• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

V7防火墙GRE over IPSec主备链路典型配置案例

2020-09-29 发表
  • 0关注
  • 13收藏 4617浏览
粉丝:12人 关注:0人

组网及说明


F1F2建立两条IPsec隧道,一条主用,一条备用,当主用隧道出现故障时,流量切换到备用隧道。   

配置步骤

1.      Internet配置

interface GigabitEthernet0/0

 ip address 100.100.100.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 150.150.150.1 255.255.255.0

#

interface GigabitEthernet0/2

 ip address 200.200.200.1 255.255.255.0

2.       F1配置

interface LoopBack0 # 配置作为建立GRE隧道源地址的环回口

 ip address 192.168.1.1 255.255.255.255

#

interface LoopBack1 # 配置作为建立GRE隧道源地址的环回口

 ip address 192.168.1.3 255.255.255.255

#

interface LoopBack10 # 配置作为内网地址的环回口

 ip address 10.10.10.1 255.255.255.0

#

interface GigabitEthernet1/0/0 # 配置ISP1公网接口,调用IPSec策略

 ip address 100.100.100.100 255.255.255.0

 nat outbound name nat

 ipsec apply policy ipsec-isp1

#

interface GigabitEthernet1/0/1 # 配置ISP2公网接口,调用IPSec策略

 ip address 150.150.150.150 255.255.255.0

 nat outbound name nat

 ipsec apply policy ipsec-isp2

#

interface Tunnel1 mode gre # 配置GRE隧道1

 ip address 192.168.2.1 255.255.255.252

 source 192.168.1.1 # 源地址为lo 0地址

 destination 192.168.1.2 # 目的地址为对端lo 0地址

 keepalive 10 3 # 配置Keepalive检测GRE隧道是否正常通信

#             

interface Tunnel2 mode gre # 配置GRE隧道2

 ip address 192.168.2.5 255.255.255.252

 source 192.168.1.3 # 源地址为lo 1地址

 destination 192.168.1.4 # 目的地址为对端lo 1地址

 keepalive 10 3

#

policy-based-route ipsec permit node 10 # 配置PBR,匹配主用公网出口和对端建立ipsec的流量走主用出口

 if-match acl 3500

 apply next-hop 100.100.100.1

#

policy-based-route ipsec permit node 20 # 配置PBR,匹配备用公网出口和对端建立ipsec的流量走备用出口

 if-match acl 3501

 apply next-hop 150.150.150.1

#

ip local policy-based-route ipsec # 本地调用策略路由,如果不配置这个,会导致备用出口的ipsec流量根据路由表走主用出口,从而导致ipsec协商失败。

#

security-zone name Trust # GRE隧道口与内网口加入Trust

 import interface LoopBack10

 import interface Tunnel1

 import interface Tunnel2

#

security-zone name Untrust # 将公网口加入Untrust

 import interface GigabitEthernet1/0/0

 import interface GigabitEthernet1/0/1

#

zone-pair security source Local destination Trust # 放通LocalTrust,用于业务网段互访,由于实验环境时环回口模拟内网网段,因此是LocalTrust而不是TrustTrust

 packet-filter 2000

#

zone-pair security source Local destination Untrust # 放通LocalUntrust,使GRE over IPSec隧道正常建立

 packet-filter 2000

#

zone-pair security source Trust destination Local # 放通TrustLocal,用于业务网段互访,由于实验环境时环回口模拟内网网段,因此是TrustLocal而不是TrustTrust

 packet-filter 2000

#

zone-pair security source Trust destination Trust # 放通TrustTrust,在真实的环境下配置实现业务网段互访

 packet-filter 2000

#

zone-pair security source Untrust destination Local # 放通UntrustLocal,使GRE over IPSec隧道正常建立

 packet-filter 2000

#

 ip route-static 0.0.0.0 0 100.100.100.1 # 公网主用路由

 ip route-static 0.0.0.0 0 150.150.150.1 preference 65 # 公网备份路由

 ip route-static 10.20.20.0 24 192.168.2.2 # 业务互访走主用隧道

 ip route-static 10.20.20.0 24 192.168.2.6 preference 65 # 业务网段备份路由

 ip route-static 192.168.1.2 32 100.100.100.1 # GRE over IPsec隧道1ISP1

 ip route-static 192.168.1.4 32 150.150.150.1 # GRE over IPSec隧道2ISP2,若没有此条路由,会因为接口地址与需协商的IPsec SA不一致导致无法正常协商IPSec SA

