MSR产品IPSEC接口备份特性功能的配置
一、 组网需求:
在Router A和Router B之间建立两条互为备份的IPsec隧道,对Host A所在的子网10.1.1.0/24与Host B所在的子网10.1.2.0/24之间的数据流进行安全保护。使用IKE自动协商方式建立SA,安全协议采用ESP协议,加密算法采用DES,认证算法采用SHA1-HMAC-96 。配置共享源接口安全策略组,实现数据流量在不同接口间平滑切换。
二、 组网图:
![]()
三、 配置步骤:
适用设备和版本:MSR系列、2207及以后版本。
1. Router A配置概要说明:
#
acl number 3101
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
//配置一个访问列表,定义由子网10.1.1.0/24去子网10.1.2.0/24的数据流
#
ike peer peer //配置IKE对等体peer
pre-shared-key cipher PMEfbsX04vk=
remote-address 3.3.3.3
#
ipsec proposal tran1 //配置安全提议tran1
esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp //配置安全策略map1,协商方式为isakmp
security acl 3101
ike-peer peer
proposal tran1
#
interface Ethernet1/1
port link-mode route
ip address 2.2.2.2 255.255.255.0
ipsec policy map1 //以太网接口Ethernet1/1上应用安全策略组
#
interface Ethernet1/2
port link-mode route
ip address 4.4.4.4 255.255.255.0
ipsec policy map1 //在以太网接口Ethernet1/2上应用安全策略组
#
interface Ethernet1/3
port link-mode route
ip address 10.1.1.1 24
#
interface LoopBack0 //配置Loopback接口
ip address 1.1.1.1 255.255.255.255
#
ip route-static 10.1.2.0 255.255.255.0 Ethernet1/1 2.2.2.3
ip route-static 10.1.2.0 255.255.255.0 Ethernet1/2 4.4.4.5
//配置到Host B的静态路由
ip route-static 3.3.3.0 255.255.255.0 ethernet 1/1 2.2.2.3
ip route-static 3.3.3.0 255.255.255.0 ethernet 1/2 4.4.4.5
//配置到Router B上接口Loopback0的静态路由
#
ipsec policy map1 local-address LoopBack0
// 配置安全策略组map1为共享源接口安全策略组
#
2. MSR-B配置概要说明:
#
acl number 3101
rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
//配置一个访问列表,定义由子网10.1.2.0/24去子网10.1.1.0/24的数据流
#
ike peer peer //配置IKE对等体peer
pre-shared-key cipher PMEfbsX04vk=
remote-address 1.1.1.1
#
ipsec proposal tran1 //配置安全提议tran1
esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp //配置安全策略map1,协商方式为isakmp
security acl 3101
ike-peer peer
proposal tran1
#
interface Ethernet1/1
port link-mode route
ip address 2.2.2.3 255.255.255.0
ipsec policy map1 //以太网接口Ethernet1/1上应用安全策略组
#
interface Ethernet1/2
port link-mode route
ip address 4.4.4.5 255.255.255.0
ipsec policy map1 //在以太网接口Ethernet1/2上应用安全策略组
#
interface Ethernet1/3
port link-mode route
ip address 10.1.2.1 24
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255 //配置Loopback接口
#
ip route-static 10.1.1.0 255.255.255.0 Ethernet1/1 2.2.2.2
ip route-static 10.1.1.0 255.255.255.0 Ethernet1/2 4.4.4.4
//配置到Host A的静态路由
ip route-static 1.1.1.0 255.255.255.0 ethernet 1/1 2.2.2.2
ip route-static 1.1.1.0 255.255.255.0 ethernet 1/2 4.4.4.4
//配置到Router A上接口Loopback0的静态路由
#
ipsec policy map1 local-address LoopBack0
// 配置安全策略组map1为共享源接口安全策略组
#
四、 配置关键点:
1. 通过配置安全策略组为共享源接口安全策略组,可以实现在主备链路切换时业务不中断。应用IPsec业务的多个物理接口共同使用一个共享源接口动态协商的IPsec SA,当这些物理接口对应的链路切换时,如果源接口的状态并没有变化,就不会删除IPsec SA,也不需要重新触发IKE协商,直接使用相同的IPsec SA继续保护业务流量。
2. 共享源接口安全策略组必须和源接口一一对应。如果一个共享源接口安全策略组同时绑定多个源接口,或者多个共享源接口安全策略组同时绑定一个源接口,配置均不会成功。
3. 删除与共享源接口安全策略组绑定的Loopback接口时,将会取消共享源接口安全策略组的配置,即该共享源接口安全策略组恢复为普通安全策略组。
4. 在配置了共享源接口安全策略组,但未配置IKE-peer视图下的local-address的情况下,IKE将使用共享源接口地址作为IPsec隧道的安全网关地址进行协商;如果同时配置共享源接口安全策略组和IKE-peer视图下local-address,将选用IKE-peer视图下配置的地址作为IPsec隧道的安全网关地址进行协商。MSR-A和MSR-B上配置两条优先级不同的静态默认路由,并且主路由管理Track,检测上行线路的状态,当上行线路出现问题时将流量切换到互联接口转发。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作