防火墙技术案例双机热备负载分担组网下的IPSec配置Word文档下载推荐.docx
- 文档编号:19863425
- 上传时间:2023-01-11
- 格式:DOCX
- 页数:15
- 大小:413.82KB
防火墙技术案例双机热备负载分担组网下的IPSec配置Word文档下载推荐.docx
《防火墙技术案例双机热备负载分担组网下的IPSec配置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《防火墙技术案例双机热备负载分担组网下的IPSec配置Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
域,然后配置正确的安全策略,允许网络互通。
由于这些不是本案例的重点,因此不在此赘述。
完成以上配置后,就要开始配置双机热备功能了。
大家可以看到形成双机的两台防火墙(NGFW_C和
NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。
这无疑是非常经典的防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。
各位小伙伴们可以在华为的任
何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看
因此强叔只在此给岀双机热备的命令行配置和关键解释。
hrptrackactive//业务接口工作在三层,上下行连接路由器的组网需要配置hrptrack
hrptrackstandby//负载分担组网需要同时配置hrptrackactive和standby
#
interfaceGigabitEthernet1/0/3
ipaddress10.3.0.1255.255.255.0
hrptrackactive
hrptrackstandby
interfaceGigabitEthernet1/0/7
ipaddress10.10.0.1255.255.255.0
【强叔点评】各位小伙伴们在配置双机热备功能时,首先要确定的是防火墙业务接口的工作状态和上下行
连接的设备,然后据此采用不同的命令进行配置。
强叔在此先为大家简单总结下,如果小伙伴们想深入学
习,可以关注后面几期的侃墙”系列。
组网
配置命令
业务接口工作在三层,上下行连接二层设备
VRRP相关命令
业务接口工作在三层,上下行连接三层设备
在接口视图下配置(hrptrack)
业务接口工作在二层,上下行连接三层设备
在VLAN视图下配置(hrptrack)
2、配置IPSec。
【强叔点评】双机热备配置完成后,我们就开始配置IPSec功能,建立IPSecVPN隧道啦。
由于公司希望NGFW_C处理分支A(NGFW_A)发送到总部的流量,NGFW_D处理分支B(NGFW_B)发送到总部的流量,因此正常情况下我们需要在NGFW_C和NGFW_A之间建立一条隧道,在
NGFW_D和NGFW_B之间建立一条隧道。
这样看似已经满足需求了,但是如果NGFW_D出现故障了怎么办呢?
分支B发送到总部的流量不就
中断了吗?
小伙伴们仔细思考就会想到办法,我们需要在NGFW_C与NGFW_B,NGFW_D与
NGFW_A之间分别建立一条备用隧道(图中虚线表示)。
这样当NGFW_D出现故障时,分支B发送到总部的流量会通过备用隧道由NGFW_C发送到总部,就不会导致业务中断啦。
与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道。
同理在NGFW_D的
tunnell上与NGFW_A建立一条备份隧道,在tunnel2上与NGFW_B建立一条主用隧道。
这里需要
注意的是NGFW_C上的tunnell(tunnel2)地址需要与NGFW_D上的tunnell(tunnel2)地址保持
一致。
TuflHQtl
NCFW_C2.2J.1
^.active
Turin^l2
22,5.1
standby
NG~WB
Tunnol2
5P2.£
.5J
ACtlV*
我想这时小伙伴们又要问为什么了?
这样做的好处是在NGFW_A上只需要与对端的tunnell接口建立
隧道即可,NGFW_A不用去关心这个tunnell是NGFW_C还是NGFW_D的(因为他们的IP是一致的)。
同理NGFW_B只需要与对端的tunnel2接口建立隧道即可。
1)
定义受IPSecVPN保护的数据流。
HRP_A[NGFW_C]acl3005
HRP_A[NGFW_C-acl-adv-3005]rulepermitipsource10.1.2.00.0.0.255destination10.1.3.0
0.0.0.255
HRPA[NGFWC-acl-adv-3005]quit
HRP_A[NGFW_C]acl3006
HRPA[NGFWC-acl-adv-3006]rulepermitipsource10.1.2.00.0.0.255destination10.1.4.0
HRP_A[NGFW_C-acl-adv-3006]quit
【强叔点评】ACL3005定义的是总部与分支A之间的流量,ACL3006定义的是总部与分支B之间的流量。
2)
配置IPSec安全提议。
【强叔点评】如果创建IPSec安全提议后,不进行任何配置,则IPSec安全提议使用默认参数。
本案例中使用默认参数,小伙伴们可以根据自己的实际安全需求修改IPSec安全提议中的参数。
HRP_A[NGFW_C]ipsecproposaltran1
HRPA[NGFWC-ipsec-proposal-tran1]quit
3)
配置IKE安全提议。
本案例中使用IKE安全提议的默认参数。
