防火墙技术案例双机热备负载分担组网下的IPSec配置
IPsec协议的策略配置实例
IPsec协议的策略配置实例IPsec(Internet Protocol Security)是一种用于保护IP数据包传输安全的协议。
通过对数据进行加密、身份认证和完整性验证,IPsec协议可以有效地防止数据在传输过程中的被窃听、篡改和伪造。
在实际应用中,合理的策略配置对于IPsec协议的安全性和性能发挥至关重要。
本文将介绍一个IPsec协议策略配置的实例,以帮助读者更好地理解如何使用IPsec协议来保护网络通信。
一、确定安全需求与目标在配置IPsec策略之前,首先应该明确实际安全需求和目标。
例如,我们可能希望保护公司内部局域网与外部网络之间的通信安全,防止敏感信息泄露和未经授权的访问。
基于这样的需求,我们可以制定以下目标:1. 加密通信:确保数据在传输中是加密的,使得窃听者无法获得明文内容。
2. 身份认证:确保通信双方的身份是合法的,避免冒充和中间人攻击。
3. 完整性验证:确保传输的数据没有被篡改或损坏。
二、选择合适的IPsec策略根据实际需求和目标,选择合适的IPsec策略是关键步骤之一。
常见的IPsec策略有两种:传输模式(Transport Mode)和隧道模式(Tunnel Mode)。
传输模式一般用于主机到主机的通信,仅保护IP数据包的有效载荷(Payload),对IP头部不进行处理。
而隧道模式则用于网络到网络的通信,对整个IP数据包进行加密和认证。
根据我们的需求,我们选择隧道模式,以保护整个网络之间的通信安全。
三、配置IPsec策略在选择好IPsec策略之后,我们可以开始配置IPsec协议以实现所需的保护措施。
配置步骤如下:1. 配置IPsec策略目的地我们需要明确需要保护的网络通信源和目的地。
例如,我们希望保护本地局域网(192.168.1.0/24)与远程办公地点(10.0.0.0/24)之间的通信安全。
2. 生成必要的密钥和证书IPsec协议使用密钥进行加密和认证。
我们需要生成用于隧道模式的加密密钥和身份认证密钥。
防火墙双机热备配置案例
双机热备网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。
在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。
当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。
在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。
每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。
在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。
当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。
配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1)配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。
接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。
➢主墙a)配置HA心跳口地址。
①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。
点击“确定”按钮保存配置。
华为Eudemon1000双机配置
双机热备配置举例目录1双机热备配置举例1.1 配置主备备份方式下的双机热备1.2 配置负载分担方式上下行设备是路由器的双机热备1.3配置负载分担方式下业务接口工作在交换模式的双机热备1.4 配置主备备份方式下VRRP 和OSPF 结合的双机热备1.5 配置主备备份方式下OSPF 与NAT 结合的双机热备1双机热备配置举例通过配置双机热备功能,可以确保主用设备出现故障时能由备份设备平滑地接替工作。
配置主备备份方式下的双机热备Eudemon 作为安全设备部署在业务节点上,上下行设备均是交换机,实现主备备份的双机热备份组网。
配置负载分担方式上下行设备是路由器的双机热备Eudemon 作为安全设备部署在业务节点上,上下行设备均是路由器,实现负载分担的双机热备份组网。
配置负载分担方式下业务接口工作在交换模式的双机热备Eudemon 上下行设备均是路由器,主备设备的业务接口工作在交换模式下,在上下行路由器之间透传OSPF 协议,同时对业务流量提供安全过滤功能。
配置主备备份方式下VRRP和OSPF结合的双机热备主备设备与路由器运行OSPF协议,与交换机运行VRRP , 实现主备备份的双机热备份组网。
配置主备备份方式下OSPF与NAT结合的双机热备主备设备与路由器及下行设备GGSN设备运行OSPF协议,在设备上配置NAT功能,实现主备备份的双机热备份组网。
父主题:典型配置案例1.1配置主备备份方式下的双机热备Eudemon作为安全设备部署在业务节点上,上下行设备均是交换机,实现主备备份的双机热备份组网。
组网需求Eudemon作为安全设备被部署在业务节点上。
其中上下行设备均是交换机,Eudemon_A、Eudemon_B分别充当主用设备和备用设备。
网络规划如下:•内部网络通过路巾器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/2接口相连,部署在Trust区域。
•外部网络通过路由器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/1接口相连,部署在Untrust区域。
双机热备与ipsec结合使用解释 说明
双机热备与ipsec结合使用解释说明嘿,你知道吗?双机热备和 IPSec 这俩家伙,就像是一对默契十足
的好搭档!双机热备呢,就好比是一个随时准备替补上场的超级候补
队员。
比如说吧,你的主服务器突然“生病”了,不能工作了,这时候
双机热备就会立刻冲上去,保证系统还能正常运行,是不是很厉害?
