防火墙技术案例双机热备负载分担组网下的IPSec配置

1、【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置 论坛的小伙伴们，大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN小伙伴们肯定首先想到的是最经典的IPSec VPN而且我想大家对IPSec 的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署 IPSec VPN又 该如何操作呢有什么需要注意的地方呢本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。【组网需求】 如下图所示，总部防火墙 NGFW_郊NGFW_D负载分担方式工作，具上下行接口都工作在 三层，并与上下行路由器之间运行 OSPF*议。（本例中，NGFWb下一

2、代防火墙USG6600 的简称，软件版本为 USG6600V100R001C10现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C理分支A发送到总部的流 量，NGFW_D理分支B发送到总部的流量。当NGFW_C NGFW_D一台防火墙出现故障时， 分支发往总部的流量能全部切换到另一台运行正常的防火墙。【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个 问题的方法。1、如何使两台防火墙形成双机热备负载分担状态两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需 要在防火墙上配置 VGMPS （即hrp track 命令

3、）来监控上下行业务接口。如果是负载 分担状态，则需要在每台防火墙上调动两个 VGMIfi （ active组和standby组）来监控 业务接口。2、分支与总部之间如何建立IPSec隧道正常状态下，根据组网需求，需要在 NGFW_ANGFW_C间建立一条隧道，在 NGFW_B 与NGFW_D间建立一条隧道。当 NGFW_C NGFW_D中一台防火墙故障时，NGFW_A NGFW_B会与另外一台防火墙建立隧道。3、总部的两台防火墙如何对流量进行引导总部的两台防火墙（NGFW_CNGFW）D通过路由策略来调整自身的Cost值，从而实现 正常状态下来自NGFW_A量通过NGFW_C发，来自NGFW_

4、m量通过NGFW_D发， 故障状态下来自NGFW_A NGFW_B流量都通过正常运行的防火墙转发。【配置步骤】1、配置双机热备功能。在配置双机热备功能前，小伙伴们需要按照上图配置各接口的IP地址，并将各接口加入相应的安全区域，然后配置正确的安全策略，允许网络互通。由于这些不是本案例的 重点，因此不在此赘述。完成以上配置后，就要开始配置双机热备功能了。 大家可以看到形成双机的两台防火墙 （NGFW_CNGFW_D载分担处理流量）的上下行接口都工作在三层，而且连接的是路 由器。这无疑是非常经典的“防火墙业务接口工作在三层，上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看

5、到此经典举例，无论是命令行配置举例还是WeM己置举例，大家想怎么看就怎么看因此强叔只在此给出双机热备的命令行配置和关键解释。#hrp mirror session enable /负载分担组网必须配置此命令hrp enable /启用双机热备功能hrp ospf-cost adjust-enable /根据主备状态调整 OSPF勺 COST?hrp interface GigabitEthernet 1/0/7 /指定心跳接口#interface GigabitEthernet 1/0/1ip addresshrp track active 业务接口工作在三层，上下行连接路由器的组网需要配置

6、hrp track hrp track standby /负载分担组网需要同时配置 hrp track active 和standby#interface GigabitEthernet 1/0/3ip addresshrp track activehrp track standby#interface GigabitEthernet 1/0/7ip address【强叔点评】各位小伙伴们在配置双机热备功能时，首先要确定的是防火墙业务接口的工 作状态和上下行连接的设备，然后据此采用不同的命令进行配置。强叔在此先为大家简单 总结下，如果小伙伴们想深入学习，可以关注后面几期的“侃墙”系列。且网配置

7、命令“务接口工作在三层，上下行连接二层设备VRRPf关命令“务接口工作在三层，上下行连接三层设备在接口视图下配置(hrp track )“务接口工作在二层，上下行连接三层设备在VLANB图卜配置(hrp track )2、配置 IPSeCo【强叔点评】双机热备配置完成后，我们就开始配置IPSec功能，建立IPSec VPN1道啦。由于公司希望NGFWJC理分支A(NGFW)俄送到总部的流量，NGFW_D理分支B NGFW_B 发送到总部的流量，因此正常情况下我们需要在 NGFW_C NGFW_A间建立一条隧道， 在NGFW_D NGFW_B间建立一条隧道。这样看似已经满足需求了，但是如果 NG

