素材来源:华为防火墙配置指南
一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验
目标
建立IPSec隧道的一端使用两台设备进行双机热备,可以将IPSec的配置信息、隧道建立信息等从主设备备份到备用设备上,保证即使主设备断开后隧道也不会拆除,提高了网络的可靠性。
组网需求
如图1所示,公司总部(HQ)通过FW_A和FW_B接入外网。分支机构(Branch)员工使用FW_C接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。公司由多个分支机构组成,此举例中只以其中一个为例,其网关为FW_C。为提高网络可靠性,FW_A和FW_B配置组成主备方式的双机热备,其上下行设备均是交换机。
配置思路
- 配置FW_A和FW_B的双机热备功能。
- 配置FW_A的安全策略和IPSec业务。 FW_A和FW_B的双机热备功能启用以后,FW_A的安全策略和IPSec业务将会自动备份到FW_B。
- 在FW_C上配置IPSec隧道。
操作步骤
-
配置FW_A(总部)和FW_B(总部)的双机热备功能。
- 配置各接口的IP地址,并将接口加入相应的安全区域。
-
<sysname> system-view [sysname] sysname FW_A [FW_A] interface gigabitethernet 1 / 0 / 1 [FW_A-GigabitEthernet1/0/1] ip address 10.10.0.1 24 [FW_A-GigabitEthernet1/0/1] quit [FW_A] interface gigabitethernet 1 / 0 / 2 [FW_A-GigabitEthernet1/0/2] ip address 1.1.1.2 24 [FW_A-GigabitEthernet1/0/2] quit [FW_A] interface gigabitethernet 1 / 0 / 3 [FW_A-GigabitEthernet1/0/3] ip address 10.3.0.3 24 [FW_A-GigabitEthernet1/0/3] quit [FW_A] firewall zone trust [FW_A-zone-trust] add interface gigabitethernet 1 / 0 / 3 [FW_A-zone-trust] quit [FW_A] firewall zone untrust [FW_A-zone-untrust] add interface gigabitethernet 1 / 0 / 2 [FW_A-zone-untrust] quit [FW_A] firewall zone dmz [FW_A-zone-dmz] add interface gigabitethernet 1 / 0 / 1 [FW_A-zone-dmz] quit 复制代码 - 在FW_A上配置VRRP备份组。
-
[FW_A] interface gigabitethernet 1 / 0 / 2 [FW_A-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 1.1.1.1 24 active [FW_A-GigabitEthernet1/0/2] quit [FW_A] interface gigabitethernet 1 / 0 / 3 [FW_A-GigabitEthernet1/0/3] vrrp vrid 1 virtual-ip 10.3.0.2 24 active [FW_A-GigabitEthernet1/0/3] quit 复制代码 - 在FW_A上指定心跳口并启用双机热备功能。
-
[FW_A] hrp interface gigabitethernet 1 / 0 / 1 remote 10.10.0.2 [FW_A] hrp enable 复制代码 - 完成FW_B的配置,建立双机热备状态。
- # FW_B和上述FW_A的配置基本相同,不同之处在于:
- FW_B各接口的IP地址与FW_A各接口的IP地址不相同。
- FW_B的业务接口GE1/0/2和GE1/0/3的VRRP备份组需要加入状态为Standby的VGMP组。
-
在FW_A上配置安全策略和IPSec业务。
-
配置安全策略。
- 配置Trust域与Untrust域的安全策略,允许封装前和解封后的报文能通过FW_A。
-
[FW_A] security-policy [FW_A-policy-security] rule name policy_ipsec_1 [FW_A-policy-security-rule-policy_ipsec_1] source-zone trust [FW_A-policy-security-rule-policy_ipsec_1] destination-zone untrust [FW_A-policy-security-rule-policy_ipsec_1] source-address 10.3.0.0 24 [FW_A-policy-security-rule-policy_ipsec_1] destination-address 10.4.1.0 24 [FW_A-policy-security-rule-policy_ipsec_1] action permit [FW_A-policy-security-rule-policy_ipsec_1] quit [FW_A-policy-security] rule name policy_ipsec_2 [FW_A-policy-security-rule-policy_ipsec_2] source-zone untrust [FW_A-policy-security-rule-policy_ipsec_2] destination-zone trust [FW_A-policy-security-rule-policy_ipsec_2] source-address 10.4.1.0 24 [FW_A-policy-security-rule-policy_ipsec_2] destination-address 10.3.0.0 24 [FW_A-policy-security-rule-policy_ipsec_2] action permit [FW_A-policy-security-rule-policy_ipsec_2] quit 复制代码 - 配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过FW_A。
-
