Juega con la serie de simuladores ENSP de Huawei | Puerta de enlace IPSec activa y en espera de doble máquina en espera activa

Enterprise 2023-06-11 20:57:57 views: null

Fuente: Guía de configuración del firewall de Huawei

Organice las notas de prueba mientras estudia y compártalas con todos, la infracción se eliminará, ¡gracias por su apoyo!

Adjunte una publicación de resumen: Jugando con la serie de simuladores ENSP de Huawei | Colección_Blog de COCOgsta-Blog de CSDN_Experimento del simulador de Huawei

Objetivo

Un extremo del túnel IPSec se establece utilizando dos dispositivos para la copia de seguridad en caliente de dos máquinas, que pueden hacer una copia de seguridad de la información de configuración de IPSec y de la información de establecimiento del túnel desde el dispositivo maestro al dispositivo de respaldo, lo que garantiza que el túnel no se desmantele incluso si el maestro el dispositivo está desconectado, lo que mejora la confiabilidad de la red.

Requisitos de red

Como se muestra en la Figura 1 , la sede de la empresa (HQ) accede a la red externa a través de FW_A y FW_B. Los empleados de la sucursal usan FW_C para acceder al div Quarters. Las sucursales deben acceder de forma segura al servidor de intranet protegido por IPSec. La empresa consta de varias sucursales, y este ejemplo solo toma una de ellas como ejemplo, y su puerta de enlace es FW_C. Para mejorar la confiabilidad de la red, FW_A y FW_B están configurados para formar un sistema dual activo/en espera en espera activa, y los dispositivos de enlace ascendente y descendente son todos conmutadores.

Idea de configuración

  1. Configure la función de copia de seguridad activa del sistema dual para FW_A y FW_B.
  1. Configure políticas de seguridad y servicios IPSec en FW_A. Después de habilitar la función de espera activa de FW_A y FW_B, la política de seguridad y los servicios IPSec de FW_A se respaldarán automáticamente en FW_B.
  1. Configure un túnel IPSec en FW_C.

Pasos

  1. Configure la función de copia de seguridad activa de FW_A (sede central) y FW_B (sede central).

    1. Configure una dirección IP para cada interfaz y agregue la interfaz a la zona de seguridad correspondiente.
    2. <sysname> system-view
[sysname] sysname FW_A
[FW_A] interface gigabitethernet 1 / 0 / 1
[FW_A-GigabitEthernet1/0/1] ip address 10.10.0.1  24
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface gigabitethernet 1 / 0 / 2
[FW_A-GigabitEthernet1/0/2] ip address 1.1.1.2  24
[FW_A-GigabitEthernet1/0/2] quit
[FW_A] interface gigabitethernet 1 / 0 / 3
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.3  24
[FW_A-GigabitEthernet1/0/3] quit
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface gigabitethernet 1 / 0 / 3
[FW_A-zone-trust] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface gigabitethernet 1 / 0 / 2
[FW_A-zone-untrust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface gigabitethernet 1 / 0 / 1
[FW_A-zone-dmz] quit
复制代码
    3. Configure un grupo de respaldo de VRRP en FW_A.
    4. [FW_A] interface gigabitethernet 1 / 0 / 2
[FW_A-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 1.1.1.1  24 active
[FW_A-GigabitEthernet1/0/2] quit
[FW_A] interface gigabitethernet 1 / 0 / 3
[FW_A-GigabitEthernet1/0/3] vrrp vrid 1 virtual-ip 10.3.0.2  24 active
[FW_A-GigabitEthernet1/0/3] quit
复制代码
    5. Especifique el puerto de latidos en FW_A y habilite la función de copia de seguridad activa del sistema dual.
    6. [FW_A] hrp interface gigabitethernet 1 / 0 / 1 remote 10.10.0.2
[FW_A] hrp enable
复制代码
    7. Complete la configuración de FW_B y establezca el estado de espera activa del sistema dual.
    8.   # La configuración de FW_B es básicamente la misma que la anterior FW_A, la diferencia es:
    9. Las direcciones IP de las interfaces en FW_B son diferentes de las direcciones IP de las interfaces en FW_A.
    10. Los grupos de respaldo VRRP de las interfaces de servicio GE1/0/2 y GE1/0/3 en FW_B deben agregarse al grupo VGMP cuyo estado es En espera.

