微信公众号:盘算机与网络安全
▼
如图1所示,RouterA为公司分支机构网关,RouterB为公司总部网关,但分支机构采取两条出口链路互为备份大概负载分担,通过公网与总部创建通讯。分支机构子网为10.1.1.0/24,总部子网为10.1.2.0/24。现公司盼望对分支机构子网与总部子网之间相互访问的流量举行安全掩护,而且若主备链路切换或某条出口链路故障时,要求安全掩护不停止。但由于两个出接口分别协商天生IPSecSA,在主备链路切换时,接口会出现Up/Down状态变革,因此必要重新举行IKE协商,从而导致数据流的临时停止。为包管在举行主备链路切换时安全掩护不停止,以实现IPSecSA的平滑切换,盼望分支机构网关的两条出口链路与总部网关只协商一个共享的IPSecSA。
图1分支采取多链路共享功能与总部创建IPSec隧道示例的拓扑布局
1.根本设置思绪分析
由于分支机构网关有两条链路毗连到Internet,为了使这两条链路与总部网关只协商天生一个IPSec,以是不能利用分支机构网关的两个公网接口分别与总部网关设置对等体,而要利用一个LoopBack接口与总部网关创建IPSec隧道,终极使两条出口链路与总部网关只协商一个共享的IPSecSA。具体设置思绪如下。
(1)设置各网关装备内/外网接口的IP地点,以及分支机构公网、私网与总部公网、私网互访的静态路由。
(2)设置高级ACL,以界说分支机构子网与总部子网通讯时必要IPSec掩护的数据流。
(3)设置IPSec安全发起,界说IPSec的掩护方法。
(4)设置IKE安全发起。
(5)设置IKE对等体,界说对等体间IKE协商时的属性。
本示例中IKE对等体的设置,分支机构本端IP地点与总部网关设置的对端IP地点均要设置为分支机构网关LoopBack接口的IP地点。
(6)设置安全战略,并引用前面界说的ACL和IPSec安全发起,确定对何种数据流采取何种掩护方法。
(7)在接口上应用安全战略组,使接口具有IPSec的掩护功能。此中在分支机构网关RouterA上的安全战略组在应用前必要通过ipsecpolicypolicy-namesharedlocalinterfaceloopbackinterface-number下令设置为多链路共享,然后在RouterA的两个公网接口上分别应用安全战略组。
2.具体设置步调
(1)分别在RouterA和RouterB上设置各接口(包罗RouterA上的Loopback接口)的IP地点和到对端各公网、私网的静态路由。
#在RouterA上设置接口IP地点。
Huaweisystem-view
[Huawei]sysnameRouterA
[RouterA]interfacegigabitethernet1/0/0
[RouterA-GigabitEthernet1/0/0]ipaddress70.1.1.1255.255.255.0
[RouterA-GigabitEthernet1/0/0]quit
[RouterA]interfacegigabitethernet2/0/0
[RouterA-GigabitEthernet2/0/0]ipaddress80.1.1.1255.255.255.0
[RouterA-GigabitEthernet2/0/0]quit
[RouterA]interfacegigabitethernet3/0/0
[RouterA-GigabitEthernet3/0/0]ipaddress10.1.1.1255.255.255.0
[RouterA-GigabitEthernet3/0/0]quit
[RouterA]interfaceloopback0
[RouterA-LoopBack0]ipaddress1.1.1.1255.255.255.255
[RouterA-LoopBack0]quit
#在RouterA上设置通过两条差别链路到达对端公网、私网的静态路由(优先级要设置的差别,以实现主备备份),此处假设RouterA的两个出接口到对端的下一跳地点分别为70.1.1.2和80.1.1.2。
[RouterA]iproute-static10.1.2.02470.1.1.2preference10 #---设置从GE1/0/0接口对应链路到达总部私网的静态路由
[RouterA]iproute-static10.1.2.02480.1.1.2preference20 #---设置从GE2/0/0接口对应链路到达总部私网的静态路由
[RouterA]iproute-static60.1.1.13270.1.1.2preference10 #---设置从GE1/0/0接口对应链路到达总部公网的静态路由
[RouterA]iproute-static60.1.1.13280.1.1.2preference20 #---设置从GE2/0/0接口对应链路到达总部公网的静态路由
#在RouterB上设置接口IP地点。
Huaweisystem-view
[Huawei]sysnameRouterB
[RouterB]interfacegigabitethernet1/0/0
[RouterB-GigabitEthernet1/0/0]ipaddress60.1.1.1255.255.255.0
[RouterB-GigabitEthernet1/0/0]quit
[RouterB]interfacegigabitethernet3/0/0
[RouterB-GigabitEthernet3/0/0]ipaddress10.1.1.1255.255.255.0
[RouterB-GigabitEthernet3/0/0]quit
#在RouterB上设置到达分支机构各公网、私网、Loopback0接口的静态路由,此处假设RouterB到对端的下一跳地点为60.1.1.2。
[RouterB]iproute-static1.1.1.13260.1.1.2 #---到达Loopback0接口的静态路由
