微信公眾號(hào)：計(jì)算機(jī)與網(wǎng)絡(luò)安全

▼

如圖1所示，Router A為公司分支機(jī)構(gòu)網(wǎng)關(guān)，Router B為公司總部網(wǎng)關(guān)，但分支機(jī)構(gòu)采用兩條出口鏈路互為備份或者負(fù)載分擔(dān)，通過(guò)公網(wǎng)與總部建立通信。分支機(jī)構(gòu)子網(wǎng)為10.1.1.0/24，總部子網(wǎng)為10.1.2.0/24?，F(xiàn)公司希望對(duì)分支機(jī)構(gòu)子網(wǎng)與總部子網(wǎng)之間相互訪問(wèn)的流量進(jìn)行安全保護(hù)，并且若主備鏈路切換或某條出口鏈路故障時(shí)，要求安全保護(hù)不中斷。但由于兩個(gè)出接口分別協(xié)商生成IPSec SA，在主備鏈路切換時(shí)，接口會(huì)出現(xiàn)Up/Down狀態(tài)變化，因此需要重新進(jìn)行IKE協(xié)商，從而導(dǎo)致數(shù)據(jù)流的暫時(shí)中斷。為保證在進(jìn)行主備鏈路切換時(shí)安全保護(hù)不中斷，以實(shí)現(xiàn)IPSec SA的平滑切換，希望分支機(jī)構(gòu)網(wǎng)關(guān)的兩條出口鏈路與總部網(wǎng)關(guān)只協(xié)商一個(gè)共享的IPSec SA。

圖1 分支采用多鏈路共享功能與總部建立IPSec隧道示例的拓?fù)浣Y(jié)構(gòu)

1. 基本配置思路分析

因?yàn)榉种C(jī)構(gòu)網(wǎng)關(guān)有兩條鏈路連接到Internet，為了使這兩條鏈路與總部網(wǎng)關(guān)只協(xié)商生成一個(gè)IPSec，所以不能利用分支機(jī)構(gòu)網(wǎng)關(guān)的兩個(gè)公網(wǎng)接口分別與總部網(wǎng)關(guān)配置對(duì)等體，而要使用一個(gè)Loop Back接口與總部網(wǎng)關(guān)建立IPSec隧道，最終使兩條出口鏈路與總部網(wǎng)關(guān)只協(xié)商一個(gè)共享的IPSec SA。具體配置思路如下。

（1）配置各網(wǎng)關(guān)設(shè)備內(nèi)/外網(wǎng)接口的IP地址，以及分支機(jī)構(gòu)公網(wǎng)、私網(wǎng)與總部公網(wǎng)、私網(wǎng)互訪的靜態(tài)路由。

（2）配置高級(jí)ACL，以定義分支機(jī)構(gòu)子網(wǎng)與總部子網(wǎng)通信時(shí)需要IPSec保護(hù)的數(shù)據(jù)流。

（3）配置IPSec安全提議，定義IPSec的保護(hù)方法。

（4）配置IKE安全提議。

（5）配置IKE對(duì)等體，定義對(duì)等體間IKE協(xié)商時(shí)的屬性。

展開(kāi)全文

本示例中IKE對(duì)等體的配置，分支機(jī)構(gòu)本端IP地址與總部網(wǎng)關(guān)配置的對(duì)端IP地址均要配置為分支機(jī)構(gòu)網(wǎng)關(guān)Loop Back接口的IP地址。

（6）配置安全策略，并引用前面定義的ACL和IPSec安全提議，確定對(duì)何種數(shù)據(jù)流采取何種保護(hù)方法。

（7）在接口上應(yīng)用安全策略組，使接口具有IPSec的保護(hù)功能。其中在分支機(jī)構(gòu)網(wǎng)關(guān)Router A上的安全策略組在應(yīng)用前需要通過(guò)ipsec policy policy-name shared localinterface loopback interface-number命令設(shè)置為多鏈路共享，然后在Router A的兩個(gè)公網(wǎng)接口上分別應(yīng)用安全策略組。

2. 具體配置步驟

（1）分別在Router A和Router B上配置各接口（包括Router A上的Loopback接口）的IP地址和到對(duì)端各公網(wǎng)、私網(wǎng)的靜態(tài)路由。