  1. Configure políticas de seguridad y servicios IPSec en FW_A.

    1. Configurar políticas de seguridad.

      1. Configure políticas de seguridad en los dominios Trust y Untrust para permitir que los paquetes pasen a través de FW_A antes de la encapsulación y después de la desencapsulación.
      2. [FW_A] security-policy
[FW_A-policy-security] rule name policy_ipsec_1
[FW_A-policy-security-rule-policy_ipsec_1] source-zone trust
[FW_A-policy-security-rule-policy_ipsec_1] destination-zone untrust
[FW_A-policy-security-rule-policy_ipsec_1] source-address 10.3.0.0  24
[FW_A-policy-security-rule-policy_ipsec_1] destination-address 10.4.1.0  24 
[FW_A-policy-security-rule-policy_ipsec_1] action permit
[FW_A-policy-security-rule-policy_ipsec_1] quit
[FW_A-policy-security] rule name policy_ipsec_2
[FW_A-policy-security-rule-policy_ipsec_2] source-zone untrust
[FW_A-policy-security-rule-policy_ipsec_2] destination-zone trust
[FW_A-policy-security-rule-policy_ipsec_2] source-address 10.4.1.0  24 
[FW_A-policy-security-rule-policy_ipsec_2] destination-address 10.3.0.0  24 
[FW_A-policy-security-rule-policy_ipsec_2] action permit
[FW_A-policy-security-rule-policy_ipsec_2] quit
复制代码
      3. Configure políticas de seguridad para los dominios Local y Untrust para permitir que los paquetes de negociación IKE pasen normalmente a través de FW_A.
      4. [FW_A-policy-security] rule name policy_ipsec_3
[FW_A-policy-security-rule-policy_ipsec_3] source-zone local
[FW_A-policy-security-rule-policy_ipsec_3] destination-zone untrust
[FW_A-policy-security-rule-policy_ipsec_3] source-address 1.1.1.1  32 
[FW_A-policy-security-rule-policy_ipsec_3] destination-address 4.4.4.4  32
[FW_A-policy-security-rule-policy_ipsec_3] action permit
[FW_A-policy-security-rule-policy_ipsec_3] quit
[FW_A-policy-security] rule name policy_ipsec_4
[FW_A-policy-security-rule-policy_ipsec_4] source-zone untrust
[FW_A-policy-security-rule-policy_ipsec_4] destination-zone local
[FW_A-policy-security-rule-policy_ipsec_4] source-address 4.4.4.4  32 
[FW_A-policy-security-rule-policy_ipsec_4] destination-address 1.1.1.1  32
[FW_A-policy-security-rule-policy_ipsec_4] action permit
[FW_A-policy-security-rule-policy_ipsec_4] quit
[FW_A-policy-security] quit
复制代码

    2. Configurar rutas para FW_A.

    3.   # Configure una ruta predeterminada con el siguiente salto como 1.1.1.254.

    4. [FW_A] ip route- static  0.0.0.0  0.0.0.0  1.1.1.254
复制代码

    5.   # Configure una ruta a la red interna de la sucursal, siendo el siguiente salto 1.1.1.254.

