微信公眾號：計算機與網(wǎng)絡(luò)安全

▼

如圖1所示，Router A為公司分支機構(gòu)網(wǎng)關(guān)，Router B為公司總部網(wǎng)關(guān)，但分支機構(gòu)采用兩條出口鏈路互為備份或者負(fù)載分擔(dān)，通過公網(wǎng)與總部建立通信。分支機構(gòu)子網(wǎng)為10.1.1.0/24，總部子網(wǎng)為10.1.2.0/24。現(xiàn)公司希望對分支機構(gòu)子網(wǎng)與總部子網(wǎng)之間相互訪問的流量進行安全保護，并且若主備鏈路切換或某條出口鏈路故障時，要求安全保護不中斷。但由于兩個出接口分別協(xié)商生成IPSec SA，在主備鏈路切換時，接口會出現(xiàn)Up/Down狀態(tài)變化，因此需要重新進行IKE協(xié)商，從而導(dǎo)致數(shù)據(jù)流的暫時中斷。為保證在進行主備鏈路切換時安全保護不中斷，以實現(xiàn)IPSec SA的平滑切換，希望分支機構(gòu)網(wǎng)關(guān)的兩條出口鏈路與總部網(wǎng)關(guān)只協(xié)商一個共享的IPSec SA。

圖1 分支采用多鏈路共享功能與總部建立IPSec隧道示例的拓?fù)浣Y(jié)構(gòu)

1. 基本配置思路分析

因為分支機構(gòu)網(wǎng)關(guān)有兩條鏈路連接到Internet，為了使這兩條鏈路與總部網(wǎng)關(guān)只協(xié)商生成一個IPSec，所以不能利用分支機構(gòu)網(wǎng)關(guān)的兩個公網(wǎng)接口分別與總部網(wǎng)關(guān)配置對等體，而要使用一個Loop Back接口與總部網(wǎng)關(guān)建立IPSec隧道，最終使兩條出口鏈路與總部網(wǎng)關(guān)只協(xié)商一個共享的IPSec SA。具體配置思路如下。

（1）配置各網(wǎng)關(guān)設(shè)備內(nèi)/外網(wǎng)接口的IP地址，以及分支機構(gòu)公網(wǎng)、私網(wǎng)與總部公網(wǎng)、私網(wǎng)互訪的靜態(tài)路由。

（2）配置高級ACL，以定義分支機構(gòu)子網(wǎng)與總部子網(wǎng)通信時需要IPSec保護的數(shù)據(jù)流。

（3）配置IPSec安全提議，定義IPSec的保護方法。

（4）配置IKE安全提議。

（5）配置IKE對等體，定義對等體間IKE協(xié)商時的屬性。

展開全文

本示例中IKE對等體的配置，分支機構(gòu)本端IP地址與總部網(wǎng)關(guān)配置的對端IP地址均要配置為分支機構(gòu)網(wǎng)關(guān)Loop Back接口的IP地址。

（6）配置安全策略，并引用前面定義的ACL和IPSec安全提議，確定對何種數(shù)據(jù)流采取何種保護方法。

（7）在接口上應(yīng)用安全策略組，使接口具有IPSec的保護功能。其中在分支機構(gòu)網(wǎng)關(guān)Router A上的安全策略組在應(yīng)用前需要通過ipsec policy policy-name shared localinterface loopback interface-number命令設(shè)置為多鏈路共享，然后在Router A的兩個公網(wǎng)接口上分別應(yīng)用安全策略組。

2. 具體配置步驟

（1）分別在Router A和Router B上配置各接口（包括Router A上的Loopback接口）的IP地址和到對端各公網(wǎng)、私網(wǎng)的靜態(tài)路由。

