防火墙技术案例双机热备负载分担组网下的IPSec配置文档格式.docx

1、2、分支与总部之间如何建立IPSec隧道正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。3、总部的两台防火墙如何对流量进行引导总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。【配置步骤】1、配置双机热备功能

2、。在配置双机热备功能前，小伙伴们需要按照上图配置各接口的IP地址，并将各接口加入相应的安全区域，然后配置正确的安全策略，允许网络互通。由于这些不是本案例的重点，因此不在此赘述。完成以上配置后，就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙（NGFW_C和NGFW_D负载分担处理流量）的上下行接口都工作在三层，而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层，上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例，无论是命令行配置举例还是Web配置举例，大家想怎么看就怎么看因此强叔只在此给出双机热备的命令行配置和关键解释。#hrp

3、mirror session enable /负载分担组网必须配置此命令hrp enable /启用双机热备功能hrp ospf-cost adjust-enable /根据主备状态调整OSPF的COST值hrp interface GigabitEthernet 1/0/7 /指定心跳接口interface GigabitEthernet 1/0/1ip address hrp track active /业务接口工作在三层，上下行连接路由器的组网需要配置hrp trackhrp track standby /负载分担组网需要同时配置hrp track active和standbyinter

4、face GigabitEthernet 1/0/3hrp track activehrp track standbyinterface GigabitEthernet 1/0/7【强叔点评】各位小伙伴们在配置双机热备功能时，首先要确定的是防火墙业务接口的工作状态和上下行连接的设备，然后据此采用不同的命令进行配置。强叔在此先为大家简单总结下，如果小伙伴们想深入学习，可以关注后面几期的“侃墙”系列。组网配置命令业务接口工作在三层，上下行连接二层设备VRRP相关命令业务接口工作在三层，上下行连接三层设备在接口视图下配置（hrp track）业务接口工作在二层，上下行连接三层设备在VLAN视图下配置

5、（hrp track）2、配置IPSec。【强叔点评】双机热备配置完成后，我们就开始配置IPSec功能，建立IPSec VPN隧道啦。由于公司希望NGFW_C处理分支A（NGFW_A）发送到总部的流量，NGFW_D处理分支B（NGFW_B）发送到总部的流量，因此正常情况下我们需要在NGFW_C和NGFW_A之间建立一条隧道，在NGFW_D和NGFW_B之间建立一条隧道。这样看似已经满足需求了，但是如果NGFW_D出现故障了怎么办呢分支B发送到总部的流量不就中断了吗小伙伴们仔细思考就会想到办法，我们需要在NGFW_C与NGFW_B，NGFW_D与NGFW_A之间分别建立一条备用隧道（图中虚线表示

6、）。这样当NGFW_D出现故障时，分支B发送到总部的流量会通过备用隧道由NGFW_C发送到总部，就不会导致业务中断啦。这个想法很好，但是如何实现呢我们可以在NGFW_C上创建两个tunnel接口，然后在tunnel1上与NGFW_A建立一条主用隧道，在tunnel2上与NGFW_B建立一条备份隧道。同理在NGFW_D的tunnel1上与NGFW_A建立一条备份隧道，在tunnel2上与NGFW_B建立一条主用隧道。这里需要注意的是NGFW_C上的tunnel1（tunnel2）地址需要与NGFW_D上的tunnel1（tunnel2）地址保持一致。我想这时小伙伴们又要问为什么了这样做的好处是在

7、NGFW_A上只需要与对端的tunnel1接口建立隧道即可，NGFW_A不用去关心这个tunnel1是NGFW_C还是NGFW_D的（因为他们的IP是一致的）。同理NGFW_B只需要与对端的tunnel2接口建立隧道即可。1）定义受IPSec VPN保护的数据流。HRP_ANGFW_Cacl 3005HRP_ANGFW_C-acl-adv-3005rule permit ip source destination HRP_ANGFW_C-acl-adv-3005quitHRP_ANGFW_C acl 3006HRP_ANGFW_C-acl-adv-3006rule permit ip sour

8、ce destination HRP_A NGFW_C-acl-adv-3006quit【强叔点评】ACL3005定义的是总部与分支A之间的流量，ACL3006定义的是总部与分支B之间的流量。2）配置IPSec安全提议。【强叔点评】如果创建IPSec安全提议后，不进行任何配置，则IPSec安全提议使用默认参数。本案例中使用默认参数，小伙伴们可以根据自己的实际安全需求修改IPSec安全提议中的参数。HRP_ANGFW_Cipsec proposal tran1HRP_ANGFW_C-ipsec-proposal-tran1quit3）配置IKE安全提议。本案例中使用IKE安全提议的默认参数。HR