    6. [FW_A] ip route- static  10.4.1.0  255.255.255.0  1.1.1.254
复制代码

    7. Configure un túnel IPSec en FW_A.

      1. Configure listas de control de acceso para definir los flujos de datos que deben protegerse.
      2. [FW_A] acl 3000
[FW_A-acl-adv-3000] rule 5 permit ip source 10.3.0.0  0.0.0.255 destination 10.4.1.0  0.0.0.255
[FW_A-acl-adv-3000] quit
复制代码
      3. Configure una propuesta IKE con el número de secuencia 10.
      4. [FW_A] ike proposal 10
[FW_A-ike-proposal-10] quit
复制代码
      5. Colocación IKE Peer.
      6. [FW_A] ike peer any
[FW_A-ike-peer-any] ike-proposal 10
[FW_A-ike-peer-any] pre-shared-key Admin @ 123
[FW_A-ike-peer-any] quit
复制代码
      7. Configure una propuesta de IPSec denominada tran1.
      8. [FW_A] ipsec proposal tran1
[FW_A-ipsec-proposal-tran1] encapsulation-mode tunnel
[FW_A-ipsec-proposal-tran1] transform esp
[FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_A-ipsec-proposal-tran1] quit
复制代码
      9. Configure la política de plantilla de política1 y haga referencia a esta plantilla de política en el mapa de grupo de políticas de seguridad IPSec1.
      10. [FW_A] ipsec policy-template policy1 1
[FW_A-ipsec-policy-templet-policy1-1] security acl 3000
[FW_A-ipsec-policy-templet-policy1-1] proposal tran1
[FW_A-ipsec-policy-templet-policy1-1] ike-peer any
[FW_A-ipsec-policy-templet-policy1-1] quit
[FW_A] ipsec policy map1 10 isakmp template policy1
复制代码
      11. Aplique el grupo de políticas de seguridad map1 a la interfaz de salida GE1/0/2.
      12. [FW_A] interface gigabitethernet 1 / 0 / 2
[FW_A-GigabitEthernet1/0/2] ipsec policy map1
[FW_A-GigabitEthernet1/0/2] quit
复制代码
  1. Configurar rutas en FW_B.

Configure una ruta predeterminada con el siguiente salto como 1.1.1.254.

HRP_S[FW_B] ip route- static  0.0.0.0  0.0.0.0  1.1.1.254
复制代码

Configure una ruta a la intranet de la sucursal, siendo el siguiente salto 1.1.1.254.

HRP_S[FW_B] ip route- static  10.4.1.0  255.255.255.0  1.1.1.254
复制代码

  1. Configurar FW_C (sucursal).

    1. Configure la dirección IP de la interfaz.

    2. <sysname> system-view
[sysname] sysname FW_C
[FW_C] interface gigabitethernet 1 / 0 / 3
[FW_C-GigabitEthernet1/0/3] ip address 10.4.1.1  24
[FW_C-GigabitEthernet1/0/3] quit
[FW_C] interface gigabitethernet 1 / 0 / 1
[FW_C-GigabitEthernet1/0/1] ip address 4.4.4.4  24
[FW_C-GigabitEthernet1/0/1] quit
复制代码

    3. Configure la interfaz para unirse a la zona de seguridad correspondiente.

    4. [FW_C] firewall zone trust
[FW_C-zone-trust] add interface gigabitethernet 1 / 0 / 3
[FW_C-zone-trust] quit
[FW_C] firewall zone untrust
[FW_C-zone-untrust] add interface gigabitethernet 1 / 0 / 1
[FW_C-zone-untrust] quit
复制代码

    5. Configurar políticas de seguridad.

      1. Configure políticas de seguridad en los dominios Trust y Untrust para permitir que los paquetes pasen a través de FW_C antes de la encapsulación y después de la desencapsulación.
      2. [FW_C] security-policy
[FW_C-policy-security] rule name policy_ipsec_1
[FW_C-policy-security-rule-policy_ipsec_1] source-zone trust
[FW_C-policy-security-rule-policy_ipsec_1] destination-zone untrust
[FW_C-policy-security-rule-policy_ipsec_1] source-address 10.4.1.0  24
[FW_C-policy-security-rule-policy_ipsec_1] destination-address 10.3.0.0  24 
[FW_C-policy-security-rule-policy_ipsec_1] action permit
[FW_C-policy-security-rule-policy_ipsec_1] quit
[FW_C-policy-security] rule name policy_ipsec_2
[FW_C-policy-security-rule-policy_ipsec_2] source-zone untrust
[FW_C-policy-security-rule-policy_ipsec_2] destination-zone trust
[FW_C-policy-security-rule-policy_ipsec_2] source-address 10.3.0.0  24 
[FW_C-policy-security-rule-policy_ipsec_2] destination-address 10.4.1.0  24
[FW_C-policy-security-rule-policy_ipsec_2] action permit
[FW_C-policy-security-rule-policy_ipsec_2] quit
复制代码
      3. Configure políticas de seguridad para los dominios Local y Untrust para permitir que los paquetes de negociación IKE pasen normalmente a través de FW_C.
      4. [FW_C-policy-security] rule name policy_ipsec_3
[FW_C-policy-security-rule-policy_ipsec_3] source-zone local
[FW_C-policy-security-rule-policy_ipsec_3] destination-zone untrust
[FW_C-policy-security-rule-policy_ipsec_3] source-address 4.4.4.4  32 
[FW_C-policy-security-rule-policy_ipsec_3] destination-address 1.1.1.1  32
[FW_C-policy-security-rule-policy_ipsec_3] action permit
[FW_C-policy-security-rule-policy_ipsec_3] quit
[FW_C-policy-security] rule name policy_ipsec_4
[FW_C-policy-security-rule-policy_ipsec_4] source-zone untrust
[FW_C-policy-security-rule-policy_ipsec_4] destination-zone local
[FW_C-policy-security-rule-policy_ipsec_4] source-address 1.1.1.1  32 
[FW_C-policy-security-rule-policy_ipsec_4] destination-address 4.4.4.4  32
[FW_C-policy-security-rule-policy_ipsec_4] action permit
[FW_C-policy-security-rule-policy_ipsec_4] quit
[FW_C-policy-security] quit
复制代码

