组网需求
如图所示,为提高可靠性,企业总部提供AR2和AR3两台网关供企业分支网关AR5接入,分支与总部通过公网建立通信。
企业希望对分支与总部之间相互访问的流量进行安全保护。
由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立IPSec隧道来实施安全保护。分支网关首先与总部网关AR2建立通信,如果连接建立失败,则分支网关与总部网关AR3建立通信。
ensp不支持配置多个remoteIP
配置思路
配置接口的IP地址和到对端的静态路由,保证两端路由可达。
配置ACL,以定义需要IPSec保护的数据流。
配置IPSec安全提议,定义IPSec的保护方法。
配置IKE对等体,定义对等体间IKE协商时的属性。
分别在AR2、AR3和AR5上创建安全策略,确定对何种数据流采取何种保护方法。其中AR2和AR3采用策略模板方式创建安全策略。
在接口上应用安全策略组,使接口具有IPSec的保护功能。
操作步骤
配置IP以及静态路由
AR1
<Huawei>sys
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 12.12.12.1 24
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 13.13.13.1 24
[AR1-GigabitEthernet0/0/1]q
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip ad 10.1.1.1 24
[AR1-GigabitEthernet0/0/2]q
[AR1]ip route-static 0.0.0.0 0 12.12.12.2
[AR1]ip route-static 0.0.0.0 0 23.23.23.2AR2
<Huawei>sys
[Huawei]sys AR2
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 12.12.12.2 24
[AR2-GigabitEthernet0/0/0]q
[AR2]un in en
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 24.24.24.2 24
[AR2-GigabitEthernet0/0/1]q
[AR2]ip route-static 10.1.1.0 24 12.12.12.1
[AR2]ip route-static 45.45.45.0 24 24.24.24.4
[AR2]ip route-static 10.1.5.0 24 24.24.24.4AR3
<Huawei>sys
[Huawei]sys AR3
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 34.34.34.3 24
[AR3-GigabitEthernet0/0/0]q
[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip add 13.13.13.3 24
[AR3-GigabitEthernet0/0/1]q
[AR2]ip route-static 10.1.1.0 24 13.13.13.1
[AR2]ip route-static 45.45.45.0 24 34.34.34.4
[AR2]ip route-static 10.1.5.0 24 34.34.34.4AR4
<Huawei>sys
[Huawei]sys AR4
[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]ip add 24.24.24.4 24
[AR4-GigabitEthernet0/0/0]q
[AR4]int g0/0/1
[AR4-GigabitEthernet0/0/1]ip add 34.34.34.4 24
[AR4-GigabitEthernet0/0/1]q
[AR4]int g0/0/2
[AR4-GigabitEthernet0/0/2]ip add 45.45.45.4 24
[AR4-GigabitEthernet0/0/2]
[AR4-GigabitEthernet0/0/2]q
[AR4]ip route-static 12.12.12.0 24 24.24.24.2
[AR4]ip route-s 13.13.13.0 24 34.34.34.3
[AR4]ip route-s 10.1.1.0 24 24.24.24.2
[AR4]ip route-s 10.1.1.0 24 34.34.34.3
[AR4]ip route-s 10.5.1.0 24 45.45.45.5AR5
<Huawei>sys
[Huawei]sys AR5
[AR5]int g0/0/0
[AR5-GigabitEthernet0/0/0]ip add 45.45.45.5 24
[AR5-GigabitEthernet0/0/0]q
[AR5]int g0/0/1
[AR5-GigabitEthernet0/0/1]ip add 10.1.5.5 24
[AR5-GigabitEthernet0/0/1]q
[AR5]ip route-static 0.0.0.0 0 45.45.45.4配置ACL,定义各自要保护的数据流
由于AR2、AR3采用策略模板创建安全策略,引用ACL是可选操作。如果配置了ACL,则必须要指定ACL规则的目的地址,所以总部源就不配置acl
AR5
[AR5]acl number 3100
[AR5-acl-adv-3100]rule permit ip source 10.1.5.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[AR5-acl-adv-3100]q
[AR5]创建IPSec安全提议
AR2
[AR2]ipsec proposal 1
[AR2-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR2-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR2-ipsec-proposal-1]qAR3
[AR3]ipsec proposal 1
[AR3-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR3-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR2-ipsec-proposal-1]qAR5
[AR5]ipsec proposal 1
[AR5-ipsec-proposal-1]esp authentication-algorithm sha2-256
[AR5-ipsec-proposal-1]esp encryption-algorithm aes-128
[AR5-ipsec-proposal-1]q查看配置IPSec的信息
#以AR2为例
<AR2>display ipsec proposal
Number of proposals: 1
IPSec proposal name: 1
Encapsulation mode: Tunnel
Transform : esp-new
ESP protocol : Authentication SHA2-HMAC-256
Encryption AES-128
Number of proposals #当前IPSec安全提议总数。
IPSec proposal name #安全提议的名称。
Encapsulation mode #IPSec安全提议采用的模式,包括两种:传输(transport)和隧道(tunnel)模式。
Transform #IPSec安全提议采用的安全协议,包括:ah-new、esp-new、ah-esp-new ,缺省情况下,IPSec安全提议使用的安全协议为ESP