9、P_ANGFW_Cike proposal 10HRP_ANGFW_C-ike-proposal-10quit4）配置两个IKE对等体，分别用于总部与两个分支建立IPSec。HRP_ANGFW_Cike peer ngfw_aHRP_ANGFW_C-ike-peer-ngfw_aike-proposal 10HRP_ANGFW_C-ike-peer-ngfw_aremote-address HRP_ANGFW_C-ike-peer-ngfw_apre-shared-key Admin123HRP_ANGFW_C-ike-peer-ngfw_aquitHRP_ANGFW_Cike peer ng

10、fw_bHRP_ANGFW_C-ike-peer-ngfw_bike-proposal 10HRP_ANGFW_C-ike-peer-ngfw_bremote-address HRP_ANGFW_C-ike-peer-ngfw_bpre-shared-key Admin123HRP_ANGFW_C-ike-peer-ngfw_bquit5）配置两个IPSec策略，分别用于总部与两个分支建立IPSec。HRP_ANGFW_Cipsec policy map1 10 isakmpHRP_ANGFW_C-ipsec-policy-isakmp-map1-10security acl 3005HRP_

11、ANGFW_C-ipsec-policy-isakmp-map1-10proposal tran1HRP_ANGFW_C-ipsec-policy-isakmp-map1-10ike-peer ngfw_aHRP_ANGFW_C-ipsec-policy-isakmp-map1-10quitHRP_ANGFW_Cipsec policy map2 10 isakmpHRP_ANGFW_C-ipsec-policy-isakmp-map2-10security acl 3006HRP_ANGFW_C-ipsec-policy-isakmp-map2-10proposal tran1HRP_ANG

12、FW_C-ipsec-policy-isakmp-map2-10ike-peer ngfw_bHRP_ANGFW_C-ipsec-policy-isakmp-map2-10quit6）配置在Tunnel接口上应用IPSec策略。【强叔点评】之前点评中提到我们需要在NGFW_C的tunnel1上与NGFW_A建立一条主用隧道，在tunnel2上与NGFW_B建立一条备份隧道，这是通过在应用IPSec策略时设定active或standby参数来实现的。HRP_ANGFW_Cinterface Tunnel 1HRP_ANGFW_C-Tunnel1ipsec policy map1 activeHR

13、P_ANGFW_C-Tunnel1quitHRP_ANGFW_Cinterface Tunnel 2HRP_ANGFW_C-Tunnel2ipsec policy map2standbyHRP_ANGFW_C-Tunnel2quit7）在NGFW_D上配置IPSec。双机热备状态成功建立后，NGFW_C上配置的ACL、IPSec策略（包括其中的IPSec安全提议，IKE对等体）等都会自动备份到NGFW_D上。只有在接口上应用IPSec策略的配置不会备份，需要在此手动配置。HRP_SNGFW_Dinterface Tunnel 1HRP_SNGFW_D-Tunnel1ipsec policy m

14、ap1 standbyHRP_SNGFW_D-Tunnel1quitHRP_SNGFW_Dinterface Tunnel 2HRP_SNGFW_D-Tunnel2ipsec policy map2 activeHRP_SNGFW_D-Tunnel2quit8）在NGFW_A和NGFW_B上配置IPSec。NGFW_A和NGFW_B的配置比较简单，就是一个点到点方式的IPSec配置。只要将NGFW_A的IPSec隧道Remote Address配置为Tunnel1接口的IP地址；NGFW_B的IPSec隧道Remote Address配置为Tunnel2接口的IP地址就行了。受篇幅所限，强叔就

15、不详细讲了。3、配置路由和路由策略。双机热备和IPSec配置完成后，只要再保证NGFW_A与Tunnel1接口的路由可达，就可以成功建立IPSec隧道了。但这时一个新的问题又出现了，那就是流量到达Router1后不知道是该送往NGFW_C还是NGFW_D的Tunnel1接口了，如下图所示。而且我们还面临另外一个问题，那就是如何确保NGFW_A的回程流量能够回到NGFW_A呢回程流量到达Router2后不知道是该发给NGFW_C还是NGFW_D。小伙伴们别急，强叔还是有办法的，那就是通过路由策略来实现。1）首先我们需要定义三条数据流，一条匹配来自分支A的去和回的流量：HRP_ANGFW_Cacl