[RouterB]iproute-static10.1.1.02460.1.1.2 #---到达分支机构私网的静态路由
[RouterB]iproute-static70.1.1.1320.1.1.2 #---到达RouterAGE1/0/0接口的静态路由
[RouterB]iproute-static80.1.1.13260.1.1.2 #---到达RouterAGE2/0/0接口的静态路由
(2)分别在RouterA和RouterB上设置ACL,界说各自要掩护的数据流。
#在RouterA上设置ACL,界说由总部子网10.1.1.0/24到达分支机构子网
10.1.2.0/24的数据流。
[RouterA]aclnumber3101
[RouterA-acl-adv-3101]rulepermitipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255
[RouterA-acl-adv-3101]quit
#在RouterB上设置ACL,界说由分支机构子网10.1.2.0/24到达总部子网
10.1.1.0/24的数据流。
[RouterB]aclnumber3101
[RouterB-acl-adv-3101]rulepermitipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255
[RouterB-acl-adv-3101]quit
(3)分别在RouterA和RouterB上创建IPSec安全发起(假设名称均为prop也可以差别),利用ESP安全协议,认证算法为SHA2-256,加密算法为AES-128。
[RouterA]ipsecproposalprop
[RouterA-ipsec-proposal-prop]espauthentication-algorithmsha2-256
[RouterA-ipsec-proposal-prop]espencryption-algorithmaes-128
[RouterA-ipsec-proposal-prop]quit
[RouterB]ipsecproposalprop
[RouterB-ipsec-proposal-prop]espauthentication-algorithmsha2-256
[RouterB-ipsec-proposal-prop]espencryption-algorithmaes-128
[RouterB-ipsec-proposal-prop]quit
(4)分别在RouterA和RouterB上创建IKE安全发起(序号均为5,也可以差别),认证算法为SHA2-256,加密算法为AES-128,DH为group14。
[RouterA]ikeproposal5
[RouterA-ike-proposal-5]authentication-algorithmsha2-256
[RouterA-ike-proposal-5]encryption-algorithmaes-128
[RouterA-ike-proposal-5]dhgroup14
[RouterA-ike-proposal-5]quit
[RouterB]ikeproposal5
[RouterB-ike-proposal-5]authentication-algorithmsha2-256
[RouterB-ike-proposal-5]encryption-algorithmaes-128
[RouterB-ike-proposal-5]dhgroup14
[RouterB-ike-proposal-5]quit
(5)分别在RouterA和RouterB上设置IKE对等体(此处名称均为rut,也可以差别),假设采取IKEv2版本。由于IKE发起中的认证方法采取缺省值,以是采取的是预共享密钥认证方法,必要设置预共享密钥(假设为huawei,两端的设置必须同等)。别的,在总部网关RouterB上设置的“对端IP地点”必须是分支机构网关RouterA上的Loopback0接口IP地点。
#在RouterA上设置IKE对等体,并引用前面创建的IKE安全发起,设置预共享密钥和对端IP地点。
[RouterA]ikepeerrut
[RouterA-ike-peer-rut]undoversion2
[RouterA-ike-peer-rut]ike-proposal5
[RouterA-ike-peer-rut]pre-shared-keysimplehuawei
[RouterA-ike-peer-rut]remote-address60.1.1.1
[RouterA-ike-peer-rut]quit
#在RouterB上设置IKE对等体,并引用前面创建的IKE安全发起,设置预共享密钥和对端IP地点。
[RouterB]ikepeerrut
[RouterB-ike-peer-rut]undoversion2
[RouterB-ike-peer-rut]ike-proposal5
[RouterB-ike-peer-rut]pre-shared-keysimplehuawei
[RouterB-ike-peer-rut]remote-address1.1.1.1 #---为分支机构Loopback0接口的IP地点
[RouterB-ike-peer-rut]quit
(6)分别在RouterA和RouterB上创建安全战略,引用前面创建的IPSec安全发起、IKE对等体和用于界说必要掩护的数据流的ACL。
#在RouterA上设置安全战略。
[RouterA]ipsecpolicypolicy110isakmp
[RouterA-ipsec-policy-isakmp-policy1-10]ike-peerrut
[RouterA-ipsec-policy-isakmp-policy1-10]proposalprop
[RouterA-ipsec-policy-isakmp-policy1-10]securityacl3101