# 在Router A上配置接口IP地址。

Huawei system-view

[Huawei] sysname Router A

[Router A] interface gigabitethernet 1/0/0

[Router A-Gigabit Ethernet1/0/0] ip address 70.1.1.1 255.255.255.0

[Router A-Gigabit Ethernet1/0/0] quit

[Router A] interface gigabitethernet 2/0/0

[Router A-Gigabit Ethernet2/0/0] ip address 80.1.1.1 255.255.255.0

[Router A-Gigabit Ethernet2/0/0] quit

[Router A] interface gigabitethernet 3/0/0

[Router A-Gigabit Ethernet3/0/0] ip address 10.1.1.1 255.255.255.0

[Router A-Gigabit Ethernet3/0/0] quit

[Router A] interface loopback 0

[Router A-Loop Back0] ip address 1.1.1.1 255.255.255.255

[Router A-Loop Back0] quit

# 在Router A上配置通過(guò)兩條不同鏈路到達(dá)對(duì)端公網(wǎng)、私網(wǎng)的靜態(tài)路由（優(yōu)先級(jí)要配置的不同，以實(shí)現(xiàn)主備備份），此處假設(shè)Router A的兩個(gè)出接口到對(duì)端的下一跳地址分別為70.1.1.2和80.1.1.2。

[Router A]iproute-static10.1.2.02470.1.1.2preference10　#---配置從GE1/0/0接口對(duì)應(yīng)鏈路到達(dá)總部私網(wǎng)的靜態(tài)路由

[Router A]iproute-static10.1.2.02480.1.1.2preference20　#---配置從GE2/0/0接口對(duì)應(yīng)鏈路到達(dá)總部私網(wǎng)的靜態(tài)路由

[Router A]iproute-static60.1.1.13270.1.1.2preference10　#---配置從GE1/0/0接口對(duì)應(yīng)鏈路到達(dá)總部公網(wǎng)的靜態(tài)路由

[Router A]iproute-static60.1.1.13280.1.1.2preference20　#---配置從GE2/0/0接口對(duì)應(yīng)鏈路到達(dá)總部公網(wǎng)的靜態(tài)路由

# 在Router B上配置接口IP地址。

Huawei system-view

[Huawei] sysname Router B

[Router B] interface gigabitethernet 1/0/0

[Router B-Gigabit Ethernet1/0/0] ip address 60.1.1.1 255.255.255.0

[Router B-Gigabit Ethernet1/0/0] quit

[Router B] interface gigabitethernet 3/0/0

[Router B-Gigabit Ethernet3/0/0] ip address 10.1.1.1 255.255.255.0

[Router B-Gigabit Ethernet3/0/0] quit

# 在Router B上配置到達(dá)分支機(jī)構(gòu)各公網(wǎng)、私網(wǎng)、Loopback0接口的靜態(tài)路由，此處假設(shè)Router B到對(duì)端的下一跳地址為60.1.1.2。

[Router B]iproute-static1.1.1.13260.1.1.2　#---到達(dá)Loopback0接口的靜態(tài)路由

[Router B]iproute-static10.1.1.02460.1.1.2　#---到達(dá)分支機(jī)構(gòu)私網(wǎng)的靜態(tài)路由

[Router B]iproute-static70.1.1.1320.1.1.2　#---到達(dá)Router AGE1/0/0接口的靜態(tài)路由

[Router B]iproute-static80.1.1.13260.1.1.2　 #---到達(dá)Router AGE2/0/0接口的靜態(tài)路由

（2）分別在Router A和Router B上配置ACL，定義各自要保護(hù)的數(shù)據(jù)流。

# 在Router A上配置ACL，定義由總部子網(wǎng)10.1.1.0/24到達(dá)分支機(jī)構(gòu)子網(wǎng)

10.1.2.0/24的數(shù)據(jù)流。

[Router A] acl number 3101

[Router A-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Router A-acl-adv-3101] quit

# 在Router B上配置ACL，定義由分支機(jī)構(gòu)子網(wǎng)10.1.2.0/24到達(dá)總部子網(wǎng)

10.1.1.0/24的數(shù)據(jù)流。

[Router B] acl number 3101

[Router B-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Router B-acl-adv-3101] quit

