华为防火墙配置IPSec双链路备份互联

小乔

如果总部的网络中部署了两台USG，可以开启双机热备功能，提高总部和分支机构之间建立的IPSec隧道的可靠性。
组网需求
如图1所示，某企业的总部和分支机构位于不同的地理区域，分支机构中的员工需要连接到总部来处理工作事物、访问内部资源。
总部与Internet连接的出口处部署了两台USG，分支机构与Internet连接的出口处部署了一台USG，要求满足如下需求：
总部和分支机构之间使用IPSec隧道通信，确保数据在Internet上传输时的安全性。
使用双机热备功能提高总部和分支机构通信的可靠性，避免总部的一台USG出现故障造成分支机构无法访问总部。
图1 分支/总部通过IPSec双链路实现互联组网图

配置思路
1 在总部的两台USG上配置主备备份方式的双机热备功能。
双机热备状态形成后，大部分的配置将会从主设备自动备份到备设备，可以减少工作量。
说明：
目前USG只有在主备备份方式下才支持IPSec双机热备，负载分担方式下不支持IPSec双机热备。
2 在分支机构与总部之间建立IPSec隧道。
总部接受分支机构访问，而不会主动发起协商，故在总部的USG上使用策略模板方式，在分支机构的USG上使用非策略模板方式。
分支机构的USG与总部的两台USG的VRRP虚拟地址202.38.10.1建立IPSec隧道。

操作步骤
1 配置USG_A的基本数据。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG_A> system-view
[USG_A] interface GigabitEthernet 0/0/1
[USG_A-GigabitEthernet0/0/1] ip address 202.38.10.5 24
[USG_A-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] ip address 10.100.10.5 24
[USG_A-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/3的IP地址。
[USG_A] interface GigabitEthernet 0/0/3
[USG_A-GigabitEthernet0/0/3] ip address 10.2.2.2 24
[USG_A-GigabitEthernet0/0/3] quit
# 配置到达分支机构的路由，此处假设下一跳为202.38.10.20。
[USG_A] ip route-static 10.6.1.0 255.255.255.0 202.38.10.20
2 配置USG_B的基本数据。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG_B> system-view
[USG_B] interface GigabitEthernet 0/0/1
[USG_B-GigabitEthernet0/0/1] ip address 202.38.10.6 24
[USG_B-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG_B] interface GigabitEthernet 0/0/2
[USG_B-GigabitEthernet0/0/2] ip address 10.100.10.6 24
[USG_B-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/3的IP地址。
[USG_B] interface GigabitEthernet 0/0/3
[USG_B-GigabitEthernet0/0/3] ip address 10.2.2.3 24
[USG_B-GigabitEthernet0/0/3] quit
# 配置到达分支机构的路由，此处假设下一跳为202.38.10.20。
[USG_B] ip route-static 10.6.1.0 255.255.255.0 202.38.10.20
3 配置USG_A的双机热备功能。
# 配置VRRP备份组，并配置备份组的虚拟IP地址。
[USG_A] interface GigabitEthernet 0/0/1
[USG_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 202.38.10.1 24 master
[USG_A-GigabitEthernet0/0/1] quit
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] vrrp vrid 2 virtual-ip 10.100.10.1 24 master
[USG_A-GigabitEthernet0/0/2] quit
# 配置HRP备份通道。
注意：
主备USG的HRP备份通道接口必须直接相连，中间不能连接交换机。
[USG_A] hrp interface GigabitEthernet 0/0/3
# 启动HRP。
[USG_A] hrp enable
4 配置USG_B的双机热备功能。
# 配置VRRP备份组，并配置备份组的虚拟IP地址。
[USG_B] interface GigabitEthernet 0/0/1
[USG_B-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 202.38.10.1 24 slave