#

acl basic 2000 # 域间策略ACL

 rule 0 permit

#

acl advance 3500 # PBR ACL1

 rule 10 permit ip source 100.100.100.100 0 destination 200.200.200.200 0

#

acl advance 3501 # PBR ACL2

 rule 10 permit ip source 150.150.150.150 0 destination 200.200.200.200 0

#

acl advanced name ipsec # IPSec ACL

 rule 10 permit ip source 192.168.1.1 0 destination 192.168.1.2 0

 rule 20 permit ip source 192.168.1.3 0 destination 192.168.1.4 0

#

acl advanced name nat # NAT ACL,拒绝IPSec流量

 rule 10 deny ip source 192.168.1.1 0 destination 192.168.1.2 0

 rule 20 deny ip source 192.168.1.3 0 destination 192.168.1.4 0

 rule 30 permit ip

#

ipsec transform-set 1 # 配置IPSec转换集

 esp encryption-algorithm aes-cbc-256

 esp authentication-algorithm sha1

#

ipsec policy ipsec-isp1 10 isakmp # 配置ISP1IPSec策略

 transform-set 1

 security acl name ipsec # 匹配GRE隧道流

 local-address 100.100.100.100

 remote-address 200.200.200.200 # policy必须配置remote-address,若采用policy-template则不是必选

