当前位置:文档之家 › 防火墙技术案例双机热备负载分担组网下的IPSec配置

防火墙技术案例双机热备负载分担组网下的IPSec配置

  • 格式:docx
  • 大小:158.25 KB
  • 文档页数:10

下载文档原格式

  / 10
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

【防火墙技术案例5】双机热备(负载分担)组网下的IPSec 配置

论坛的小伙伴们,大家好。强叔最近已经开始在 侃墙”系列中为各位小伙伴们介绍各种 VPN 了。说到VPN , 小伙伴们肯定首先想到的是最经典的

IPSec VPN ,而且我想大家对IPSec 的配置也是最熟悉的。 但是如果

在两台处于负载分担状态下的防火墙上部署

IPSec VPN 又该如何操作呢?有什么需要注意的地方呢?

本期强叔就为大家介绍如何在双机热备的负载分担组网下配置

IPSec 。

NGFW_C 和NGFW_D 以负载分担方式工作,其上下行接口都工作在三层,并 OSPF 协议。(本例中,NGFW 是下一代防火墙USG6600的简称,软件版本为

USG6600V100R001C10 ) 现要求分支用户访问总部的流量受

IPSec 隧道保护,且NGFW_C 处理分支A 发送到总部的流量,NGFW_D

处理分支B 发送到总部的流量。当 NGFW_C 或NGFW_D 中一台防火墙出现故障时,分支发往总部的流 量能全部

切换到另一台运行正常的防火墙。

Internet

at

【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态?

两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上 配置VGMP 组(即hrp track 命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防 火墙上调动两个 VGMP 组(active 组和standby 组)来监控业务接口。 2、分支与总部之间如何建立 IPSec 隧道?

正常状态下,根据组网需求,需要在

NGFW A 与NGFW C 之间建立一条隧道,在 NGFW B 与

NGFW D 之间建立一条隧道。当 NGFW C 与NGFW D 其中一台防火墙故障时, NGFW A 和

NGFW_B 都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导?

总部的两台防火墙(NGFW_C 与NGFW_D )通过路由策略来调整自身的 Cost 值,从而实现正常状 态下来自NGFW_A 的流量通过 NGFW_C 转发,来自NGFW_B 的流量通过 NGFW_D 转发,故障状 态下来自NGFW A 和NGFW B 的流量都通过正常运行的防火墙转发。

【组网需求】

如下图所示,总部防火墙 与上下行路由器之间运行

GE1XW3 3

NGFW C

)GE1fC/l

-■ X -Crr'ijM /lit \fQl2 10.10.0JfH

GET.'C^

10.1.3,1/2^

W 1 2.1

IQ.10 022/24

< GE 1^2

R LAI I CI I

【配置步骤】

在配置双机热备功能前,小伙伴们需要按照上图配置各接口的 IP 地址,并将各接口加入相应的安全区

域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。 大家可以看到形成双机的两台防火墙

(NGFW_C 和

NGFW_D 负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典 的防火墙业务接口工作在三层,上下行连接路由器的负载分担组网

”。各位小伙伴们可以在华为的任

何防火墙资料中看到此经典举例,无论是命令行配置举例还是 Web 配置举例,大家想怎么看就怎么看

因此强叔只在此给岀双机热备的命令行配置和关键解释。

hrp track active // 业务接口工作在三层,上下行连接路由器的组网需要配置 hrp track

hrp track standby //负载分担组网需要同时配置

hrp track active 和standby

#

interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 hrp track active hrp track standby #

interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0

【强叔点评】各位小伙伴们在配置双机热备功能时,首先要确定的是防火墙业务接口的工作状态和上下行

2、配置 IPSec 。

【强叔点评】双机热备配置完成后,我们就开始配置

IPSec 功能,建立IPSec VPN 隧道啦。

由于公司希望NGFW_C 处理分支A( NGFW_A )发送到总部的流量,NGFW_D 处理分支B( NGFW_B ) 发送到总部的流量,因此正常情况下我们需要在 NGFW_C 和NGFW_A 之间建立一条隧道,在

NGFW_D 和NGFW_B 之间建立一条隧道。 这样看似已经满足需求了,但是如果

NGFW_D 出现故障了怎么办呢?分支 B 发送到总部的流量不就

中断了吗?小伙伴们仔细思考就会想到办法,我们需要在

NGFW_C 与NGFW_B ,NGFW_D 与

NGFW_A 之间分别建立一条备用隧道(图中虚线表示)。这样当 NGFW_D 出现故障时,分支B 发送 到总部的流量会通过备用隧道由

NGFW_C 发送到总部,就不会导致业务中断啦。

#

hrp mirror session enable hrp enable

hrp ospf-cost adjust-enable hrp interface GigabitEthernet 1/0/7 #

interface GigabitEthernet 1/0/1

ip address 10.2.0.1 255.255.255.0 //负载分担组网必须配置此命令

//启用双机热备功能

//根据主备状态调整 OSPF 的COST 直

//指定心跳接口

相关主题