（3）分別在Router A和Router B上創(chuàng)建IPSec安全提議（假設(shè)名稱(chēng)均為prop也可以不同），使用ESP安全協(xié)議，認(rèn)證算法為SHA2-256，加密算法為AES-128。

[Router A] ipsec proposal prop

[Router A-ipsec-proposal-prop] esp authentication-algorithm sha2-256

[Router A-ipsec-proposal-prop] esp encryption-algorithm aes-128

[Router A-ipsec-proposal-prop] quit

[Router B] ipsec proposal prop

[Router B-ipsec-proposal-prop] esp authentication-algorithm sha2-256

[Router B-ipsec-proposal-prop] esp encryption-algorithm aes-128

[Router B-ipsec-proposal-prop] quit

（4）分別在Router A和Router B上創(chuàng)建IKE安全提議（序號(hào)均為5，也可以不同），認(rèn)證算法為SHA2-256，加密算法為AES-128，DH為group14。

[Router A] ike proposal 5

[Router A-ike-proposal-5] authentication-algorithm sha2-256

[Router A-ike-proposal-5] encryption-algorithm aes-128

[Router A-ike-proposal-5] dh group14

[Router A-ike-proposal-5] quit

[Router B] ike proposal 5

[Router B-ike-proposal-5] authentication-algorithm sha2-256

[Router B-ike-proposal-5] encryption-algorithm aes-128

[Router B-ike-proposal-5] dh group14

[Router B-ike-proposal-5] quit

（5）分別在Router A和Router B上配置IKE對(duì)等體（此處名稱(chēng)均為rut，也可以不同），假設(shè)采用IKEv2版本。因?yàn)镮KE提議中的認(rèn)證方法采用缺省值，所以采用的是預(yù)共享密鑰認(rèn)證方法，需要配置預(yù)共享密鑰（假設(shè)為huawei，兩端的配置必須一致）。另外，在總部網(wǎng)關(guān)Router B上配置的“對(duì)端IP地址”必須是分支機(jī)構(gòu)網(wǎng)關(guān)Router A上的Loopback0接口IP地址。

# 在Router A上配置IKE對(duì)等體，并引用前面創(chuàng)建的IKE安全提議，配置預(yù)共享密鑰和對(duì)端IP地址。

[Router A] ike peer rut

[Router A-ike-peer-rut] undo version 2

[Router A-ike-peer-rut] ike-proposal 5

[Router A-ike-peer-rut] pre-shared-key simple huawei

[Router A-ike-peer-rut] remote-address 60.1.1.1

[Router A-ike-peer-rut] quit

# 在Router B上配置IKE對(duì)等體，并引用前面創(chuàng)建的IKE安全提議，配置預(yù)共享密鑰和對(duì)端IP地址。

[Router B] ike peer rut

[Router B-ike-peer-rut] undo version 2

[Router B-ike-peer-rut] ike-proposal 5

[Router B-ike-peer-rut] pre-shared-key simple huawei

[Router B-ike-peer-rut]remote-address1.1.1.1　#---為分支機(jī)構(gòu)Loopback0接口的IP地址

[Router B-ike-peer-rut] quit

（6）分別在Router A和Router B上創(chuàng)建安全策略，引用前面創(chuàng)建的IPSec安全提議、IKE對(duì)等體和用于定義需要保護(hù)的數(shù)據(jù)流的ACL。

# 在Router A上配置安全策略。

[Router A] ipsec policy policy1 10 isakmp

[Router A-ipsec-policy-isakmp-policy1-10] ike-peer rut

[Router A-ipsec-policy-isakmp-policy1-10] proposal prop

[Router A-ipsec-policy-isakmp-policy1-10] security acl 3101

[Router A-ipsec-policy-isakmp-policy1-10] quit

# 在Router B上配置安全策略。

[Router B] ipsec policy policy1 10 isakmp

[Router B-ipsec-policy-isakmp-policy1-10] ike-peer rut

[Router B-ipsec-policy-isakmp-policy1-10] proposal prop

[Router B-ipsec-policy-isakmp-policy1-10] security acl 3101

[Router B-ipsec-policy-isakmp-policy1-10] quit

（7）分別在Router A和Router B的接口上應(yīng)用各自的安全策略組，使通過(guò)這些接口向外發(fā)送的興趣流能被IPSec保護(hù)。

