目录
锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份
锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份
功能介绍
RSR系列路由器支持基于VRRP虚接口IP来进行IPSEC的协商。
应用场景
企业的总部有两个出口路由器用来做IPSEC VPN,一主一备,正常情况下,总部和分支机构的数据从主用路由器转发,企业对网络的可靠性要求比较高,当主用路由器出现故障时,能够自动切换到备用路由器,保证总部和分支机构之间还能够正常传输数据、共享资料,那么可以在总部的两个出口路由器上启用基于VRRP的IPSEC冗余备份的功能。
一、组网需求
某企业总部使用R1、R2两台路由器起VRRP连接至互联网,各分支需通过与总部路由器建立IPSEC VPN来对互访的数据进行加密。
同时为了保证两台出口路由器能够起到冗余备份作用,各分支都与VRRP虚IP建立IPSEC VPN。
二、组网拓扑
三、配置要点
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
2、在总部出口路由器上配置动态态IPSEC VPN隧道
(1)R1 VRRP配置
(2)R2 VRRP配置
3、在总部路由器上配置路由,将各分支网段路由指向出口
(1)配置isakmp策略
(2)配置预共享密钥
(3)配置ipsec加密转换集
(4)配置动态ipsec加密图
(5)将动态ipsec加密图映射到静态的ipsec加密图中
(6)将加密图应用到接口
4、在分支路由器上配置静态IPSEC VPN隧道
5、在分支路由器上配置路由,将总部网段路由指向出口
(1)配置ipsec感兴趣流
(2)配置isakmp策略
(3)配置预共享密钥
(4)配置ipsec加密转换集
(5)配置ipsec加密图
(6)将加密图应用到接口
注意:
- 需要使用IPSEC互访的IP网段不能重叠。
- RSR50/RSR50E涉及IPSEC功能必须配备AIM-VPN加密卡(如何查看RSR50/RSR50E是否已经配备AIM-VPN加密卡,请查看本文最后的附录部分)
四、配置步骤
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
保证在分支路由器上能够ping通总部路由器外网口公网IP地址。
2、在总部路由器R1、R2上部署VRRP
(1)R1 VRRP配置
interface GigabitEthernet 0/0
ip address 10.0.0.2 255.255.255.0
vrrp 1 priority 110//指定R1 VRRP优先级为110(高于默认100),正常情况下使R1为vrrp master
vrrp 1 ip 10.0.0.1//指定VRRP虚IP为10.0.0.1
(2)R2 VRRP配置
interface GigabitEthernet 0/0
ip address 10.0.0.3 255.255.255.0
vrrp 1 ip 10.0.0.1//指定VRRP虚IP为10.0.0.1
3、在总部出口路由器R1、R2上配置动态态IPSEC VPN隧道
(1)配置isakmp策略
crypto isakmp policy 1//创建新的isakmp策略
encryption 3des //指定使用3DES进行加密
authentication pre-share//指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
(2)配置预共享密钥
crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0//配置预共享密钥为“ruijie”,客户端需配置相同的预共享密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端
(3)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac//指定ipsec使用esp封装des加密、MD5检验
(4)配置动态ipsec加密图
crypto dynamic-map dymymap 5//新建名为“dymymap”的动态ipsec加密图
set transform-set myset //指定加密转换集为“myset”
(5)将动态ipsec加密图映射到静态的ipsec加密图中
crypto map mymap 10 ipsec-isakmp dynamic dymymap //将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中
(6)将加密图应用到接口
interface GigabitEthernet 0/0
crypto map mymap
4、在总部路由器R1、R2上配置路由,将各分支网段路由指向出口
ip route 192.168.1.0 255.255.255.0 10.0.0.4
ip route 192.168.2.0 255.255.255.0 10.0.0.4
ip route 192.168.3.0 255.255.255.0 10.0.0.4
......
5、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic//配置IPSEC DPD探测功能
crypto isakmp policy 1//创建新的isakmp策略
authentication pre-share //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
encryption 3des//指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.1 //指定peer 10.0.0.1的预共享密钥为“ruijie”,该密钥必须与总部路由器上配置的密钥一致。如使用数字证书/信封认证则无需配置。
注意:该peer地址为总部路由器R1、R2的VRRP虚IP.
(4)配置ipsec加密转换集
crypto ipsec transform-set mysetesp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.1//指定peer地址
set transform-set myset//指定加密转换集为“myset”
match address 101//指定感兴趣流为ACL 101
注意:该peer地址为总部路由器R1、R2的VRRP虚IP。
(6)将加密图应用到接口
interface dialer 0
crypto map mymap
6、在分支路由器上配置路由,将总部网段路由指向出口
ip route 192.168.0.0 255.255.255.0 dialer 0
五、配置验证
1、在R1工作正常的情况下,分支与R1建立ipsec vpn
2、将R1的外网口G0/0 shutdown,此时VRRP master切换到R2上。同时由于分支配置了DPD功能,因此检测到R1故障,清除与R1建立的ISAKMP/IPSEC SA;此时若有新的流量访问总部,则会与R2建立ISAKMP/IPSEC SA。