而 IPSec 呢,它就像是给你的数据穿上了一层坚固的铠甲!它能把
你的数据保护得好好的,让它们在网络世界里安全地“旅行”。
那要是把双机热备和 IPSec 结合起来使用,哇塞,那可不得了!这
就好像是一支强大的军队,既有勇猛的前锋在前方冲锋陷阵,又有坚
固的后盾保障一切。
想象一下,你的系统正在稳定地运行着,双机热备在一旁默默守护,随时准备应对突发状况。
而 IPSec 则把所有的数据都保护得严严实实,不让任何外界的威胁有可乘之机。
这不就是我们最想要的那种安全又
可靠的状态吗?
你看啊,要是只有双机热备,虽然能保证系统不停机,但数据的安
全呢?要是没有 IPSec 的保护,那不是很容易被攻击?反过来,只有IPSec 也不行啊,系统万一出问题了咋办?所以啊,它们俩结合起来,
那才是真正的完美!
我就觉得,双机热备和 IPSec 结合使用,真的是太重要了!它们能让我们的系统既稳定又安全,这难道不是我们一直追求的吗?难道你不想让你的系统也拥有这样强大的保障吗?。
H3C_防火墙典型配置案例集(V7)-6W100-H3C_防火墙IPsec典型配置案例(V7)
[Sysname] pki import domain domain1 der ca filename m9000.cer The trusted CA's finger print is:
MD5 fingerprint:7B6F 9F0B F2E8 8336 935A FB5B 7D03 64E7 SHA1 fingerprint:2040 0532 2D90 817A 3E8F 5B47 DEBD 0A0E 5250 EB7D Is the finger print correct?(Y/N):y
i
ቤተ መጻሕፍቲ ባይዱ
1 简介
本文档介绍 M9000 多业务安全网关和 F5000-S 设备建立 IPsec 隧道的方法,其中 IKE 的认证使用 证书方式。
2 配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品 手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺 省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置 不冲突。 本文档假设您已了解 IPsec 特性。
1
3.3 使用版本
本举例是在 M9000 Version 7.1.051, Ess 9105 版本上和 F5000-S 的 T3803P02 版本上进行配置和验 证的。
3.4 配置步骤
3.4.1 M9000 的配置
申请证书有在线申请和本地导入两种方式,本配置采用本地导入方式。
(1) 配置接口 Ten-GigabitEthernet5/0/11、Ten-GigabitEthernet5/0/12 的 IP 地址。 # 配置接口 Ten-GigabitEthernet5/0/11 的 IP 地址。
华为防火墙 双机热备配置
Quidway Eudemon300/500/1000配置指南可靠性分册目录目录1双机热备份配置 (1)1.1简介 (2)1.1.1总体概述 (2)1.1.2VRRP概述 (4)1.1.3VGMP概述 (5)1.1.4备份方式分类 (6)1.1.5HRP应用 (10)1.1.6配置设备的主从划分 (10)1.1.7配置命令和状态信息的备份 (11)1.1.8双机热备份的组网方式 (12)1.1.9报文来回路径不一致的组网 (13)1.2配置VRRP备份组 (18)1.2.1建立配置任务 (18)1.2.2配置未加入VRRP管理组的VRRP备份组 (18)1.2.3配置加入VRRP管理组的VRRP备份组 (19)1.2.4检查配置结果 (20)1.3配置VRRP管理组 (21)1.3.1建立配置任务 (21)1.3.2配置路由模式下的VRRP管理组 (22)1.3.3配置混合模式下的VRRP管理组 (23)1.3.4检查配置结果 (24)1.4配置双机热备份 (24)1.4.1建立配置任务 (24)1.4.2配置来回路径一致时的双机热备份 (26)1.4.3检查配置结果 (26)1.5配置来回路径不一致时的链路可达性检查 (27)1.5.1建立配置任务 (27)1.5.2检查链路可达性 (27)1.6使能来回路径不一致时的会话快速备份和报文搬迁 (28)1.6.1建立配置任务 (28)目录Quidway Eudemon300/500/1000配置指南可靠性分册1.6.2使能会话快速备份 (29)1.6.3使能报文搬迁 (29)1.7配置备防火墙上的NAT (30)1.7.1建立配置任务 (30)1.7.2配置备防火墙上的NAT (30)1.7.3配置备防火墙上的内部服务器 (30)1.8维护 (31)1.8.1调试VRRP报文、状态和定时器 (31)1.8.2调试VRRP管理组 (31)1.8.3调试HRP (31)1.8.4检查两端配置的一致性 (32)1.8.5查看IP链路状态 (32)1.8.6调试IP链路 (32)1.8.7调试HRP配置检查功能 (33)1.9配置举例 (33)1.9.1配置使用VRRP管理组的主备备份示例 (33)1.9.2配置使用VRRP管理组的负载分担示例 (37)1.9.3配置混合模式下的使用VRRP管理组的主备备份示例 (42)1.9.4配置路由模式下的双机热备份示例 (45)1.9.5配置混合模式下的双机热备份示例 (46)1.9.6配置OSPF和双机热备份混合组网示例 (48)1.9.7配置IP link示例 (56)1.9.8配置两端状态一致性检查 (58)1.9.9配置会话快速备份 (60)1.9.10配置报文搬迁 (61)Quidway Eudemon300/500/1000配置指南可靠性分册插图目录插图目录图1-1来回路径一致组网图 (2)图1-2来回路径不一致组网图 (3)图1-3采用缺省路由的组网 (4)图1-4采用VRRP的虚拟路由器组网 (4)图1-5Eudemon备份的典型组网 (5)图1-6Eudemon备份的状态 (5)图1-7主备备份组网 (6)图1-8负载分担组网(1) (7)图1-9负载分担组网(2) (9)图1-10Eudemon主备备份的典型数据路径 (10)图1-11来回路径不一致组网图 (13)图1-12H型结构 (14)图1-13h型结构 (15)图1-14N型结构 (16)图1-15|-型结构 (17)图1-16使用VRRP管理组的主备备份组网 (34)图1-17使用VRRP管理组的负载分担组网 (38)图1-18混合模式下的VRRP管理组的主备备份组网图 (42)图1-19混合模式下的双机热备分组网图 (47)图1-20OSPF和双机热备份混合组网图 (49)图1-21采用路由器的双机热备分组网图 (56)图1-22配置两端状态一致性检查组网图 (59)图1-23配置会话快速备份 (60)Quidway Eudemon300/500/1000配置指南可靠性分册表格目录表格目录表1-1主备备份方式下各设备的状态 (7)表1-2负载分担方式下各设备的状态(1) (8)表1-3负载分担方式下各设备的状态(2) (8)表1-4检查VRRP备份组配置 (20)表1-5检查VRRP管理组配置 (24)表1-6检查双机热备配置 (26)表1-7调试VRRP报文、状态和定时器的相关操作 (31)表1-8调试VRRP管理组的相关操作 (31)表1-9调试HRP的相关操作 (31)表1-10查看IP链路状态 (32)表1-11调试IP链路的相关操作 (33)表1-12调试HRP配置检查功能的相关操作 (33)Quidway Eudemon300/500/1000配置指南可靠性分册1双机热备份配置1双机热备份配置关于本章本章描述内容如下表所示。
SecPath_防火墙双机热备典型配置
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
天融信防火墙双机热备配置说明
天融信防火墙双机热备配置说明一、防火墙的接口设置:ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程:1、配置主防火墙的双机设置,并使之处于工作状态:system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置:restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址(默认出厂只有eth6有地址)3、配置从防火墙的双机设置,并使之处于备用状态:system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令,将主防火墙的所有配置同步到从防火墙上:writep //同步命令。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
论坛的小伙伴们,大家好。
强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。
说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。
但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。
【组网需求】如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。
(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10)现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D处理分支B发送到总部的流量。
