MSR产品IPSEC接口备份特性功能的配置

MSR产品IPSEC接口备份特性功能的配置

 

一、  组网需求：

在Router A和Router B之间建立两条互为备份的IPsec隧道，对Host A所在的子网10.1.1.0/24与Host B所在的子网10.1.2.0/24之间的数据流进行安全保护。使用IKE自动协商方式建立SA，安全协议采用ESP协议，加密算法采用DES，认证算法采用SHA1-HMAC-96 。配置共享源接口安全策略组，实现数据流量在不同接口间平滑切换。

二、  组网图：

 

三、  配置步骤：

适用设备和版本：MSR系列、2207及以后版本。

1.     Router A配置概要说明：

#

acl number 3101

 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

//配置一个访问列表，定义由子网10.1.1.0/24去子网10.1.2.0/24的数据流

#

ike peer peer   //配置IKE对等体peer

 pre-shared-key cipher PMEfbsX04vk=

 remote-address 3.3.3.3

#

ipsec proposal tran1  //配置安全提议tran1

 esp authentication-algorithm sha1

#

ipsec policy map1 10 isakmp  //配置安全策略map1，协商方式为isakmp

 security acl 3101

 ike-peer peer

 proposal tran1

#

interface Ethernet1/1

 port link-mode route

 ip address 2.2.2.2 255.255.255.0

 ipsec policy map1  //以太网接口Ethernet1/1上应用安全策略组

#

interface Ethernet1/2

 port link-mode route

 ip address 4.4.4.4 255.255.255.0

 ipsec policy map1  //在以太网接口Ethernet1/2上应用安全策略组

#

interface Ethernet1/3

 port link-mode route

 ip address 10.1.1.1 24

#

interface LoopBack0   //配置Loopback接口

 ip address 1.1.1.1 255.255.255.255

 #

 ip route-static 10.1.2.0 255.255.255.0 Ethernet1/1 2.2.2.3

 ip route-static 10.1.2.0 255.255.255.0 Ethernet1/2 4.4.4.5

//配置到Host B的静态路由

 ip route-static 3.3.3.0 255.255.255.0 ethernet 1/1 2.2.2.3

 ip route-static 3.3.3.0 255.255.255.0 ethernet 1/2 4.4.4.5

//配置到Router B上接口Loopback0的静态路由

#

 ipsec policy map1 local-address LoopBack0

// 配置安全策略组map1为共享源接口安全策略组

#

2.     MSR-B配置概要说明：

#

acl number 3101

 rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

//配置一个访问列表，定义由子网10.1.2.0/24去子网10.1.1.0/24的数据流

#

ike peer peer  //配置IKE对等体peer

 pre-shared-key cipher PMEfbsX04vk=

 remote-address 1.1.1.1

#

ipsec proposal tran1   //配置安全提议tran1

 esp authentication-algorithm sha1

#

ipsec policy map1 10 isakmp  //配置安全策略map1，协商方式为isakmp

 security acl 3101

 ike-peer peer

 proposal tran1

#

interface Ethernet1/1 

 port link-mode route

 ip address 2.2.2.3 255.255.255.0

 ipsec policy map1  //以太网接口Ethernet1/1上应用安全策略组

#

interface Ethernet1/2

 port link-mode route

 ip address 4.4.4.5 255.255.255.0

 ipsec policy map1  //在以太网接口Ethernet1/2上应用安全策略组

#

interface Ethernet1/3

 port link-mode route

 ip address 10.1.2.1 24

#

interface LoopBack0

 ip address 3.3.3.3 255.255.255.255  //配置Loopback接口

 

#

 ip route-static 10.1.1.0 255.255.255.0 Ethernet1/1 2.2.2.2

 ip route-static 10.1.1.0 255.255.255.0 Ethernet1/2 4.4.4.4

//配置到Host A的静态路由

 ip route-static 1.1.1.0 255.255.255.0 ethernet 1/1 2.2.2.2

 ip route-static 1.1.1.0 255.255.255.0 ethernet 1/2 4.4.4.4

//配置到Router A上接口Loopback0的静态路由

#

 ipsec policy map1 local-address LoopBack0

// 配置安全策略组map1为共享源接口安全策略组

#

四、  配置关键点：

1.    通过配置安全策略组为共享源接口安全策略组，可以实现在主备链路切换时业务不中断。应用IPsec业务的多个物理接口共同使用一个共享源接口动态协商的IPsec SA，当这些物理接口对应的链路切换时，如果源接口的状态并没有变化，就不会删除IPsec SA，也不需要重新触发IKE协商，直接使用相同的IPsec SA继续保护业务流量。

2.    共享源接口安全策略组必须和源接口一一对应。如果一个共享源接口安全策略组同时绑定多个源接口，或者多个共享源接口安全策略组同时绑定一个源接口，配置均不会成功。

3.     删除与共享源接口安全策略组绑定的Loopback接口时，将会取消共享源接口安全策略组的配置，即该共享源接口安全策略组恢复为普通安全策略组。

4.     在配置了共享源接口安全策略组，但未配置IKE-peer视图下的local-address的情况下，IKE将使用共享源接口地址作为IPsec隧道的安全网关地址进行协商；如果同时配置共享源接口安全策略组和IKE-peer视图下local-address，将选用IKE-peer视图下配置的地址作为IPsec隧道的安全网关地址进行协商。MSR-A和MSR-B上配置两条优先级不同的静态默认路由，并且主路由管理Track，检测上行线路的状态，当上行线路出现问题时将流量切换到互联接口转发。