# 在Router A上配置接口IP地址。

Huawei system-view

[Huawei] sysname Router A

[Router A] interface gigabitethernet 1/0/0

[Router A-Gigabit Ethernet1/0/0] ip address 70.1.1.1 255.255.255.0

[Router A-Gigabit Ethernet1/0/0] quit

[Router A] interface gigabitethernet 2/0/0

[Router A-Gigabit Ethernet2/0/0] ip address 80.1.1.1 255.255.255.0

[Router A-Gigabit Ethernet2/0/0] quit

[Router A] interface gigabitethernet 3/0/0

[Router A-Gigabit Ethernet3/0/0] ip address 10.1.1.1 255.255.255.0

[Router A-Gigabit Ethernet3/0/0] quit

[Router A] interface loopback 0

[Router A-Loop Back0] ip address 1.1.1.1 255.255.255.255

[Router A-Loop Back0] quit

# 在Router A上配置通過兩條不同鏈路到達對端公網(wǎng)、私網(wǎng)的靜態(tài)路由（優(yōu)先級要配置的不同，以實現(xiàn)主備備份），此處假設(shè)Router A的兩個出接口到對端的下一跳地址分別為70.1.1.2和80.1.1.2。

[Router A]iproute-static10.1.2.02470.1.1.2preference10　#---配置從GE1/0/0接口對應(yīng)鏈路到達總部私網(wǎng)的靜態(tài)路由

[Router A]iproute-static10.1.2.02480.1.1.2preference20　#---配置從GE2/0/0接口對應(yīng)鏈路到達總部私網(wǎng)的靜態(tài)路由

[Router A]iproute-static60.1.1.13270.1.1.2preference10　#---配置從GE1/0/0接口對應(yīng)鏈路到達總部公網(wǎng)的靜態(tài)路由

[Router A]iproute-static60.1.1.13280.1.1.2preference20　#---配置從GE2/0/0接口對應(yīng)鏈路到達總部公網(wǎng)的靜態(tài)路由

# 在Router B上配置接口IP地址。

Huawei system-view

[Huawei] sysname Router B

[Router B] interface gigabitethernet 1/0/0

[Router B-Gigabit Ethernet1/0/0] ip address 60.1.1.1 255.255.255.0

[Router B-Gigabit Ethernet1/0/0] quit

[Router B] interface gigabitethernet 3/0/0

[Router B-Gigabit Ethernet3/0/0] ip address 10.1.1.1 255.255.255.0

[Router B-Gigabit Ethernet3/0/0] quit

# 在Router B上配置到達分支機構(gòu)各公網(wǎng)、私網(wǎng)、Loopback0接口的靜態(tài)路由，此處假設(shè)Router B到對端的下一跳地址為60.1.1.2。

[Router B]iproute-static1.1.1.13260.1.1.2　#---到達Loopback0接口的靜態(tài)路由

[Router B]iproute-static10.1.1.02460.1.1.2　#---到達分支機構(gòu)私網(wǎng)的靜態(tài)路由

[Router B]iproute-static70.1.1.1320.1.1.2　#---到達Router AGE1/0/0接口的靜態(tài)路由

[Router B]iproute-static80.1.1.13260.1.1.2　 #---到達Router AGE2/0/0接口的靜態(tài)路由

（2）分別在Router A和Router B上配置ACL，定義各自要保護的數(shù)據(jù)流。

# 在Router A上配置ACL，定義由總部子網(wǎng)10.1.1.0/24到達分支機構(gòu)子網(wǎng)

10.1.2.0/24的數(shù)據(jù)流。

[Router A] acl number 3101

[Router A-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Router A-acl-adv-3101] quit

# 在Router B上配置ACL，定義由分支機構(gòu)子網(wǎng)10.1.2.0/24到達總部子網(wǎng)

10.1.1.0/24的數(shù)據(jù)流。

[Router B] acl number 3101

[Router B-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Router B-acl-adv-3101] quit

（3）分別在Router A和Router B上創(chuàng)建IPSec安全提議（假設(shè)名稱均為prop也可以不同），使用ESP安全協(xié)議，認(rèn)證算法為SHA2-256，加密算法為AES-128。