ESP protocol #ESP协议采用的认证算法和加密算法配置IKE对等体
AR2
#配置IKE安全提议
[AR2]ike proposal 1
[AR2-ike-proposal-1]authentication-algorithm sha1
[AR2-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR2-ike-proposal-1]q
#配置IKE对等体
[AR2]ike peer 1 v1
[AR2-ike-peer-1]pre-shared-key cipher 20wl
[AR2-ike-peer-1]ike-proposal 1
[AR2-ike-peer-1]q
[AR2]AR3
[AR3]ike proposal 1
[AR3-ike-proposal-1]authentication-algorithm sha1
[AR3-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR3-ike-proposal-1]q
[AR3]ike peer 1 v1
[AR3-ike-peer-1]ike-proposal 1
[AR3-ike-peer-1]pre-shared-key cipher 20wl
[AR3-ike-peer-1]qAR5
ensp不支持配置多个remoteIP
[AR5]ike proposal 1
[AR5-ike-proposal-1]authentication-algorithm sha1
[AR5-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR5-ike-proposal-1]q
[AR5]ike peer 1 v1
[AR5-ike-peer-1]ike-proposal 1
[AR5-ike-peer-1]pre-shared-key cipher 20wl
[AR5-ike-peer-1]remote-address 24.24.24.2
[AR5-ike-peer-1]remote-address 34.34.34.3
[AR5-ike-peer-1]q创建安全策略,其中AR2和AR3采用策略模板方式创建安全策略
AR2
#配置策略模板,并在安全策略中引用该策略模板
[AR2]ipsec policy-template 1 1
[AR2-ipsec-policy-templet-1-1]ike-peer 1
[AR2-ipsec-policy-templet-1-1]proposal 1
[AR2-ipsec-policy-templet-1-1]q
[AR2]ipsec policy 2 1 isakmp template 1AR3
#配置策略模板,并在安全策略中引用该策略模板
[AR3]ipsec policy-template 1 1
[AR3-ipsec-policy-templet-1-1]ike-peer 1
[AR3-ipsec-policy-templet-1-1]proposal 1
[AR3-ipsec-policy-templet-1-1]q
[AR3]ipsec policy 2 1 isakmp template 1AR5
#配置安全策略
[AR5]ipsec policy 1 1 isakmp
[AR5-ipsec-policy-isakmp-1-1]ike-peer 1
[AR5-ipsec-policy-isakmp-1-1]proposal 1
[AR5-ipsec-policy-isakmp-1-1]security acl 3100
[AR5-ipsec-policy-isakmp-1-1]q在接口上应用各自的安全策略组,使接口具有IPSec的保护功能
AR2
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ipsec policy 2
[AR2-GigabitEthernet0/0/1]qAR3
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy 2
[AR3-GigabitEthernet0/0/0]qAR5
[AR5]int g0/0/0
[AR5-GigabitEthernet0/0/0]ipsec policy 1
[AR5-GigabitEthernet0/0/0]q检查配置结果
ping测试
PC>ping 10.1.5.100
Ping 10.1.5.100: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
From 10.1.5.100: bytes=32 seq=3 ttl=126 time=47 ms
From 10.1.5.100: bytes=32 seq=4 ttl=126 time=62 ms
From 10.1.5.100: bytes=32 seq=5 ttl=126 time=47 ms
--- 10.1.5.100 ping statistics ---
5 packet(s) transmitted
3 packet(s) received
40.00% packet loss
round-trip min/avg/max = 0/52/62 ms查看建立隧道关系
AR5
[AR3]display ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
2 45.45.45.5 0 RD 2
1 45.45.45.5 0 RD 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
IKE SA information #安全联盟配置信息。
Conn-ID #安全联盟的连接索引。
Peer #对端的IP地址和UDP端口号。
VPN #应用IPSec安全策略的接口所绑定的VPN实例。
Flag(s) #安全联盟的状态:
#RD--READY:表示此SA已建立成功。
#ST--STAYALIVE:表示此端是通道协商发起方。
#RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。
#FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。
#TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。
#HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。
#LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。
#BCK--BACKED UP:表示备份状态。
#M--ACTIVE:表示IPSec策略组状态为主状态。
#S--STANDBY:表示IPSec策略组状态为备状态。
#A--ALONE:表示IPSec策略组状态为不备份状态。
#NEG--NEGOTIATING:表示SA正在协商中。
#字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。
Phase #SA所属阶段:1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。2表示协商安全服务的阶段,此阶段建立IPSec SA。
RemoteType #对端ID类型。
RemoteID #对端ID。
AR1
<AR5>display ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
2 34.34.34.3 0 RD|ST 2
1 34.34.34.3 0 RD|ST 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
评论区