防火墙技术案例双机热备负载分担组网下的IPSec配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec 配置
论坛的小伙伴们,大家好。强叔最近已经开始在 侃墙”系列中为各位小伙伴们介绍各种 VPN 了。说到VPN , 小伙伴们肯定首先想到的是最经典的
IPSec VPN ,而且我想大家对IPSec 的配置也是最熟悉的。 但是如果
在两台处于负载分担状态下的防火墙上部署
IPSec VPN 又该如何操作呢?有什么需要注意的地方呢?
本期强叔就为大家介绍如何在双机热备的负载分担组网下配置
IPSec 。
NGFW_C 和NGFW_D 以负载分担方式工作,其上下行接口都工作在三层,并 OSPF 协议。(本例中,NGFW 是下一代防火墙USG6600的简称,软件版本为
USG6600V100R001C10 ) 现要求分支用户访问总部的流量受
IPSec 隧道保护,且NGFW_C 处理分支A 发送到总部的流量,NGFW_D
处理分支B 发送到总部的流量。当 NGFW_C 或NGFW_D 中一台防火墙出现故障时,分支发往总部的流 量能全部
切换到另一台运行正常的防火墙。
Internet
at
【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态?
两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上 配置VGMP 组(即hrp track 命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防 火墙上调动两个 VGMP 组(active 组和standby 组)来监控业务接口。 2、分支与总部之间如何建立 IPSec 隧道?
正常状态下,根据组网需求,需要在
NGFW A 与NGFW C 之间建立一条隧道,在 NGFW B 与
NGFW D 之间建立一条隧道。当 NGFW C 与NGFW D 其中一台防火墙故障时, NGFW A 和
NGFW_B 都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导?
总部的两台防火墙(NGFW_C 与NGFW_D )通过路由策略来调整自身的 Cost 值,从而实现正常状 态下来自NGFW_A 的流量通过 NGFW_C 转发,来自NGFW_B 的流量通过 NGFW_D 转发,故障状 态下来自NGFW A 和NGFW B 的流量都通过正常运行的防火墙转发。
【组网需求】
如下图所示,总部防火墙 与上下行路由器之间运行
GE1XW3 3
NGFW C
)GE1fC/l
-■ X -Crr'ijM /lit \fQl2 10.10.0JfH
GET.'C^
10.1.3,1/2^
W 1 2.1
IQ.10 022/24
< GE 1^2
R LAI I CI I
【配置步骤】
在配置双机热备功能前,小伙伴们需要按照上图配置各接口的 IP 地址,并将各接口加入相应的安全区
域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。 大家可以看到形成双机的两台防火墙
(NGFW_C 和
NGFW_D 负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典 的防火墙业务接口工作在三层,上下行连接路由器的负载分担组网
”。各位小伙伴们可以在华为的任
何防火墙资料中看到此经典举例,无论是命令行配置举例还是 Web 配置举例,大家想怎么看就怎么看
因此强叔只在此给岀双机热备的命令行配置和关键解释。
hrp track active // 业务接口工作在三层,上下行连接路由器的组网需要配置 hrp track
hrp track standby //负载分担组网需要同时配置
hrp track active 和standby
#
interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 hrp track active hrp track standby #
interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0
【强叔点评】各位小伙伴们在配置双机热备功能时,首先要确定的是防火墙业务接口的工作状态和上下行
2、配置 IPSec 。
【强叔点评】双机热备配置完成后,我们就开始配置
IPSec 功能,建立IPSec VPN 隧道啦。
由于公司希望NGFW_C 处理分支A( NGFW_A )发送到总部的流量,NGFW_D 处理分支B( NGFW_B ) 发送到总部的流量,因此正常情况下我们需要在 NGFW_C 和NGFW_A 之间建立一条隧道,在
NGFW_D 和NGFW_B 之间建立一条隧道。 这样看似已经满足需求了,但是如果
NGFW_D 出现故障了怎么办呢?分支 B 发送到总部的流量不就
中断了吗?小伙伴们仔细思考就会想到办法,我们需要在
NGFW_C 与NGFW_B ,NGFW_D 与
NGFW_A 之间分别建立一条备用隧道(图中虚线表示)。这样当 NGFW_D 出现故障时,分支B 发送 到总部的流量会通过备用隧道由
NGFW_C 发送到总部,就不会导致业务中断啦。
#
hrp mirror session enable hrp enable
hrp ospf-cost adjust-enable hrp interface GigabitEthernet 1/0/7 #
interface GigabitEthernet 1/0/1
ip address 10.2.0.1 255.255.255.0 //负载分担组网必须配置此命令
//启用双机热备功能
//根据主备状态调整 OSPF 的COST 直
//指定心跳接口