当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。
【需求分析】针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。
如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。
2、分支与总部之间如何建立IPSec隧道正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。
当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。
3、总部的两台防火墙如何对流量进行引导总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。
【配置步骤】与NGFW_A建立一条备份隧道,在tunnel2上与NGFW_B建立一条主用隧道。
这里需要注意的是NGFW_C 上的tunnel1(tunnel2)地址需要与NGFW_D上的tunnel1(tunnel2)地址保持一致。
?我想这时小伙伴们又要问为什么了这样做的好处是在NGFW_A上只需要与对端的tunnel1接口建立隧道即可,NGFW_A不用去关心这个tunnel1是NGFW_C还是NGFW_D的(因为他们的IP是一致的)。
同理NGFW_B只需要与对端的tunnel2接口建立隧道即可。
1)定义受IPSec VPN保护的数据流。
HRP_A[NGFW_C]acl 3005?HRP_A[NGFW_C-acl-adv-3005]rule permit ip source destination ?HRP_A[NGFW_C-acl-adv-3005]quit?HRP_A[NGFW_C] acl 3006?HRP_A[NGFW_C-acl-adv-3006]rule permit ip source destination ?HRP_A [NGFW_C-acl-adv-3006]quit【强叔点评】ACL3005定义的是总部与分支A之间的流量,ACL3006定义的是总部与分支B之间的流量。
2)配置IPSec安全提议。
【强叔点评】如果创建IPSec安全提议后,不进行任何配置,则IPSec安全提议使用默认参数。
本案例中使用默认参数,小伙伴们可以根据自己的实际安全需求修改IPSec安全提议中的参数。
HRP_A[NGFW_C]ipsec proposal tran1HRP_A[NGFW_C-ipsec-proposal-tran1]quit3)配置IKE安全提议。
本案例中使用IKE安全提议的默认参数。
HRP_A[NGFW_C]ike proposal 10HRP_A[NGFW_C-ike-proposal-10]quit4)配置两个IKE对等体,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C]ike peer ngfw_a?HRP_A[NGFW_C-ike-peer-ngfw_a]ike-proposal 10?HRP_A[NGFW_C-ike-peer-ngfw_a]remote-address ?HRP_A[NGFW_C-ike-peer-ngfw_a]pre-shared-key Admin@123?HRP_A[NGFW_C-ike-peer-ngfw_a]quit?HRP_A[NGFW_C]ike peer ngfw_b?HRP_A[NGFW_C-ike-peer-ngfw_b]ike-proposal 10?HRP_A[NGFW_C-ike-peer-ngfw_b]remote-address ?HRP_A[NGFW_C-ike-peer-ngfw_b]pre-shared-key Admin@123?HRP_A[NGFW_C-ike-peer-ngfw_b]quit5)配置两个IPSec策略,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C]ipsec policy map1 10 isakmp?HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]security acl 3005?HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]proposal tran1?HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]ike-peer ngfw_a?HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]quit?HRP_A[NGFW_C]ipsec