[Router A] ipsec proposal prop

[Router A-ipsec-proposal-prop] esp authentication-algorithm sha2-256

[Router A-ipsec-proposal-prop] esp encryption-algorithm aes-128

[Router A-ipsec-proposal-prop] quit

[Router B] ipsec proposal prop

[Router B-ipsec-proposal-prop] esp authentication-algorithm sha2-256

[Router B-ipsec-proposal-prop] esp encryption-algorithm aes-128

[Router B-ipsec-proposal-prop] quit

（4）分別在Router A和Router B上創(chuàng)建IKE安全提議（序號均為5，也可以不同），認(rèn)證算法為SHA2-256，加密算法為AES-128，DH為group14。

[Router A] ike proposal 5

[Router A-ike-proposal-5] authentication-algorithm sha2-256

[Router A-ike-proposal-5] encryption-algorithm aes-128

[Router A-ike-proposal-5] dh group14

[Router A-ike-proposal-5] quit

[Router B] ike proposal 5

[Router B-ike-proposal-5] authentication-algorithm sha2-256

[Router B-ike-proposal-5] encryption-algorithm aes-128

[Router B-ike-proposal-5] dh group14

[Router B-ike-proposal-5] quit

（5）分別在Router A和Router B上配置IKE對等體（此處名稱均為rut，也可以不同），假設(shè)采用IKEv2版本。因為IKE提議中的認(rèn)證方法采用缺省值，所以采用的是預(yù)共享密鑰認(rèn)證方法，需要配置預(yù)共享密鑰（假設(shè)為huawei，兩端的配置必須一致）。另外，在總部網(wǎng)關(guān)Router B上配置的“對端IP地址”必須是分支機構(gòu)網(wǎng)關(guān)Router A上的Loopback0接口IP地址。

# 在Router A上配置IKE對等體，并引用前面創(chuàng)建的IKE安全提議，配置預(yù)共享密鑰和對端IP地址。

[Router A] ike peer rut

[Router A-ike-peer-rut] undo version 2

[Router A-ike-peer-rut] ike-proposal 5

[Router A-ike-peer-rut] pre-shared-key simple huawei

[Router A-ike-peer-rut] remote-address 60.1.1.1

[Router A-ike-peer-rut] quit

# 在Router B上配置IKE對等體，并引用前面創(chuàng)建的IKE安全提議，配置預(yù)共享密鑰和對端IP地址。

[Router B] ike peer rut

[Router B-ike-peer-rut] undo version 2

[Router B-ike-peer-rut] ike-proposal 5

[Router B-ike-peer-rut] pre-shared-key simple huawei

[Router B-ike-peer-rut]remote-address1.1.1.1　#---為分支機構(gòu)Loopback0接口的IP地址

[Router B-ike-peer-rut] quit

（6）分別在Router A和Router B上創(chuàng)建安全策略，引用前面創(chuàng)建的IPSec安全提議、IKE對等體和用于定義需要保護的數(shù)據(jù)流的ACL。

# 在Router A上配置安全策略。

[Router A] ipsec policy policy1 10 isakmp

[Router A-ipsec-policy-isakmp-policy1-10] ike-peer rut

[Router A-ipsec-policy-isakmp-policy1-10] proposal prop

[Router A-ipsec-policy-isakmp-policy1-10] security acl 3101

[Router A-ipsec-policy-isakmp-policy1-10] quit

# 在Router B上配置安全策略。

[Router B] ipsec policy policy1 10 isakmp

[Router B-ipsec-policy-isakmp-policy1-10] ike-peer rut

[Router B-ipsec-policy-isakmp-policy1-10] proposal prop

[Router B-ipsec-policy-isakmp-policy1-10] security acl 3101

[Router B-ipsec-policy-isakmp-policy1-10] quit

（7）分別在Router A和Router B的接口上應(yīng)用各自的安全策略組，使通過這些接口向外發(fā)送的興趣流能被IPSec保護。

# 在Router A上配置多鏈路共享功能，并且分別在兩個公網(wǎng)接口上引用前面創(chuàng)建的安全策略組。

[Router A]ipsecpolicypolicy1sharedlocal-interfaceloopback0　#---配置安全策略組policy1對應(yīng)的IPSec隧道為多鏈路共享