8、FW_D现故障了怎么办呢分支B发送到总部的 流量不就中断了吗小伙伴们仔细思考就会想到办法，我们需要在 NGFW_CNGFW_B NGFW_D NGFW_A间分别建立一条备用隧道(图中虚线表示)。这样当 NGFW_山现 故障时，分支B发送到总部的流量会通过备用隧道由 NGFW戈送到总部，就不会导致 业务中断啦。这个想法很好，但是如何实现呢我们可以在 NGFW_C创建两个tunnel接口，然后在 tunnell上与NGFW_A立一条主用隧道，在 tunnel2 上与NGFW_B立一条备份隧道。同理在NGFW_D tunnell上与NGFW_A立一条备份隧道，在 tunnel2上与NGFW_B 立一

9、条主用隧道。这里需要注意的是 NGFW_C的tunnell (tunnel2 )地址需要与NGFW_D 上的tunnell (tunnel2 )地址保持一致。lunnellNCFW_C 2.2.4.1我想这时小伙伴们又要问为什么了这样做的好处是在NGFW_A只需要与对端的tunnell接口建立隧道即可，NGFW_A用去关心这个tunnell是NGFW_C是NGFW_D（因为他们的IP是一致的）。同理NGFW_B需要与对端的tunnel2接口建立隧道即可。1）定义受IPSec VPN保护的数据流HRP_ANGFW_C| 3005 ?HRP_ANGFW_C-acl-adv-300司ule perm

10、it ip source destination?HRP_ANGFW_C-acl-adv-3005quit ?HRP_ANGFW_C acl 3006HRP_ANGFW_C-acl-adv-3006rule permit ip source destination?HRP_A NGFW_C-acl-adv-3006quit【强叔点评】ACL300旋义的是总部与分支A之间的流量，ACL3006S义的是总部与 分支B之间的流量。2）配置IPSec安全提议。【强叔点评】如果创建IPSec安全提议后，不进行任何配置，则IPSec安全提议使 用默认参数。本案例中使用默认参数，小伙伴们可以根据自己的实际安

11、全需求修改 IPSec安全提议中的参数。HRP_ANGFW_ipSec proposal tranlHRP_ANGFW_C-ipsec-proposal-tran1 quit3）配置IKE安全提议。本案例中使用IKE安全提议的默认参数。HRP_ANGFW_Ce proposal 10HRP_ANGFW_C-ike-proposal-10quit4）配置两个IKE对等体，分别用于总部与两个分支建立IPSeCoHRP_ANGFW_Ce peer ngfw_a ?HRP_ANGFW_C-ike-peer-ngfw_ake-proposal 10?HRP_ANGFW_C-ike-peer-ngfw_a

12、remote-address ?HRP_ANGFW_C-ike-peer-ngfw_apre-shared-key Admin123 ?HRP_ANGFW_C-ike-peer-ngfw_aquit ?HRP_ANGFW网 peer ngfw_b ?HRP_ANGFW_C-ike-peer-ngfw_bke-proposal 10?HRP_ANGFW_C-ike-peer-ngfw_bremote-address ?HRP_ANGFW_C-ike-peer-ngfw_bpre-shared-key Admin123 ? HRP_ANGFW_C-ike-peer-ngfw_bquit5）配置两个

13、IPSec策略，分别用于总部与两个分支建立IPSeCoHRP_ANGFW_psec policy map1 10 isakmp ?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 security acl 3005?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 proposal tran1 ?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 ike-peer ngfw_a ?HRP_ANGFW_C-ipsec-policy-isakmp-map1-10 quit ?HRP_ANGFW_psec pol

14、icy map2 10 isakmp ?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 security acl 3006?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 proposal tran1 ?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 ike-peer ngfw_b ?HRP_ANGFW_C-ipsec-policy-isakmp-map2-10 quit6）配置在Tunnel接口上应用IPSec策略。【强叔点评】之前点评中提到我们需要在 NGFW_C tunnel1上与NGFW_A