 ike-profile isp1

#

ipsec policy ipsec-isp2 10 isakmp # 配置ISP2IPSec策略

 transform-set 1

 security acl name ipsec # 匹配GRE隧道流

 local-address 150.150.150.150

 remote-address 200.200.200.200

 ike-profile isp2

#

ike profile isp1 # 配置ISP1IKE策略集

 keychain 1

 local-identity address 100.100.100.100

 match remote identity address 200.200.200.200 255.255.255.255

 proposal 1

#

ike profile isp2 # 配置ISP2IKE策略集

 keychain 1

 local-identity address 150.150.150.150

 match remote identity address 200.200.200.200 255.255.255.255

 proposal 1

#

ike proposal 1 # 配置IKE proposal

 encryption-algorithm aes-cbc-256

 dh group2

#

ike keychain 1 # 配置IKE密钥

 pre-shared-key address 200.200.200.200 255.255.255.255 key simple ipsec

3.       F2配置

interface LoopBack0 # 配置作为建立GRE隧道源地址的环回口

 ip address 192.168.1.2 255.255.255.255

#

interface LoopBack1 # 配置作为建立GRE隧道源地址的环回口

 ip address 192.168.1.4 255.255.255.255

#

interface LoopBack10 # 配置作为内网地址的环回口

 ip address 10.20.10.1 255.255.255.0

#

interface GigabitEthernet1/0/0 # 配置公网接口,调用IPSec策略

 ip address 200.200.200.200 255.255.255.0

 nat outbound name nat

 ipsec apply policy ipsec

#

interface Tunnel1 mode gre # 配置GRE隧道1

 ip address 192.168.2.2 255.255.255.252

 source 192.168.1.2

 destination 192.168.1.1

 keepalive 10 3

#

interface Tunnel2 mode gre # 配置GRE隧道2

 ip address 192.168.2.6 255.255.255.252

 source 192.168.1.4

 destination 192.168.1.3

 keepalive 10 3

#

security-zone name Trust # GRE隧道口与内网口加入Trust

 import interface LoopBack10

 import interface Tunnel1

 import interface Tunnel2

#

security-zone name Untrust # 将公网口加入Untrust

 import interface GigabitEthernet1/0/0

#

zone-pair security source Local destination Trust # 放通LocalTrust

 packet-filter 2000

#

zone-pair security source Local destination Untrust # 放通LocalUntrust

 packet-filter 2000

#

zone-pair security source Trust destination Local # 放通TrustLocal

 packet-filter 2000

#

zone-pair security source Trust destination Trust # 放通TrustTrust

 packet-filter 2000

#

zone-pair security source Untrust destination Local # 放通UntrustLocal

 packet-filter 2000

#

 ip route-static 0.0.0.0 0 200.200.200.1 # 默认路由

 ip route-static 10.20.10.0 24 192.168.2.1 # 业务互访走主用隧道

 ip route-static 10.20.10.0 24 192.168.2.5 preference 65 # 业务网段备份路由

#

acl basic 2000 # 域间策略ACL

 rule 0 permit

#             

acl advanced name ipsec_to_isp1 # 前往ISP1IPSec ACL

 rule 10 permit ip source 192.168.1.2 0 destination 192.168.1.1 0

#

acl advanced name ipsec_to_isp2 # 前往ISP2IPSec ACL

 rule 10 permit ip source 192.168.1.4 0 destination 192.168.1.3 0

#

acl advanced name nat # NAT ACL

 rule 10 deny ip source 192.168.1.2 0 destination 192.168.1.1 0

 rule 20 deny ip source 192.168.1.4 0 destination 192.168.1.3 0

 rule 30 permit ip

#

ipsec transform-set 1 # 配置IPSec转换集

 esp encryption-algorithm aes-cbc-256

 esp authentication-algorithm sha1

#

ipsec policy ipsec 10 isakmp # 配置前往ISP1IPSec策略

 transform-set 1

 security acl name ipsec_to_isp1

 local-address 200.200.200.200

 remote-address 100.100.100.100

 ike-profile to_isp1

#

ipsec policy ipsec 20 isakmp # 配置前往ISP2IPSec策略

 transform-set 1

 security acl name ipsec_to_isp2

 local-address 200.200.200.200

 remote-address 150.150.150.150

 ike-profile to_isp2

#

ike profile to_isp1 # 配置前往ISP1IKE策略集

 keychain to_isp1

 local-identity address 200.200.200.200

 match remote identity address 100.100.100.100 255.255.255.255

 proposal 1

#

ike profile to_isp2 # 配置前往ISP2IKE策略集

 keychain to_isp2

 local-identity address 200.200.200.200

 match remote identity address 150.150.150.150 255.255.255.255

 proposal 1

#

ike proposal 1 # 配置IKE proposal

 encryption-algorithm aes-cbc-256

 dh group2

#

ike keychain to_isp1 # 配置前往ISP1IKE密钥

 pre-shared-key address 100.100.100.100 255.255.255.255 key simple ipsec

#

ike keychain to_isp2 # 配置前往ISP2IKE密钥

 pre-shared-key address 150.150.150.150 255.255.255.255 key simple ipsec

配置关键点

1.      IPSec本身没有虚接口,无法实现主备切换,因此采用GRE over IPsec方式利用GRETunnel接口实现主备切换。

2.      NAT的优先级比IPSec,因此必须NAT的感兴趣流中拒绝掉IPSec的数据流,否则数据流会优先被NAT转换,然后会导致无法匹配IPSec感兴趣流。

3.      F1是双出口,F2是单出口,因此F1必须要配置本地策略路由,确保主接口去对端协商IPSec的流量和备接口协商IPSec的流量分别走各自出口,否则会导致备接口协商IPSec的流量根据路由表走主接口,从而无法协商IPSec SA


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

1 个评论
似曾相识 知了小白
粉丝:0人 关注:0人

老师你好,按照你的思路我陪之后测试发现两条隧道是能自动切换,但是存在一个问题,就是切换时间间隔太长,数据会丢包一段时间。对于业务来讲还是会受到影响,业务会中断一两分总,等切换到备线后业务恢复正常。然后恢复主线倒是没有影响,不会丢包。

想请教一下如何实现自动切换的过程中业务不受影响,丢一两个数据包即可。

我这边尝试配置公网地址的nqa,和gre隧道的nqa


keepalive 10 3 # 配置Keepalive检测GRE隧道是否正常通信 可以试着把gre tunnel的keepalive时间调小一些,当前案例是10秒发送一次hello报文,3次未收到后接口down

zhiliao_gRUjg 发表时间:2021-03-11

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作