HRPA[NGFWC]ikeproposal10
HRPA[NGFWC-ike-proposal-10]quit
4)
配置两个IKE对等体,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C]ikepeerngfw_a
HRP_A[NGFW_C-ike-peer-ngfw_a]ike-proposal10
HRP_A[NGFW_C-ike-peer-ngfw_a]remote-address1.1.1.1
HRP_A[NGFW_C-ike-peer-ngfw_a]pre-shared-keyAdmin@123HRP_A[NGFW_C-ike-peer-ngfw_a]quit
HRP_A[NGFW_C]ikepeerngfw_b
HRP_A[NGFW_C-ike-peer-ngfw_b]ike-proposal10
HRP_A[NGFW_C-ike-peer-ngfw_b]remote-address1.121
HRP_A[NGFW_C-ike-peer-ngfw_b]pre-shared-keyAdmin@123HRP_A[NGFW_C-ike-peer-ngfw_b]quit
5)配置两个IPSec策略,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C]ipsecpolicymap110isakmp
HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]securityacl3005
HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]proposaltran1
HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]ike-peerngfw_aHRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]quit
HRP_A[NGFW_C]ipsecpolicymap210isakmp
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]securityacl3006
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]proposaltran1HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]ike-peerngfw_b
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]quit
6)配置在Tunnel接口上应用IPSec策略。
【强叔点评】之前点评中提到我们需要在NGFW_C的tunnel1上与NGFW_A建立一条主用隧道,
在tunnel2上与NGFW_B建立一条备份隧道,这是通过在应用IPSec策略时设定active或standby参数来实现的。
HRP_A[NGFW_C]interfaceTunnel1
HRP_A[NGFW_C-Tunnel1]ipsecpolicymap1active
HRP_A[NGFW_C-Tunnel1]quit
HRPA[NGFWC]interfaceTunnel2
HRPA[NGFWC-Tunnel2]ipsecpolicymap2standby
HRP_A[NGFW_C-Tunnel2]quit
7)在NGFW_D上配置IPSeco
双机热备状态成功建立后,NGFW_C上配置的ACL、IPSec策略(包括其中的IPSec安全提议,IKE对等体)等都会自动备份到NGFW_D上。
只有在接口上应用IPSec策略的配置不会备份,需要在此手动配置。
HRP_S[NGFW_D]interfaceTunnel1
HRPS[NGFWD-Tunnel1]ipsecpolicymap1standby
HRPS[NGFWD-Tunnel1]quit
HRP_S[NGFW_D]interfaceTunnel2
HRPS[NGFWD-Tunnel2]ipsecpolicymap2active
HRP_S[NGFW_D-Tunnel2]quit
8)在NGFW_A和NGFW_B上配置IPSeco
NGFW_A和NGFW_B的配置比较简单,就是一个点到点方式的IPSec配置。
只要
将NGFW_A的IPSec隧道RemoteAddress配置为Tunnel1接口的IP地址;
NGFW_B
的IPSec隧道RemoteAddress配置为Tunnel2接口的IP地址就行了。
受篇幅所限,强叔就不详细讲了。
配置路由和路由策略。
双机热备和IPSec配置完成后,只要再保证NGFW_A与Tunnell接口的路由可达,就可以成功建立
IPSec隧道了。
但这时一个新的问题又出现了,那就是流量到达Router1后不知道是该送往NGFW_C
还是NGFW_D的Tunnel1接口了,如下图所示。
7741
KOLTer?
1Q.130/24
NQFW□
GE1/W3
33上.1/24
G61W1
11.21Z24
K2.221/24
GEW1
1111/24,
r,
而且我们还面临另外一个问题,那就是如何确保NGFW_A的回程流量能够回到NGFW_A呢?
回程流
2_23U
GE1/CO
33.^1/24
I
<
>
GFWti□/Il
NGFAC
¥
noiuier
量到达Router2后不知道是该发给NGFWC还是NGFWD。
NGFWA
卄id
GtIOti
3J.4.1/24
GfcIWl
2.2.3.