# 在Router A上配置多鏈路共享功能，并且分別在兩個(gè)公網(wǎng)接口上引用前面創(chuàng)建的安全策略組。

[Router A]ipsecpolicypolicy1sharedlocal-interfaceloopback0　#---配置安全策略組policy1對(duì)應(yīng)的IPSec隧道為多鏈路共享

[Router A] interface gigabitethernet 1/0/0

[Router A-Gigabit Ethernet1/0/0] ipsec policy policy1

[Router A-Gigabit Ethernet1/0/0] quit

[Router A] interface gigabitethernet 2/0/0

[Router A-Gigabit Ethernet2/0/0] ipsec policy policy1

[Router A-Gigabit Ethernet2/0/0] quit

# 在Router B的接口上引用安全策略組。

[Router B] interface gigabitethernet 1/0/0

[Router B-Gigabit Ethernet1/0/0] ipsec policy policy1

[Router B-Gigabit Ethernet1/0/0] quit

3. 配置結(jié)果驗(yàn)證

配置成功后，在分支機(jī)構(gòu)子網(wǎng)的主機(jī)PCA執(zhí)行ping操作可以ping通位于總部子網(wǎng)的主機(jī)PC B，并且它們之間的數(shù)據(jù)傳輸將被加密，執(zhí)行命令display ipsec statistics esp可以查看數(shù)據(jù)包的統(tǒng)計(jì)信息。

# 在Router A上執(zhí)行display ike sa操作，會(huì)顯示在Router A上協(xié)商生成的IKE SA信息，如果見(jiàn)到了第2階段的IPSec SA信息，則表明IPSec隧道建立成功了。

[Router A] display ike sa

Conn-ID　Peer　　　　 VPN　 Flag(s)　　　　　　　Phase

----------------------------------------------

16　　60.1.1.1　　　 0　　RD|ST　　　　　　　 v1:2

14　　60.1.1.1　　　 0　　RD|ST　　　　　　　 v1:1

Numberof SAentries　:2

Number of SA entries of all cpu : 2

Flag Deion:

RD--READY　 ST--STAYALIVE　 RL--REPLACED　 FD--FADING　 TO--

TIMEOUT

HRT--HEARTBEAT　 LKG--LASTKNOWNGOODSEQNO.　 BCK--BACKEDUP

M--ACTIVE　 S--STANDBY　 A--ALONE　NEG--NEGOTIATING

# 此時(shí)分別在Router A和Router B上執(zhí)行display ipsec sa操作，會(huì)顯示所配置的IPSec SA信息，以下是在Router A上執(zhí)行本命令后的輸出信息。

[Router A] display ipsec sa

===============================

Shared interface: Loop Back0

Interface: Gigabit Ethernet1/0/0

Gigabit Ethernet2/0/0

===============================

-----------------------

IPSec policy name:"policy1"

Sequencenumber　:10

Acl Group　　　 :3101

Aclrule　　　　:5

Mode　　　　　 :ISAKMP

-----------------------

Connection ID　　:16　#---這是最終建立的IPSes SA標(biāo)識(shí)符，也表明IPSec隧道建立成功

Encapsulation mode: Tunnel

Tunnellocal　　 :1.1.1.1

Tunnelremote　　:60.1.1.1

Flowsource　　　:10.1.1.0/255.255.255.00/0

Flowdestination　:10.1.2.0/255.255.255.00/0

Qospre-classify　:Disable

[Outbound ESP SAs]

SPI: 3694855398 (0xdc3b04e6)

Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256

SA remaining key duration (bytesc): 1887436800/3595

Max sent sequence-number: 0

UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs]

SPI: 3180691667 (0xbd9580d3)

Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256

SA remaining key duration (bytesc): 1887436800/3595

Max received sequence-number: 0

Anti-replay window size: 32

UDP encapsulation used for NAT traversal: N

▲

- The end -