[USG_B-GigabitEthernet0/0/1] quit
[USG_B] interface GigabitEthernet 0/0/2
[USG_B-GigabitEthernet0/0/2] vrrp vrid 2 virtual-ip 10.100.10.1 24 slave
[USG_B-GigabitEthernet0/0/2] quit
# 配置HRP备份通道。
注意：
主备USG的HRP备份通道接口必须直接相连，中间不能连接交换机。
[USG_B] hrp interface GigabitEthernet 0/0/3
# 启动HRP。
[USG_B] hrp enable
5 配置交换机。
将交换机的各接口加入到同一个VLAN，具体配置命令请参考交换机的相关文档。
6 配置USG_A的包过滤。
# 将GigabitEthernet 0/0/1加入Untrust区域。
HRP_M[USG_A] firewall zone untrust
HRP_M[USG_A-zone-untrust] add interface GigabitEthernet 0/0/1
HRP_M[USG_A-zone-untrust] quit
# 将GigabitEthernet 0/0/2加入Trust区域。
HRP_M[USG_A] firewall zone trust
HRP_M[USG_A-zone-trust] add interface GigabitEthernet 0/0/2
HRP_M[USG_A-zone-trust] quit
# 将GigabitEthernet 0/0/3加入DMZ区域。
HRP_M[USG_A] firewall zone dmz
HRP_M[USG_A-zone-dmz] add interface GigabitEthernet 0/0/3
HRP_M[USG_A-zone-dmz] quit
# 配置Trust和Untrust域间、Untrust和Local域间以及DMZ和Local域间的缺省包过滤。
HRP_M[USG_A] firewall packet-filter default permit interzone trust untrust
HRP_M[USG_A] firewall packet-filter default permit interzone local untrust
HRP_M[USG_A] firewall packet-filter default permit interzone local dmz
7 配置USG_A的IPSec。
# 定义保护的数据流。
HRP_M[USG_A] acl 3003
HRP_M[USG_A-acl-adv-3003] rule permit ip source 10.100.10.0 0.0.0.255 destination 10.6.1.0 0.0.0.255
HRP_M[USG_A-acl-adv-3003] quit
# 定义IPSec安全提议，参数都使用缺省值。
HRP_M[USG_A] ipsec proposal pro1
HRP_M[USG_A-ipsec-proposal-pro1] quit
# 定义IKE安全提议，参数都使用缺省值。
HRP_M[USG_A] ike proposal 1
HRP_M[USG_A-ike-proposal-1] quit
# 配置IKE Peer。
HRP_M[USG_A] ike peer peer1
HRP_M[USG_A-ike-peer-peer1] ike-proposal 1
HRP_M[USG_A-ike-peer-peer1] pre-shared-key security
HRP_M[USG_A-ike-peer-peer1] quit
# 配置IKE DPD，DPD模式为on-demand，消息发送频率10s。确保隧道的连通。
说明：
主设备和隧道对端设备上都需开启IKE DPD功能，从而在主备切换时，对端能够快速感知，并与备设备进行隧道协商。
HRP_M[USG_A] ike dpd on-demand 10
# 配置IPSec策略模板。
HRP_M[USG_A] ipsec policy-template temp1 1
HRP_M[USG_A-ipsec-policy-templet-temp1-1] security acl 3003
HRP_M[USG_A-ipsec-policy-templet-temp1-1] ike-peer peer1
HRP_M[USG_A-ipsec-policy-templet-temp1-1] proposal pro1
HRP_M[USG_A-ipsec-policy-templet-temp1-1] quit
# 配置IPSec安全策略。
HRP_M[USG_A] ipsec policy policy1 1 isakmp template temp1
# 在接口GigabitEthernet 0/0/1上应用IPSec安全策略。
HRP_M[USG_A] interface GigabitEthernet 0/0/1
HRP_M[USG_A-GigabitEthernet0/0/1] ipsec policy policy1
HRP_M[USG_A-GigabitEthernet0/0/1] quit
8配置USG_B的IPSec。
说明：
包过滤以及IPSec策略的配置可以从USG_A自动备份到USG_B，但是必须手工将IPSec策略应用到接口。