15、立一条 主用隧道，在tunnel2上与NGFW_B立一条备份隧道，这是通过在应用IPSec策略 时设定active 或standby参数来实现的。 TOC o 1-5 h z HRP_ANGFW_Cerface Tunnel 1?HRP_ANGFW_C-Tunnelipsec policy map1 active?HRP_ANGFW_C-Tunnelquit ?HRP_ANGFW_iCterface Tunnel 2?HRP_ANGFW_C-Tunnel2psec policy map2standby ?HRP_ANGFW_C-Tunnel2uit7）在 NGFW_D酉己置 IPSec。双机热

16、备状态成功建立后，NGFW_C配置的ACL IPSec策略（包括其中的IPSec 安全提议，IKE对等体）等都会自动备份到 NGFW_Do只有在接口上应用IPSec策 略的配置不会备份，需要在此手动配置。HRP_SNGFW_Dnterface Tunnel 1?HRP_SNGFW_D-Tunnel1psec policy map1 standby ?HRP_SNGFW_D-Tunnel1quit ?HRP_SNGFW_Dnterface Tunnel 2?HRP_SNGFW_D-Tunnel2psec policy map2 active ?HRP_SNGFW_D-Tunnel2quit8）在

17、 NGFW_A NGFW_B配置 IPSec。NGFW_A NGFW_B配置比较简单，就是一个点到点方式的IPSec配置。只要将NGFW_A IPSec 隧道 Remote Address 配置为 Tunnel1 接口的 IP 地址；NGFW_BIPSec隧道Remote Address配置为Tunnel2接口的IP地址就行了。受篇幅所限， 强叔就不详细讲了。3、配置路由和路由策略。双机热备和IPSec配置完成后，只要再保证 NGFW_A Tunnell接口的路由可达，就可 以成功建立IPSec隧道了。但这时一个新的问题又出现了， 那就是流量到达Router1后 不知道是该送往NGFW_C N

18、GFW_D Tunnel1接口了，如下图所示。GE1W110.142410 1 3UX而且我们还面临另外一个问题，那就是如何确保NGFW_A回程流量能够回到NGFW_A 回程流量到达Router2后不知道是该发给NGFW_C是 NGFW_D小伙伴们别急，强叔还是有办法的，那就是通过路由策略来实现。1）首先我们需要定义三条数据流，一条匹配来自分支A的去和回的流量:HRP_ANGFW_C| 2000 ? TOC o 1-5 h z HRP_ANGFW_C-acl-basic-2000rule permit source?HRP_ANGFW_C-acl-basic-2000rule permit s

19、ource?HRP_ANGFW_C-acl-basic-2000quit一条匹配分支B的去和回的流量：HRP_ANGFW_acl 2001 ?HRP_ANGFW_C-acl-basic-2001rule permit source?HRP_ANGFW_C-acl-basic-2001rule permit source?HRP_ANGFW_C-acl-basic-2001quit第三条匹配来自分支A和B的去和回的流量：？HRP_ANGFW_acl 2002 ?HRP_ANGFW_C-acl-basic-2002rule permit source?HRP_ANGFW_C-acl-basic-2

20、002rule permit source?HRP_ANGFW_C-acl-basic-2002rule permit source?HRP_ANGFW_C-acl-basic-2002rule permit source?HRP_ANGFW_C-acl-basic-2002quit2）然后我们需要配置几条路由策略，实现以下效果。当双机热备负载分担状态正常时，来自分支A的去和回的流量通过NGFW_C开销减少10:HRP_ANGFW_Cute-policy rp permit node 1?HRP_ANGFW_C-route-policy if-match acl 2000?HRP_ANGFW_

21、C-route-policy if-match backup-status load-balance ?HRP_ANGFW_C-route-policy apply cost 10HRP_ANGFW_C-route-policy quit当双机热备负载分担状态正常时，来自分支 B的去和回的流量通过NGFW_C开销增加10: TOC o 1-5 h z HRP_ANGFW_CUte-policy rp permit node 2?HRP_ANGFW_C-route-policy if-match acl 2001?HRP_ANGFW_C-route-policy if-match backup-