[RouterA-ipsec-policy-isakmp-policy1-10]quit
#在RouterB上设置安全战略。
[RouterB]ipsecpolicypolicy110isakmp
[RouterB-ipsec-policy-isakmp-policy1-10]ike-peerrut
[RouterB-ipsec-policy-isakmp-policy1-10]proposalprop
[RouterB-ipsec-policy-isakmp-policy1-10]securityacl3101
[RouterB-ipsec-policy-isakmp-policy1-10]quit
(7)分别在RouterA和RouterB的接口上应用各自的安全战略组,使通过这些接口向外发送的爱好流能被IPSec掩护。
#在RouterA上设置多链路共享功能,而且分别在两个公网接口上引用前面创建的安全战略组。
[RouterA]ipsecpolicypolicy1sharedlocal-interfaceloopback0 #---设置安全战略组policy1对应的IPSec隧道为多链路共享
[RouterA]interfacegigabitethernet1/0/0
[RouterA-GigabitEthernet1/0/0]ipsecpolicypolicy1
[RouterA-GigabitEthernet1/0/0]quit
[RouterA]interfacegigabitethernet2/0/0
[RouterA-GigabitEthernet2/0/0]ipsecpolicypolicy1
[RouterA-GigabitEthernet2/0/0]quit
#在RouterB的接口上引用安全战略组。
[RouterB]interfacegigabitethernet1/0/0
[RouterB-GigabitEthernet1/0/0]ipsecpolicypolicy1
[RouterB-GigabitEthernet1/0/0]quit
3.设置结果验证
设置乐成后,在分支机构子网的主机PCA实行ping操纵可以ping通位于总部子网的主机PCB,而且它们之间的数据传输将被加密,实行下令displayipsecstatisticsesp可以查察数据包的统计信息。
#在RouterA上实行displayikesa操纵,会表现在RouterA上协商天生的IKESA信息,假如见到了第2阶段的IPSecSA信息,则表明IPSec隧道创建乐成了。
[RouterA]displayikesa
Conn-ID Peer VPN Flag(s) Phase
----------------------------------------------
16 60.1.1.1 0 RD|ST v1:2
14 60.1.1.1 0 RD|ST v1:1
NumberofSAentries :2
NumberofSAentriesofallcpu:2
FlagDeion:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--
TIMEOUT
HRT--HEARTBEAT LKG--LASTKNOWNGOODSEQNO. BCK--BACKEDUP
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
#此时分别在RouterA和RouterB上实行displayipsecsa操纵,会表现所设置的IPSecSA信息,以下是在RouterA上实行本下令后的输出信息。
[RouterA]displayipsecsa
===============================
Sharedinterface:LoopBack0
Interface:GigabitEthernet1/0/0
GigabitEthernet2/0/0
===============================
-----------------------
IPSecpolicyname:"policy1"
Sequencenumber :10
AclGroup :3101
Aclrule :5
Mode :ISAKMP
-----------------------
ConnectionID :16 #---这是终极创建的IPSesSA标识符,也表明IPSec隧道创建乐成
Encapsulationmode:Tunnel
Tunnellocal :1.1.1.1
Tunnelremote :60.1.1.1
Flowsource :10.1.1.0/255.255.255.00/0
Flowdestination :10.1.2.0/255.255.255.00/0
Qospre-classify :Disable
[OutboundESPSAs]
SPI:3694855398(0xdc3b04e6)
Proposal:ESP-ENCRYPT-AES-128ESP-AUTH-SHA2-256
SAremainingkeyduration(bytesc):1887436800/3595
Maxsentsequence-number:0
UDPencapsulationusedforNATtraversal:N
[InboundESPSAs]
SPI:3180691667(0xbd9580d3)
Proposal:ESP-ENCRYPT-AES-128ESP-AUTH-SHA2-256
SAremainingkeyduration(bytesc):1887436800/3595
Maxreceivedsequence-number:0
Anti-replaywindowsize:32
UDPencapsulationusedforNATtraversal:N
▲
-Theend-
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论