# 在接口GigabitEthernet 0/0/1上应用IPSec安全策略。
HRP_S[USG_B] system-view
HRP_S[USG_B] interface GigabitEthernet 0/0/1
HRP_S[USG_B-GigabitEthernet0/0/1] ipsec policy policy1
HRP_S[USG_B-GigabitEthernet0/0/1] quit
9配置USG_C的基本数据。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG_C> system-view
[USG_C] interface GigabitEthernet 0/0/1
[USG_C-GigabitEthernet0/0/1] ip address 10.6.1.1 24
[USG_C-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2的IP地址。
[USG_C] interface GigabitEthernet 0/0/2
[USG_C-GigabitEthernet0/0/2] ip address 202.169.1.2 24
[USG_C-GigabitEthernet0/0/2] quit
# 将GigabitEthernet 0/0/1加入Trust区域。
[USG_C] firewall zone trust
[USG_C-zone-trust] add interface GigabitEthernet 0/0/1
[USG_C-zone-trust] quit
# 将GigabitEthernet 0/0/2加入Untrust区域。
[USG_C] firewall zone untrust
[USG_C-zone-untrust] add interface GigabitEthernet 0/0/2
[USG_C-zone-untrust] quit
# 配置Trust和Untrust域间以及Untrust和Local域间的缺省包过滤。
[USG_C] firewall packet-filter default permit interzone trust untrust
[USG_C] firewall packet-filter default permit interzone local untrust
# 配置到达总部的路由，此处假设下一跳为202.169.1.20。
[USG_C] ip route-static 10.100.10.0 255.255.255.0 202.169.1.20
10配置USG_C的IPSec。
# 定义保护的数据流。
[USG_C] acl 3003
[USG_C-acl-adv-3003] rule permit ip source 10.6.1.0 0.0.0.255 destination 10.100.10.0 0.0.0.255
[USG_C-acl-adv-3003] quit
# 定义IPSec安全提议，参数都使用缺省值。
[USG_C] ipsec proposal pro1
[USG_C-ipsec-proposal-pro1] quit
# 定义IKE安全提议，参数都使用缺省值。
[USG_C] ike proposal 1
[USG_C-ike-proposal-1] quit
# 配置IKE Peer，对端地址设置为VRRP组的虚拟IP地址。
[USG_C] ike peer peer1
[USG_C-ike-peer-peer1] ike-proposal 1
[USG_C-ike-peer-peer1] pre-shared-key security
[USG_C-ike-peer-peer1] remote-address 202.38.10.1
[USG_C-ike-peer-peer1] quit
# 配置IKE DPD，DPD模式为on-demand，消息发送频率10s。
说明：
开启IKE DPD功能，从而在总部网关发生主备切换时，能够快速感知，并与备设备进行隧道协商。
[USG_C] ike dpd on-demand 10
# 配置IPSec安全策略。
[USG_C] ipsec policy policy1 1 isakmp
[USG_C-ipsec-policy-isakmp-policy1-1] security acl 3003
[USG_C-ipsec-policy-isakmp-policy1-1] ike-peer peer1
[USG_C-ipsec-policy-isakmp-policy1-1] proposal pro1
[USG_C-ipsec-policy-isakmp-policy1-1] quit
# 在接口GigabitEthernet 0/0/2上应用IPSec安全策略。
[USG_C] interface GigabitEthernet 0/0/2
[USG_C-GigabitEthernet 0/0/2] ipsec policy policy1
[USG_C-GigabitEthernet 0/0/2] quit
结果验证
1使用分支机构内部网络中的设备访问总部的服务器，发现可以访问成功。
2在USG_A的接口GigabitEthernet 0/0/2上执行shutdown命令模拟链路故障，发现总部的两台USG进行主备倒换，分支机构内部网络中的设备还可以正常访问总部的服务器，业务没有中断。