IPSec高可用-隧道化链路备份_静下心来敲木鱼的博客-CSDN博客。
04 IPSec 高可用技术
retacn_yue的专栏
11-25 128
HCIE-Security Day35:IPSec-NAT-T
小梁的博客
04-04 1886
NAT穿越场景 在ipsec pn部署中,如果发起者比如fwc位于私网内部,而它希望与fwa之间直接建立一条ipsec隧道,这种情况下nat会对部署ipsec pn网络造成障碍。 在多站点企业中,有的站点连动态的公网IP地址都没有,只能先由网络中的nat设备进行地址转换,然后才能访问internet,此时如果同时需要和另一个站点建立ipsec通道的话,就存在问题。 IPSec是用来保护报文不被修改的,而NAT却专门修改报文的IP地址,所以肯定存在问题。 协商IPSec的过程是由isakmp报文完成的
HCIE-Security Day1:防火墙概述、实验环境搭建、三种方式管理防火墙
小梁的博客
02-09 4401
防火墙了解 路由器、交换机、防火墙是最重要的三类网络设备。 交换机是部署在企业内部,用于实现局域网络互联,vlan划分的功能。路由器是部署在企业网络边缘,实现与其他节点,分支机构或者互联网连接的设备。园区网络内部,一般包含办公区,普通用户的业务一般在这里,数据中心,部署了很多服务器。为了保证企业网络的安全性,需要部署防火墙,防火墙一般部署在数据中心的出口、路由器与核心交换机之间,即网络的内外边界,用于防止非法访问和攻*击。 防火墙一般还会旁挂DMZ区,叫做非军事化区,DMZ区中也部署了一些服务器,..
HCIE-Security Day30:IPSec:实验(五)配置基于路由的IPSec PN(采用预共享密钥认证
小梁的博客
03-21 5201
IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。 此前使用的都是acl方式定义的感兴趣流。 还有一种方式是路由方式。 通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由到ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。 简化配置:不需使用acl定义流量特征 支持动态路...
HCIE-Security Day26:IPSec:实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证
小梁的博客
03-16 5610
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证) 组网需求 网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接。 网络B属于10.1.2.0/24子网,通过接口GigabitEthernet 0/0/3与FW_B连接。 FW_A和FW_B路由可达。 通过组网实现如下需求:在FW_A和FW_B...
IPSec网关主备双机热备实验.docx
01-06
网络攻防原理与技术
一文搞懂IPSEC高可用技术
m0_67804955的博客
04-12 1716
ipsec 使用情况目前仍然比较普遍,总部这边如果为了避免单点故障,就会使用一些高可靠技术,本文对几种常见的高可靠技术进行了实验,对各位需要用到该技术的同事有很好的效果
IPSec高可用——设备冗余实验配置
m0_49864110的博客
05-31 543
FW1和FW2使用相同隧道口,建立一个IPSec通道-----Tunnel接口加入Untrust安全区域。和FW2的配置相同,正常配置感兴趣流、IKE安全提议、IKE对等体、IPSec安全提议。tunnel local 121.0.0.254 配置隧道的本端地址。双机热备——上下层路由器主备备份(负载分担)_多谢思考的博客-CSDN博客。正常配置IPSec(IKE对等体的对端地址指的时Tunnel口地址)接口IP地址根据图上配置、并加入相应的安全区域。同上下层为路由器的双机热备配置(主备备份模式)
华为防火墙链路检测工具(IP-LINK,BFD)
热门推荐
qq_47529104的博客
03-21 1万+
IP-LINK 三个检测周期15s后未收到响应报文则认为故障 收到三次响应后才认为故障消除 ip-link xxx //创建ip-linkdestination 1.1.1.1 interface xxx mode xx next-hop 2.2.2.2ip-link check enable //开启ip-link检查 tx-interval xx //设置发送间隔 times xx //设置超时次数 display ip-link//显示iplink IP-link作为一个链路测试工具,...
华为防火墙实验基础篇-1
SSR_ZZ的博客
05-30 3239
安全区域配置、管理(SSH、WEB)、DHCP、PPPoE、NAT、Portal认证
3-防火墙高可靠性
qianlai22的博客
04-01 2687
1.IP-Link技术 IP-link定义 IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障。 FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等。 当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link
防火墙 tunnel(GRE隧道)+×××配置过程分析
weixin_34018202的博客
12-28 3668
tunnel:指保留原始IP数据流的情况下封装成另一种带有新IP报头(注:新IP为tunnel中的source、destination,这两个地址必须是UP状态的接口IP(包括虚接口),且两者能够通讯(包括路由可达、×××等。×××原始IP数据流协议为GRE时,两者ping不通,但也能够通讯的))的数据流,从而以新IP数据流路由转发出去;接收端通过tunnel解封装,得到原始...
《网络基础》p84.interface gigabitethernet 0/0/0报错
sparrow_fly_2021的博客
06-26 1万+
eNSP:(1)进入接口视图,输入interface gigabitethernet 0/0/0报错, (2)进入接口视图后,给输入ip address,设置路由器接口IP地址报错。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值