[Router A] interface gigabitethernet 1/0/0

[Router A-Gigabit Ethernet1/0/0] ipsec policy policy1

[Router A-Gigabit Ethernet1/0/0] quit

[Router A] interface gigabitethernet 2/0/0

[Router A-Gigabit Ethernet2/0/0] ipsec policy policy1

[Router A-Gigabit Ethernet2/0/0] quit

# 在Router B的接口上引用安全策略組。

[Router B] interface gigabitethernet 1/0/0

[Router B-Gigabit Ethernet1/0/0] ipsec policy policy1

[Router B-Gigabit Ethernet1/0/0] quit

3. 配置結(jié)果驗證

配置成功后，在分支機構(gòu)子網(wǎng)的主機PCA執(zhí)行ping操作可以ping通位于總部子網(wǎng)的主機PC B，并且它們之間的數(shù)據(jù)傳輸將被加密，執(zhí)行命令display ipsec statistics esp可以查看數(shù)據(jù)包的統(tǒng)計信息。

# 在Router A上執(zhí)行display ike sa操作，會顯示在Router A上協(xié)商生成的IKE SA信息，如果見到了第2階段的IPSec SA信息，則表明IPSec隧道建立成功了。

[Router A] display ike sa

Conn-ID　Peer　　　　 VPN　 Flag(s)　　　　　　　Phase

----------------------------------------------

16　　60.1.1.1　　　 0　　RD|ST　　　　　　　 v1:2

14　　60.1.1.1　　　 0　　RD|ST　　　　　　　 v1:1

Numberof SAentries　:2

Number of SA entries of all cpu : 2

Flag Deion:

RD--READY　 ST--STAYALIVE　 RL--REPLACED　 FD--FADING　 TO--

TIMEOUT

HRT--HEARTBEAT　 LKG--LASTKNOWNGOODSEQNO.　 BCK--BACKEDUP

M--ACTIVE　 S--STANDBY　 A--ALONE　NEG--NEGOTIATING

# 此時分別在Router A和Router B上執(zhí)行display ipsec sa操作，會顯示所配置的IPSec SA信息，以下是在Router A上執(zhí)行本命令后的輸出信息。

[Router A] display ipsec sa

===============================

Shared interface: Loop Back0

Interface: Gigabit Ethernet1/0/0

Gigabit Ethernet2/0/0

===============================

-----------------------

IPSec policy name:"policy1"

Sequencenumber　:10

Acl Group　　　 :3101

Aclrule　　　　:5

Mode　　　　　 :ISAKMP

-----------------------

Connection ID　　:16　#---這是最終建立的IPSes SA標(biāo)識符，也表明IPSec隧道建立成功

Encapsulation mode: Tunnel

Tunnellocal　　 :1.1.1.1

Tunnelremote　　:60.1.1.1

Flowsource　　　:10.1.1.0/255.255.255.00/0

Flowdestination　:10.1.2.0/255.255.255.00/0

Qospre-classify　:Disable

[Outbound ESP SAs]

SPI: 3694855398 (0xdc3b04e6)

Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256

SA remaining key duration (bytesc): 1887436800/3595

Max sent sequence-number: 0

UDP encapsulation used for NAT traversal: N

[Inbound ESP SAs]

SPI: 3180691667 (0xbd9580d3)

Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256

SA remaining key duration (bytesc): 1887436800/3595

Max received sequence-number: 0

Anti-replay window size: 32

UDP encapsulation used for NAT traversal: N

▲

- The end -