policy map2 10 isakmp?HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]security acl 3006?HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]proposal tran1?HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]ike-peer ngfw_b?HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]quit6)配置在Tunnel接口上应用IPSec策略。
【强叔点评】之前点评中提到我们需要在NGFW_C的tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道,这是通过在应用IPSec策略时设定active或standby参数来实现的。
HRP_A[NGFW_C]interface Tunnel 1?HRP_A[NGFW_C-Tunnel1]ipsec policy map1 active?HRP_A[NGFW_C-Tunnel1]quit?HRP_A[NGFW_C]interface Tunnel 2?HRP_A[NGFW_C-Tunnel2]ipsec policy map2standby?HRP_A[NGFW_C-Tunnel2]quit7)在NGFW_D上配置IPSec。
双机热备状态成功建立后,NGFW_C上配置的ACL、IPSec策略(包括其中的IPSec安全提议,IKE对等体)等都会自动备份到NGFW_D上。
只有在接口上应用IPSec策略的配置不会备份,需要在此手动配置。
HRP_S[NGFW_D]interface Tunnel 1?HRP_S[NGFW_D-Tunnel1]ipsec policy map1 standby?HRP_S[NGFW_D-Tunnel1]quit?HRP_S[NGFW_D]interface Tunnel 2?HRP_S[NGFW_D-Tunnel2]ipsec policy map2 active?HRP_S[NGFW_D-Tunnel2]quit8)在NGFW_A和NGFW_B上配置IPSec。
NGFW_A和NGFW_B的配置比较简单,就是一个点到点方式的IPSec配置。
只要将NGFW_A的IPSec隧道Remote Address配置为Tunnel1接口的IP地址;NGFW_B的IPSec隧道Remote Address配置为Tunnel2接口的IP地址就行了。
受篇幅所限,强叔就不详细讲了。
3、配置路由和路由策略。
双机热备和IPSec配置完成后,只要再保证NGFW_A与Tunnel1接口的路由可达,就可以成功建立IPSec 隧道了。
但这时一个新的问题又出现了,那就是流量到达Router1后不知道是该送往NGFW_C还是NGFW_D 的Tunnel1接口了,如下图所示。
而且我们还面临另外一个问题,那就是如何确保NGFW_A的回程流量能够回到NGFW_A呢回程流量到达Router2后不知道是该发给NGFW_C还是NGFW_D。
小伙伴们别急,强叔还是有办法的,那就是通过路由策略来实现。
1)首先我们需要定义三条数据流,一条匹配来自分支A的去和回的流量:HRP_A[NGFW_C]acl 2000?HRP_A[NGFW_C-acl-basic-2000]rule permit source ?HRP_A[NGFW_C-acl-basic-2000]rule permit source ?HRP_A[NGFW_C-acl-basic-2000]quit一条匹配分支B的去和回的流量:HRP_A[NGFW_C]acl 2001?HRP_A[NGFW_C-acl-basic-2001]rule permit source ?HRP_A[NGFW_C-acl-basic-2001]rule permit source ?HRP_A[NGFW_C-acl-basic-2001]quit第三条匹配来自分支A和B的去和回的流量:?HRP_A[NGFW_C]acl 2002?HRP_A[NGFW_C-acl-basic-2002]rule permit source ?HRP_A[NGFW_C-acl-basic-2002]rule permit source ?HRP_A[NGFW_C-acl-basic-2002]rule permit source ?HRP_A[NGFW_C-acl-basic-2002]rule permit source ?HRP_A[NGFW_C-acl-basic-2002]quit2)然后我们需要配置几条路由策略,实现以下效果。