[FW_A-policy-security] rule name policy_ipsec_3 [FW_A-policy-security-rule-policy_ipsec_3] source-zone local [FW_A-policy-security-rule-policy_ipsec_3] destination-zone untrust [FW_A-policy-security-rule-policy_ipsec_3] source-address 1.1.1.1 32 [FW_A-policy-security-rule-policy_ipsec_3] destination-address 4.4.4.4 32 [FW_A-policy-security-rule-policy_ipsec_3] action permit [FW_A-policy-security-rule-policy_ipsec_3] quit [FW_A-policy-security] rule name policy_ipsec_4 [FW_A-policy-security-rule-policy_ipsec_4] source-zone untrust [FW_A-policy-security-rule-policy_ipsec_4] destination-zone local [FW_A-policy-security-rule-policy_ipsec_4] source-address 4.4.4.4 32 [FW_A-policy-security-rule-policy_ipsec_4] destination-address 1.1.1.1 32 [FW_A-policy-security-rule-policy_ipsec_4] action permit [FW_A-policy-security-rule-policy_ipsec_4] quit [FW_A-policy-security] quit 复制代码
-
配置FW_A的路由。
-
# 配置一条缺省路由,下一跳为1.1.1.254。
-
[FW_A] ip route- static 0.0.0.0 0.0.0.0 1.1.1.254 复制代码 -
# 配置到达分支机构内网的路由,下一跳为1.1.1.254。
-
[FW_A] ip route- static 10.4.1.0 255.255.255.0 1.1.1.254 复制代码 -
配置FW_A的IPSec隧道。
- 配置访问控制列表,定义需要保护的数据流。
-
[FW_A] acl 3000 [FW_A-acl-adv-3000] rule 5 permit ip source 10.3.0.0 0.0.0.255 destination 10.4.1.0 0.0.0.255 [FW_A-acl-adv-3000] quit 复制代码 - 配置序号为10的IKE安全提议。
-
[FW_A] ike proposal 10 [FW_A-ike-proposal-10] quit 复制代码 - 配置IKE Peer。
-
[FW_A] ike peer any [FW_A-ike-peer-any] ike-proposal 10 [FW_A-ike-peer-any] pre-shared-key Admin @ 123 [FW_A-ike-peer-any] quit 复制代码 - 配置名称为tran1的IPSec安全提议。
-
[FW_A] ipsec proposal tran1 [FW_A-ipsec-proposal-tran1] encapsulation-mode tunnel [FW_A-ipsec-proposal-tran1] transform esp [FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256 [FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes- 256 [FW_A-ipsec-proposal-tran1] quit 复制代码 - 配置策略模板policy1,并在IPSec安全策略组map1中引用该策略模板。
-
[FW_A] ipsec policy-template policy1 1 [FW_A-ipsec-policy-templet-policy1-1] security acl 3000 [FW_A-ipsec-policy-templet-policy1-1] proposal tran1 [FW_A-ipsec-policy-templet-policy1-1] ike-peer any [FW_A-ipsec-policy-templet-policy1-1] quit [FW_A] ipsec policy map1 10 isakmp template policy1 复制代码 - 在出接口GE1/0/2上应用安全策略组map1。
-
[FW_A] interface gigabitethernet 1 / 0 / 2 [FW_A-GigabitEthernet1/0/2] ipsec policy map1 [FW_A-GigabitEthernet1/0/2] quit 复制代码
-
- 在FW_B上配置路由。
配置一条缺省路由,下一跳为1.1.1.254。
HRP_S[FW_B] ip route- static 0.0.0.0 0.0.0.0 1.1.1.254
复制代码配置到达分支机构内网的路由,下一跳为1.1.1.254。
HRP_S[FW_B] ip route- static 10.4.1.0 255.255.255.0 1.1.1.254
复制代码-
配置FW_C(分支)。
-
配置接口IP地址。
-
<sysname> system-view [sysname] sysname FW_C [FW_C] interface gigabitethernet 1 / 0 / 3 [FW_C-GigabitEthernet1/0/3] ip address 10.4.1.1 24 [FW_C-GigabitEthernet1/0/3] quit [FW_C] interface gigabitethernet 1 / 0 / 1 [FW_C-GigabitEthernet1/0/1] ip address 4.4.4.4 24 [FW_C-GigabitEthernet1/0/1] quit 复制代码 -
配置接口加入相应安全区域。
-
[FW_C] firewall zone trust [FW_C-zone-trust] add interface gigabitethernet 1 / 0 / 3 [FW_C-zone-trust] quit [FW_C] firewall zone untrust [FW_C-zone-untrust] add interface gigabitethernet 1 / 0 / 1 [FW_C-zone-untrust] quit 复制代码 -
配置安全策略。
- 配置Trust域与Untrust域的安全策略,允许封装前和解封后的报文能通过FW_C。
-