22、status load-balance ?HRP_ANGFW_C-route-policy apply cost + 10?HRP_ANGFW_C-route-policy quit当NGFW_C为主用设备（NGFW_D障）时，来自分支A和B的去和回的流量通过NGFW_C 时开销减少10:HRP_ANGFW_Cute-policy rp permit node 3?HRP_ANGFW_C-route-policy if-match acl 2002?HRP_ANGFW_C-route-policy if-match backup-status active ?HRP_ANGFW_C-route

23、-policy apply cost - 10?HRP_ANGFW_C-route-policy quit当NGFW_C为备用设备（NGFW_C障）时，来自分支A和B的去和回的流量通过NGFW_C 时开销增加10:HRP_ANGFW_Cute-policy rp permit node 4?HRP_ANGFW_C-route-policy if-match acl 2002?HRP_ANGFW_C-route-policy if-match backup-status standby ?HRP_ANGFW_C-route-policy apply cost + 10?HRP_ANGFW_C-r

24、oute-policy quit ?3）最后我们需要在OSPH引入直连和静态路由，并将自身的路由发布出去。【强叔点评】这里引入的直连路由是Tunnel接口的路由；引入的静态路由是下面配置的使回程流量进入隧道的路由。HRP_ANGFW_Cpf 1 TOC o 1-5 h z HRP_ANGFW_Croute-static 24 tunnel 1?HRP_ANGFW_Croute-static 24 tunnel 2HRP_ANGFW_C-ospf-1mport-route direct route-policy rp?HRP_ANGFW_C-ospf-1mport-route static ro

25、ute-policy rp?HRP_ANGFW_C-ospf-1jrea ?HRP_ANGFW_C-ospf-1-area-network ?HRP_ANGFW_C-ospf-1-area-network ?HRP_ANGFW_C-ospf-1-area-quit ?HRP_ANGFW_C-ospf-1juit4）在NGFW_D配置路由和路由策略。按照 NGFW_C配置举一反三，我想各位小伙伴肯定 没问题的。【结果验证】1、当双机热备负载分担状态正常运行时，可以在Router1上看到去往Tunnel1目的地址为） 的流量通过NGFW转发（下一跳为NGFW_物理接口 IP地址）。而去往Tunne

26、l2接 口（目的地址为）的流量通过 NGFW_D发（下一跳为NGFW_D物理接口 IP地址）。Reuter 1jdisplay ospf routing L5:29il5 201405x05OSPF Proc 1 with Router ID 2.32.32.3 Routine TablesRouting tor Cvstination 3.3.3.024 3.3.4,0/24 2.2.0/242.2.3.口2Nstwrk CostType Transit Tronftit Transit TransitNextHopAdvRouter M M0.1 10.10.0.2 10.10,0,1 1

27、0.10,0*3Area 0.0.0*0 0.0.0.0 口口*0.0 oTo,oToRouting for reatination 30.L0.0.0Z24 KMZQ/2* 30.L.3.0 x24 10,1.4,024 2.2.4.0z24 Q.2.S.0Z24TypeTogTyp*21Type21Type21Type2IType21Type2iNexttlopAdvRouter2.2.3.110.10,0,22、当双机热备负载分担状态正常运行时，可以在 Router2上看到总部回复分支A （目的地B （目的地址）的流量通过址）的流量通过NGFW_C发（下一跳为）；总部回复分支 NGFW_

28、D发（下一跳为）。hemtorZdiplay ospf routing 15:56:30 2014/0505OSPF Proc由的 1 with Rotit&r ID 3. J . 4.2Routing TobiasRjoutlag for 144tworeat mat iCACostTypoHextHop3.3.3.0/24ITransitq q q )334 .0/?4Transit3,3.4.?N W0/24Transit333.1工 Z3.U/24*3.5.4 . 1AdvRouter10.10,0.1M10.0,210.10.0,110.1Q.0.2C.0.0.0 c.o.o.o n. 口4 c.a.c.0Routing for ASEs Ce9t mat ionCostirl 0LypypypypypypypypAdvRouter 1O.10.Q.2 1Q.IG.Q.1 1G.10*0.?30.10,0.110.10.0.210.10.0.2JO,10.0.2以上两步可以看出在路由层面，我们的配置满足了组网需求。3、在 NGFWj D上执行 display ike sa 、display ipsec sa命令查看 I