GEi.m
3331/2
CE1W1
11.1.1,04
QE1缈啟1^2-124
GE阿1
1121^4
Tynnflt
NGF1^C
„'
/t1A
10.130/24
1013.O-24
GFW3
lO.14C2-<
NGFWD
i
小伙伴们别急,强叔还是有办法的,
那就是通过路由策略来实现。
1)首先我们需要定义三条数据流,
一条匹配来自分支A的去和回的流量:
HRPA[NGFWC]acl2000
HRP_A[NGFW_C-acl-basic-2000]
rulepermitsource2.2.4.00.0.0.255
HRPA[NGFWC-acl-basic-2000]
rulepermitsource10.1.3.00.0.0.255
quit
一条匹配分支B的去和回的流量:
HRP_A[NGFW_C]acl2001
HRP_A[NGFW_C-acl-basic-2001]
rulepermitsource2.2.5.00.0.0.255
rulepermitsource10.1.4.00.0.0.255
第三条匹配来自分支A和B的去和回的流量:
HRP_A[NGFW_C]acl2002
HRP_A[NGFW_C-acl-basic-2002]
Tunral
2)然后我们需要配置几条路由策略,实现以下效果。
当双机热备负载分担状态正常时,来自分支A的去和回的流量通过NGFW_C时开销减少10:
HRP_A[NGFW_C]route-policyrppermitnode1
HRP_A[NGFW_C-route-policy]if-matchacl2000
HRP_A[NGFW_C-route-policy]if-matchbackup-statusload-balance
HRP_A[NGFW_C-route-policy]applycost-10
HRP_A[NGFW_C-route-policy]quit
当双机热备负载分担状态正常时,来自分支B的去和回的流量通过NGFW_C时开销增加10:
HRP_A[NGFW_C]route-policyrppermitnode2
HRP_A[NGFW_C-route-policy]
if-matchacl2001
if-matchbackup-statusload-balance
applycost+10
当NGFW_C作为主用设备(NGFW_D故障)时,来自分支A和B的去和回的流量通过NGFW_C时开销减少10:
HRP_A[NGFW_C]route-policyrppermitnode3
if-matchacl2002
if-matchbackup-statusactive
applycost-10
当NGFW_C作为备用设备(NGFW_C故障)时,来自分支A和B的去和回的流量通过NGFW_C时开销增加10:
HRP_A[NGFW_C]route-policyrppermitnode4
3)最后我们需要在OSPF中引入直连和静态路由,并将自身的路由发布岀去。
【强叔点评】这里引入的直连路由是Tunnel接口的路由;
引入的静态路由是下面配置的使回程流量进入隧道的路由。
HRPA[NGFWC]ospf1
HRPA[NGFWC]iproute-static10.1.3.024tunnel1
HRP_A[NGFW_C]iproute-static10.1.4.024tunnel2
HRPA[NGFWC-ospf-1]
import-routedirectroute-policyrp
HRP_A[NGFW_C-ospf-1]
import-routestaticroute-policyrp
area0.0.0.0
HRPA[NGFWC-ospf-1-area-0.0.0.0]
network3.3.3.00.0.0.255
HRP_A[NGFW_C-ospf-1-area-0.0.0.0]
network2.2.2.00.0.0.255
quit|
HRPA[NGFWC-ospf-1]quit
4)在NGFW_D上配置路由和路由策略。
按照NGFW_C的配置举一反三,我想各位小伙伴肯定没问题的
【结果验证】
1、当双机热备负载分担状态正常运行时,可以在Routerl上看到去往Tunnell目的地址为2.2.4.1)的流
量通过NGFW_C转发(下一跳为NGFW_C的物理接口IP地址2.2.2.1)。
而去往Tunnel2接口(目的地址为2.2.5.1)的流量通过NGFWD转发(下一跳为NGFWD的物理接口IP地址2.2.3.1)。
[Router1)displayospirout
15:
29:
1520L4Z05/05
□SPrPicmz*?
^%Iwit).Raut*?
rRoutLrL«
当双机热备负载分担状态正常运行时,可以在Router2上看到总部回复分支A(目的地址10.130)
的流量通过NGFW_C转发(下一跳为3.331);
总部回复分支B(目的地址10.1.4.0)的流量通过
NGFW_D转发(下一跳为3.3.4.1)。
[Router2]displayrouting
50^302014/05^05
OSPFProcase1withRouterID3.3.4.2
RoutingT$b】"
Routiagifox
Network
ion
Cost
Type
HextHop
AdvRcuter
Ar^a
3+3.3.0^24
1
Transit
3*3,3,2
10.10.0.1
0.0^0.0
3.3.4,0z;
4
4,2
10.10.0,2
QathD
2,2«
2.0<
24
z
3.3,3.1
10,10.0,1
0.0.0.0
2.2.3.D/P4
寸
Tran«
iT
J.3.4.1
IQ.10.0.2
O.0.Q.D
Routingfor
ASEs
Destination
Copt
T/p电
AdvRouter
ULljLdfV列
I]
Type2
ioao.o«
2
10,1h3.0/24!
rin
■3.1,3,1
10.to.0.1
Q
Typ^2
33.i.1
10.10*0.2
Typ©
5757371
10.10,0.1
1.1.1,0x24
3.3.-1.1
ioao.o.2
2.2.5.DZ24
3.3.-4.1
10.10,0.2
1.1-2.(1Z24
3.3.4.1
30.10.0.2
以上两步可以看出在路由层面,我们的配置满足了组网需求。
3、在NGFW_C和D上执行displayikesa、displayipsecsa命令查看IPSec的隧道建立情况。
下面仅给出NGFW_C上的截图,可以看到NGFW_C的tunnell接口与NGFW_A的GE1/0/1接口成
功建立隧道。
1RP_A[KdrW_C]displayikesacurrentikeso
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术 案例 双机 负载 分担 组网 IPSec 配置