题目表述
如图,FW1和FW2是主备方式的HA,FW1主用接入,FW2备用接入分支FW3和分支FW4都通过isp1线路,和FW1、FW2建立IPSec VPN隧道,当ISP1线路故障时,使用备用ISP2线路,FW1和FW2建立VPN隧道,其中FW3处在NAT设备后对外地址不固定
要求:流量优先通过ISP1建立了IPSEC隧道
接口情况
- FW1接口故障,流量切换到FW2-ISP1
- FW1接口故障以及ISP1故障,流量切换到FW2-ISP2
- 接口恢复后,流量恢复到FW1-ISP1
设备情况
- 当FW1故障后,流量FW2-ISP1
- 当FW1故障以及ISP1故障,流量FW2-ISP2
- 当设备故障恢复后,流量恢复到FW1-ISP1
答题思路
主备链路备份方式
-
总部防火墙创建四条ACL,两两相同,其中两条ACL指定总部到FW4,其中两条指定总部到FW3
-
总部防火墙创建对应的ike peer FW3&FW4,其中FW3不配置对端地址,FW4指定对端地址
-
总部创建两个ipsec策略组,每个策略组下包含两条策略分别针对FW3以及FW4,然后分别在G1/0/3以及G1/0/4接口上调用
-
总部针对FW3的策略调用策略模板,且在策略当中配置tunnel local 地址设置为VRRP地址,防止总部作为协商发起方时匹配失败
-
总部FW1以及FW2各自配置两条缺省路由,一条指向ISP1另外一条指向ISP2,且指向ISP1的缺省绑定ip-link探测ISP1的G0/0/0接口,一旦发现接口故障及时切换到ISP2
-
分支FW3处在NAT设备之后,创建两个tunnel接口且tunnel接口调用物理接口地址,创建两个ipsec策略组分别指定对端两个VRRP地址
-
将tunnel接口划分区域,且配置两条静态路由指定对端内网地址出接口选择tunnel接口,两条静态一主一备,主静态绑定ip-link探测对端防火墙跟ISP1对接接口的VRRP地址。
-
FW4跟FW3同理
-
FW1和FW2上保证HA主备关系,保证状态信息正常同步。
命令参考
FW1&FW2关键配置(其中FW1与FW2直接配置同步,因此仅需在FW1上配置即可)
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.32.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.32.0 0.0.0.255
acl number 3002
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.23.0 0.0.0.255
acl number 3003
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.23.0 0.0.0.255
#
ipsec proposal hub
#
ike proposal 10
#
ike peer FW4
pre-shared-key 123456
ike-proposal 10
remote-address 10.1.33.40
#
ike peer FW3
pre-shared-key 123456
ike-proposal 10
#
ipsec policy-template tmp1 1
security acl 3002
ike-peer FW3
proposal hub
#
ipsec policy-template tmp2 1
security acl 3003
ike-peer FW3
proposal hub
#
ipsec policy hub1 1 isakmp
security acl 3000
ike-peer FW4
proposal hub
ipsec policy hub1 2 isakmp template tmp
#
ipsec policy hub2 1 isakmp
security acl 3001
ike-peer FW4
proposal hub
ipsec policy hub2 2 isakmp template tmp
#
interface GigabitEthernet1/0/3
ipsec policy hub1
interface GigabitEthernet1/0/4
ipsec policy hub2
#
ip-link check enable
ip-link name ISP1
destination 10.1.40.11 interface GigabitEthernet1/0/3 mode icmp
#
ip route-static 0.0.0.0 0.0.0.0 10.1.9.11 track ip-link ISP1
ip route-static 0.0.0.0 0.0.0.0 10.1.10.12 preference 70
#
FW3关键配置(FW4同理)
acl number 3000
rule 5 permit ip source 10.1.23.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.1.23.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal FW3
#
ike proposal 10
#
ike peer hub1
pre-shared-key 123456
ike-proposal 10
remote-address 10.1.9.254
#
ike peer hub2
pre-shared-key 123456
ike-proposal 10
remote-address 10.1.10.254
#
ipsec policy spoke1 1 isakmp
security acl 3000
ike-peer hub1
proposal FW3
#
ipsec policy spoke2 1 isakmp
security acl 3001
ike-peer hub2
proposal FW3
#
interface Tunnel1
ip address unnumbered interface GigabitEthernet1/0/0
tunnel-protocol ipsec
ipsec policy spoke1
interface Tunnel2
ip address unnumbered interface GigabitEthernet1/0/0
tunnel-protocol ipsec
ipsec policy spoke2
#
firewall zone untrust
add interface Tunnel1
add interface Tunnel2
#
ip-link check enable
ip-link name ISP1
destination 10.1.9.254 interface GigabitEthernet1/0/0 mode icmp
#
ip route-static 10.1.2.0 255.255.255.0 Tunnel1 track ip-link ISP1
ip route-static 10.1.2.0 255.255.255.0 Tunnel2
配置结果查看
隧道化链路备份方式
- 总部创建tunnel接口并分配公网地址,保证底层路由能通
- 给tunnel接口划分区域,且配置静态路由(明细)出接口为tunnel
- 创建两条ACL分别指定对端为FW4和FW3内网网段
- 创建IPSec策略组,并创建两条策略序号分别针对FW4以及FW3,其中针对FW3的配置成策略模板方式
- 在Tunnel接口上调用ipsec策略组
- 分支的ipsec配置跟第一种方式同理
配置命令同上种方式!注意FW1&FW2上仅需要配置一个策略组两个策略在tunnel接口上调用即可。