    6. Configurar rutas para FW_C.

    7.   # Configure una ruta predeterminada con el siguiente salto como 4.4.4.254.

    8. [FW_C] ip route- static  0.0.0.0  0.0.0.0  4.4.4.254
复制代码

    9.   # Configure una ruta a la red interna de la sede, siendo el siguiente salto 4.4.4.254.

    10. [FW_C] ip route- static  10.3.0.0  255.255.255.0  4.4.4.254
复制代码

    11. Configure un túnel IPSec en FW_C.

      1. Configure listas de control de acceso para definir los flujos de datos que deben protegerse.
      2. [FW_C] acl 3000 
[FW_C-acl-adv-3000] rule 5 permit ip source 10.4.1.0  0.0.0.255 destination 10.3.0.0  0.0.0.255
[FW_C-acl-adv-3000] quit
复制代码
      3. Configure una propuesta IKE con el número de secuencia 10.
      4. [FW_C] ike proposal 10
[FW_C-ike-proposal-10] quit
复制代码
      5. Colocación IKE Peer.
      6. [FW_C] ike peer a
[FW_C-ike-peer-a] ike-proposal 10
[FW_C-ike-peer-a] remote-address 1.1.1.1
[FW_C-ike-peer-a] pre-shared-key Admin @ 123
[FW_C-ike-peer-a] quit
复制代码
      7. Configure una propuesta de IPSec denominada tran1.
      8. [FW_C] ipsec proposal tran1
[FW_C-ipsec-proposal-tran1] encapsulation-mode tunnel
[FW_C-ipsec-proposal-tran1] transform esp
[FW_C-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
[FW_C-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
[FW_C-ipsec-proposal-tran1] quit
复制代码
      9. Configure el mapa de grupo de políticas de seguridad IPSec1.
      10. [FW_C] ipsec policy map1 10 isakmp
[FW_C-ipsec-policy-isakmp-map1-10] security acl 3000
[FW_C-ipsec-policy-isakmp-map1-10] proposal tran1
[FW_C-ipsec-policy-isakmp-map1-10] ike-peer a
[FW_C-ipsec-policy-isakmp-map1-10] quit
复制代码
      11. Aplique el grupo de políticas de seguridad map1 a la interfaz de salida GE1/0/1.
      12. [FW_C] interface gigabitethernet 1 / 0 / 1
[FW_C-GigabitEthernet1/0/1] ipsec policy map1
[FW_C-GigabitEthernet1/0/1] quit
复制代码
  1. Configure el conmutador. Agregue cada interfaz del conmutador de la Figura 1 a la misma VLAN. Para ver los comandos de configuración específicos, consulte los documentos relevantes del conmutador.

Verificación de resultados

  1. El dispositivo de intranet de la sucursal en el segmento de red 10.4.1.0/24 accede al servidor en el segmento de red 10.3.0.0/24 de la sede y el acceso es exitoso.
  1. Ejecute los comandos display ike sa y display ipsec sa en FW_A y FW_B Si se genera una entrada IPSec SA, el túnel IPSec se establece correctamente y la copia de seguridad del túnel se realiza correctamente.
  1. Desconecte GE1/0/3 o GE1/0/2 de FW_A y los servicios se pueden cambiar a FW_B normalmente.

Supongo que te gusta

Origin blog.csdn.net/guolianggsta/article/details/127372973
Recomendado
Clasificación
Diario
Más
2024-05-21(34)
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)

Code World

© 2018 codetd.com