论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢?
本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。
【组网需求】
如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10)
现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。
【需求分析】
针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。1、如何使两台防火墙形成双机热备负载分担状态?
两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。
2、分支与总部之间如何建立IPSec隧道?
正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。
3、总部的两台防火墙如何对流量进行引导?
总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。
【配置步骤】
这个想法很好,但是如何实现呢?我们可以在NGFW_C上创建两个tunnel接口,然后在tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道。同理在NGFW_D的tunnel1上与NGFW_A建立一条备份隧道,在tunnel2上与NGFW_B建立一条主用隧道。这里需要注意的是NGFW_C上的tunnel1(tunnel2)地址需要与NGFW_D上的tunnel1(tunnel2)地址保持一致。
我想这时小伙伴们又要问为什么了?这样做的好处是在NGFW_A上只需要与对端的tunnel1接口建立隧道即可,NGFW_A不用去关心这个tunnel1是NGFW_C还是NGFW_D的(因为他们的IP是一致的)。同理NGFW_B只需要与对端的tunnel2接口建立隧道即可。
1)定义受IPSec VPN保护的数据流。
HRP_A[NGFW_C] acl 3005
HRP_A[NGFW_C-acl-adv-3005] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0
0.0.0.255
HRP_A[NGFW_C-acl-adv-3005] quit
HRP_A[NGFW_C] acl 3006
HRP_A[NGFW_C-acl-adv-3006] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.4.0
0.0.0.255
HRP_A [NGFW_C-acl-adv-3006] quit
【强叔点评】ACL3005定义的是总部与分支A之间的流量,ACL3006定义的是总部与分支B之间的流量。
2)配置IPSec安全提议。
【强叔点评】如果创建IPSec安全提议后,不进行任何配置,则IPSec安全提议使用默认参数。
本案例中使用默认参数,小伙伴们可以根据自己的实际安全需求修改IPSec安全提议中的参数。
HRP_A[NGFW_C] ipsec proposal tran1
HRP_A[NGFW_C-ipsec-proposal-tran1] quit
3)配置IKE安全提议。本案例中使用IKE安全提议的默认参数。
HRP_A[NGFW_C] ike proposal 10
HRP_A[NGFW_C-ike-proposal-10] quit
4)配置两个IKE对等体,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C] ike peer ngfw_a
HRP_A[NGFW_C-ike-peer-ngfw_a] ike-proposal 10
HRP_A[NGFW_C-ike-peer-ngfw_a] remote-address 1.1.1.1
HRP_A[NGFW_C-ike-peer-ngfw_a] pre-shared-key Admin@123
HRP_A[NGFW_C-ike-peer-ngfw_a] quit
HRP_A[NGFW_C] ike peer ngfw_b
HRP_A[NGFW_C-ike-peer-ngfw_b] ike-proposal 10
HRP_A[NGFW_C-ike-peer-ngfw_b] remote-address 1.1.2.1
HRP_A[NGFW_C-ike-peer-ngfw_b] pre-shared-key Admin@123
HRP_A[NGFW_C-ike-peer-ngfw_b] quit
5)配置两个IPSec策略,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C] ipsec policy map1 10 isakmp
HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] security acl 3005
HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] proposal tran1
HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] ike-peer ngfw_a
HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] quit
HRP_A[NGFW_C] ipsec policy map2 10 isakmp
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] security acl 3006
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] proposal tran1
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] ike-peer ngfw_b
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] quit
6)配置在Tunnel接口上应用IPSec策略。
【强叔点评】之前点评中提到我们需要在NGFW_C的tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道,这是通过在应用IPSec策略时设定active或standby 参数来实现的。
HRP_A[NGFW_C] interface Tunnel 1
HRP_A[NGFW_C-Tunnel1] ipsec policy map1 active
HRP_A[NGFW_C-Tunnel1] quit
HRP_A[NGFW_C] interface Tunnel 2
HRP_A[NGFW_C-Tunnel2] ipsec policy map2 standby
HRP_A[NGFW_C-Tunnel2] quit
7)在NGFW_D上配置IPSec。
双机热备状态成功建立后,NGFW_C上配置的ACL、IPSec策略(包括其中的IPSec 安全提议,IKE对等体)等都会自动备份到NGFW_D上。只有在接口上应用IPSec 策略的配置不会备份,需要在此手动配置。
HRP_S[NGFW_D] interface Tunnel 1
HRP_S[NGFW_D-Tunnel1] ipsec policy map1 standby
HRP_S[NGFW_D-Tunnel1] quit
HRP_S[NGFW_D] interface Tunnel 2
HRP_S[NGFW_D-Tunnel2] ipsec policy map2 active
HRP_S[NGFW_D-Tunnel2] quit
8)在NGFW_A和NGFW_B上配置IPSec。
NGFW_A和NGFW_B的配置比较简单,就是一个点到点方式的IPSec配置。只要将NGFW_A的IPSec隧道Remote Address配置为Tunnel1接口的IP地址;NGFW_B