16、 2000HRP_ANGFW_C-acl-basic-2000rule permit source HRP_ANGFW_C-acl-basic-2000quit一条匹配分支B的去和回的流量：HRP_ANGFW_Cacl 2001HRP_ANGFW_C-acl-basic-2001rule permit source HRP_ANGFW_C-acl-basic-2001quit第三条匹配来自分支A和B的去和回的流量：HRP_ANGFW_Cacl 2002HRP_ANGFW_C-acl-basic-2002rule permit source HRP_ANGFW_C-acl-basic-2002q

17、uit2）然后我们需要配置几条路由策略，实现以下效果。当双机热备负载分担状态正常时，来自分支A的去和回的流量通过NGFW_C时开销减少10：HRP_ANGFW_Croute-policy rp permit node 1HRP_ANGFW_C-route-policyif-match acl 2000HRP_ANGFW_C-route-policyif-match backup-status load-balanceHRP_ANGFW_C-route-policyapply cost 10HRP_ANGFW_C-route-policyquit当双机热备负载分担状态正常时，来自分支B的去和回的

18、流量通过NGFW_C时开销增加10：HRP_ANGFW_Croute-policy rp permit node 2HRP_ANGFW_C-route-policyif-match acl 2001HRP_ANGFW_C-route-policyapply cost + 10当NGFW_C作为主用设备（NGFW_D故障）时，来自分支A和B的去和回的流量通过NGFW_C时开销减少10：HRP_ANGFW_Croute-policy rp permit node 3HRP_ANGFW_C-route-policyif-match acl 2002HRP_ANGFW_C-route-policyif

19、-match backup-status activeHRP_ANGFW_C-route-policyapply cost - 10当NGFW_C作为备用设备（NGFW_C故障）时，来自分支A和B的去和回的流量通过NGFW_C时开销增加10：HRP_ANGFW_Croute-policy rp permit node 4HRP_ANGFW_C-route-policyif-match backup-status standby3）最后我们需要在OSPF中引入直连和静态路由，并将自身的路由发布出去。【强叔点评】这里引入的直连路由是Tunnel接口的路由；引入的静态路由是下面配置的使回程流量进入隧

20、道的路由。HRP_ANGFW_Cospf 1HRP_ANGFW_Cip route-static 24 tunnel 1HRP_ANGFW_Cip route-static 24 tunnel 2HRP_ANGFW_C-ospf-1import-route direct route-policy rpHRP_ANGFW_C-ospf-1import-route static route-policy rpHRP_ANGFW_C-ospf-1area HRP_ANGFW_C-ospf-1-area-network HRP_ANGFW_C-ospf-1-area-quitHRP_ANGFW_C-o

21、spf-1quit4）在NGFW_D上配置路由和路由策略。按照NGFW_C的配置举一反三，我想各位小伙伴肯定没问题的。【结果验证】1、当双机热备负载分担状态正常运行时，可以在Router1上看到去往Tunnel1目的地址为）的流量通过NGFW_C转发（下一跳为NGFW_C的物理接口IP地址）。而去往Tunnel2接口（目的地址为）的流量通过NGFW_D转发（下一跳为NGFW_D的物理接口IP地址）。2、当双机热备负载分担状态正常运行时，可以在Router2上看到总部回复分支A（目的地址）的流量通过NGFW_C转发（下一跳为）；总部回复分支B（目的地址）的流量通过NGFW_D转发（下一跳为）。以

22、上两步可以看出在路由层面，我们的配置满足了组网需求。3、在NGFW_C和D上执行display ike sa、display ipsec sa命令查看IPSec的隧道建立情况。下面仅给出NGFW_C上的截图，可以看到NGFW_C的tunnel1接口与NGFW_A的GE1/0/1接口成功建立隧道。【拍案惊奇】1、此案例的惊奇之处在于结合了双机热备、IPSec和并不常用的路由策略功能，而且三种功能结合的十分巧妙。2、此案例的另一惊奇之处在于负载分担组网下的IPSec只有在华为比较新版本的防火墙上才支持，是一个比较新的功能。3、另外看完此案例，小伙伴们应该对双机热备、IPSec、以及路由策略的配置方法和流程有了一定的了解。【强叔问答】 本案例中强叔并没有详细讲述防火墙安全策略的配置，但其实在配置双机热备及PSec功能时，安全策略的配置 还是有所讲究的。请小伙伴们思考双机热备和IPSec这两个功能的安全策略如何配置