[FW_C] security-policy [FW_C-policy-security] rule name policy_ipsec_1 [FW_C-policy-security-rule-policy_ipsec_1] source-zone trust [FW_C-policy-security-rule-policy_ipsec_1] destination-zone untrust [FW_C-policy-security-rule-policy_ipsec_1] source-address 10.4.1.0 24 [FW_C-policy-security-rule-policy_ipsec_1] destination-address 10.3.0.0 24 [FW_C-policy-security-rule-policy_ipsec_1] action permit [FW_C-policy-security-rule-policy_ipsec_1] quit [FW_C-policy-security] rule name policy_ipsec_2 [FW_C-policy-security-rule-policy_ipsec_2] source-zone untrust [FW_C-policy-security-rule-policy_ipsec_2] destination-zone trust [FW_C-policy-security-rule-policy_ipsec_2] source-address 10.3.0.0 24 [FW_C-policy-security-rule-policy_ipsec_2] destination-address 10.4.1.0 24 [FW_C-policy-security-rule-policy_ipsec_2] action permit [FW_C-policy-security-rule-policy_ipsec_2] quit 复制代码 - 配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过FW_C。
-
[FW_C-policy-security] rule name policy_ipsec_3 [FW_C-policy-security-rule-policy_ipsec_3] source-zone local [FW_C-policy-security-rule-policy_ipsec_3] destination-zone untrust [FW_C-policy-security-rule-policy_ipsec_3] source-address 4.4.4.4 32 [FW_C-policy-security-rule-policy_ipsec_3] destination-address 1.1.1.1 32 [FW_C-policy-security-rule-policy_ipsec_3] action permit [FW_C-policy-security-rule-policy_ipsec_3] quit [FW_C-policy-security] rule name policy_ipsec_4 [FW_C-policy-security-rule-policy_ipsec_4] source-zone untrust [FW_C-policy-security-rule-policy_ipsec_4] destination-zone local [FW_C-policy-security-rule-policy_ipsec_4] source-address 1.1.1.1 32 [FW_C-policy-security-rule-policy_ipsec_4] destination-address 4.4.4.4 32 [FW_C-policy-security-rule-policy_ipsec_4] action permit [FW_C-policy-security-rule-policy_ipsec_4] quit [FW_C-policy-security] quit 复制代码
-
配置FW_C的路由。
-
# 配置一条缺省路由,下一跳为4.4.4.254。
-
[FW_C] ip route- static 0.0.0.0 0.0.0.0 4.4.4.254 复制代码 -
# 配置到达总部内网的路由,下一跳为4.4.4.254。
-
[FW_C] ip route- static 10.3.0.0 255.255.255.0 4.4.4.254 复制代码 -
配置FW_C的IPSec隧道。
- 配置访问控制列表,定义需要保护的数据流。
-
[FW_C] acl 3000 [FW_C-acl-adv-3000] rule 5 permit ip source 10.4.1.0 0.0.0.255 destination 10.3.0.0 0.0.0.255 [FW_C-acl-adv-3000] quit 复制代码 - 配置序号为10的IKE安全提议。
-
[FW_C] ike proposal 10 [FW_C-ike-proposal-10] quit 复制代码 - 配置IKE Peer。
-
[FW_C] ike peer a [FW_C-ike-peer-a] ike-proposal 10 [FW_C-ike-peer-a] remote-address 1.1.1.1 [FW_C-ike-peer-a] pre-shared-key Admin @ 123 [FW_C-ike-peer-a] quit 复制代码 - 配置名称为tran1的IPSec安全提议。
-
[FW_C] ipsec proposal tran1 [FW_C-ipsec-proposal-tran1] encapsulation-mode tunnel [FW_C-ipsec-proposal-tran1] transform esp [FW_C-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256 [FW_C-ipsec-proposal-tran1] esp encryption-algorithm aes- 256 [FW_C-ipsec-proposal-tran1] quit 复制代码 - 配置IPSec安全策略组map1。
-
[FW_C] ipsec policy map1 10 isakmp [FW_C-ipsec-policy-isakmp-map1-10] security acl 3000 [FW_C-ipsec-policy-isakmp-map1-10] proposal tran1 [FW_C-ipsec-policy-isakmp-map1-10] ike-peer a [FW_C-ipsec-policy-isakmp-map1-10] quit 复制代码 - 在出接口GE1/0/1上应用安全策略组map1。
-
[FW_C] interface gigabitethernet 1 / 0 / 1 [FW_C-GigabitEthernet1/0/1] ipsec policy map1 [FW_C-GigabitEthernet1/0/1] quit 复制代码
-
- 配置交换机。 将图1中交换机的各接口加入到同一个VLAN。 具体配置命令请参考交换机的相关文档。
结果验证
- 分支机构10.4.1.0/24网段的内网设备访问总部10.3.0.0/24网段服务器,可以访问成功。
- 在FW_A和FW_B上执行display ike sa和display ipsec sa命令,IPSec SA表项生成说明IPSec隧道建立成功且隧道备份成功。
- 将FW_A的GE1/0/3接口或GE1/0/2接口断开,业务可以正常切换到FW_B。