0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

防火墙双机组网环境中的IPSecVPN实验步骤及配置

网络技术干货圈 来源:网络技术干货圈 作者:圈圈 2022-11-08 09:41 次阅读

实验拓扑

740e7336-5ef4-11ed-8abf-dac502259ad0.png

网络中各设备的IP地址规划及接口描述如下:

74252df6-5ef4-11ed-8abf-dac502259ad0.png

实验需求

设备IP、VLAN规划如上表所示;

FW1/FW2部署双机热备,采用主备方式,FW1为主设备,FW2为备设备;

PC1是站点内网用户,处于Trust Zone网关是主备防火墙的VRRP组1的虚拟IP地址;

PC2是另一个站点的内网用户,处于Untrust Zone,网关设置为FW3的GE0/0/1口IP地址;

FW1/FW2与FW3之间建立一条IPSecVPN站点到站点的隧道,用于保护PC1及PC2之间的互访流量。

实验步骤及配置

完成接口的基本配置,将接口关联到安全区域

FW1的配置如下:

[FW1]interfaceGigabitEthernet0/0/1
[FW1-GigabitEthernet0/0/1]ipaddress192.168.1.324
[FW1-GigabitEthernet0/0/1]vrrpvrid1virtual-ip192.168.1.1master
[FW1-GigabitEthernet0/0/1]quit

[FW1]interfaceGigabitEthernet0/0/3
[FW1-GigabitEthernet0/0/3]ipaddress200.1.1.324
[FW1-GigabitEthernet0/0/3]vrrpvrid2virtual-ip200.1.1.1master
[FW1-GigabitEthernet0/0/3]quit

[FW1]interfaceGigabitEthernet0/0/2
[FW1-GigabitEthernet0/0/2]ipaddress1.1.1.124
[FW1-GigabitEthernet0/0/2]quit

[FW1]firewallzonetrust
[FW1-zone-trust]addinterfaceGigabitEthernet0/0/1
[FW1-zone-trust]quit

[FW1]firewallzoneuntrust
[FW1-zone-untrust]addinterfaceGigabitEthernet0/0/3
[FW1-zone-untrust]quit
[FW1]firewallzonenameha
[FW1-zone-ha]setpriority96
[FW1-zone-ha]addinterfaceGigabitEthernet0/0/2
[FW1-zone-ha]quit

FW2的配置如下:

[FW2]interfaceGigabitEthernet0/0/1
[FW2-GigabitEthernet0/0/1]ipaddress192.168.1.224
[FW2-GigabitEthernet0/0/1]vrrpvrid1virtual-ip192.168.1.1slave
[FW2-GigabitEthernet0/0/1]quit

[FW2]interfaceGigabitEthernet0/0/3
[FW2-GigabitEthernet0/0/3]ipaddress200.1.1.224
[FW2-GigabitEthernet0/0/3]vrrpvrid2virtual-ip200.1.1.1slave
[FW2-GigabitEthernet0/0/3]quit

[FW2]interfaceGigabitEthernet0/0/2
[FW2-GigabitEthernet0/0/2]ipaddress1.1.1.224
[FW2-GigabitEthernet0/0/2]quit

[FW2]firewallzonetrust
[FW2-zone-trust]addinterfaceGigabitEthernet0/0/1
[FW2-zone-trust]quit

[FW2]firewallzoneuntrust
[FW2-zone-untrust]addinterfaceGigabitEthernet0/0/3
[FW2-zone-untrust]quit

[FW2]firewallzonenameha
[FW2-zone-ha]setpriority96
[FW2-zone-ha]addinterfaceGigabitEthernet0/0/2
[FW2-zone-ha]quit

为FW1及FW2添加默认路由

FW1的配置如下:

[FW1]iproute-static0.0.0.00200.1.1.100

FW2的配置如下:

[FW2]iproute-static0.0.0.00200.1.1.100

部署FW1/FW2双机热备,采用主备方式

FW1的配置如下:

[FW1]hrpinterfaceGigabitEthernet0/0/2
[FW1]hrpenable
[FW1]hrppreemptdelay60

FW2的配置如下:

[FW2]hrpinterfaceGigabitEthernet0/0/2
[FW2]hrpenable

配置完成后,FW1/FW2会进行主备协商,FW1成为主防火墙,FW2成为备份防火墙。

在FW1及FW2上配置IPSecVPN

IPSecVPN相关策略的配置在主防火墙FW1上配置即可,这些配置会自动同步到备份防火墙FW2上,不过,在接口上应用IPSec Policy的这一条命令,是需要在主备防火墙相应的接口上都做配置的,因为这条命令不会自动同步。

在主防火墙FW1上定义IPSecVPN感兴趣数据流,使用ACL3000来匹配感兴趣流量:

HRP_M[FW1]aclnumber3000
HRP_M[FW1-acl-adv-3000]rulepermitipsource192.168.1.00.0.0.255destination10.1.1.0
0.0.0.255
HRP_M[FW1-acl-adv-3000]quit

在主防火墙FW1上配置IKE Proposal,这是IKE阶段一的策略,在FW1/FW2上部署的相关策略均需与FW3相匹配。IKE阶段一的策略中,身份验证使用的是预共享的认证方式,验证算法使用的是sha1,加密算法使用3des:

HRP_M[FW1]ikeproposal10
HRP_M[FW1-ike-proposal-10]authentication-methodpre-share
HRP_M[FW1-ike-proposal-10]authentication-algorithmsha1
HRP_M[FW1-ike-proposal-10]encryption-algorithm3des-cbc
HRP_M[FW1-ike-proposal-10]dhgroup2
HRP_M[FW1-ike-proposal-10]quit

在主防火墙FW1上配置IPsec proposal,这是IKE阶段二的策略,在阶段二的策略中安全协议采用ESP,加密算法使用3des,验证算法使用sha1:

HRP_M[FW1]ipsecproposalmyset
HRP_M[FW1-ipsec-proposal-myset]transformesp
HRP_M[FW1-ipsec-proposal-myset]espauthentication-algorithmsha1
HRP_M[FW1-ipsec-proposal-myset]espencryption-algorithm3des

在主防火墙FW1上配置IKE peer,定义预共享秘钥、关联IKE proposal并指定隧道对端节点IP

HRP_M[FW1]ikepeerfw3
HRP_M[FW1-ike-peer-fw3]pre-shared-keyHuawei123
HRP_M[FW1-ike-peer-fw3]ike-proposal10
HRP_M[FW1-ike-peer-fw3]remote-address200.1.1.100

在主防火墙FW1上配置IPsec Policy

HRP_M[FW1]ipsecpolicymymap10isakmp
HRP_M[FW1-ipsec-policy-isakmp-mymap-10]securityacl3000
HRP_M[FW1-ipsec-policy-isakmp-mymap-10]ike-peerfw3
HRP_M[FW1-ipsec-policy-isakmp-mymap-10]local-address200.1.1.1
HRP_M[FW1-ipsec-policy-isakmp-mymap-10]proposalmyset

上述关于IPSecVPN的策略都能够自动同步到备机FW2上,但是下面这条将IPsec Policy 应用到接口的命令,需要在FW2上手工输入:

FW1应用IPsec Policy到接口

HRP_M[FW1]interfaceGigabitEthernet0/0/3
HRP_M[FW1-GigabitEthernet0/0/3]ipsecpolicymymap

FW2应用IPsec Policy到接口

HRP_S[FW2]interfaceGigabitEthernet0/0/3
HRP_S[FW2-GigabitEthernet0/0/3]ipsecpolicymymap

在FW1、FW2上放开防火墙之间的IPSecVPN隧道协商流量、放开IPSecVPN内部站点之间的流量

放开FW1、FW2防火墙自身到的FW3的流量,使得ISAKMP报文,以及受保护的用户数据能够发送到FW3

HRP_M[FW1]policyinterzonelocaluntrustoutbound
HRP_M[FW1-policy-interzone-local-untrust-outbound]policy0
HRP_M[FW1-policy-interzone-local-untrust-outbound-0]policydestination200.1.1.1000
HRP_M[FW1-policy-interzone-local-untrust-outbound-0]actionpermit
HRP_M[FW1-policy-interzone-local-untrust-outbound-0]quit
HRP_M[FW1-policy-interzone-local-untrust-outbound]quit

放开IPSecVPN隧道对端防火墙发送到FW1/FW2的流量

HRP_M[FW1]policyinterzonelocaluntrustinbound
HRP_M[FW1-policy-interzone-local-untrust-inbound]policy0
HRP_M[FW1-policy-interzone-local-untrust-inbound-0]policysource200.1.1.1000
HRP_M[FW1-policy-interzone-local-untrust-inbound-0]actionpermit

放开对端站点内网访问本地内网的流量

HRP_M[FW1]policyinterzonetrustuntrustinbound
HRP_M[FW1-policy-interzone-trust-untrust-inbound]policy0
HRP_M[FW1-policy-interzone-trust-untrust-inbound-0]policysource10.1.1.00.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-inbound-0]policydestination192.168.1.00.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-inbound-0]actionpermit

放开本地站点内网到对端站点内网的流量

HRP_M[FW1]policyinterzonetrustuntrustoutbound
HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy0
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]policysource192.168.1.00.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]policydestination10.1.1.00.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]actionpermit

完成FW3的配置

[FW3]interfaceGigabitEthernet0/0/1
[FW3-GigabitEthernet0/0/1]ipaddress10.1.1.124
[FW3-GigabitEthernet0/0/1]quit

[FW3]interfaceGigabitEthernet0/0/3
[FW3-GigabitEthernet0/0/3]ipaddress200.1.1.10024
[FW3-GigabitEthernet0/0/3]quit

[FW3]firewallzonetrust
[FW3-zone-trust]addinterfaceGigabitEthernet0/0/1
[FW3-zone-trust]quit

[FW3]firewallzoneuntrust
[FW3-zone-untrust]addinterfaceGigabitEthernet0/0/3
[FW3-zone-untrust]quit

[FW3]aclnumber3000
[FW3-acl-adv-3000]rulepermitipsource10.1.1.00.0.0.255destination192.168.1.00.0.0.255
[FW3-acl-adv-3000]quit

[FW3]ikeproposal10
[FW3-ike-proposal-10]authentication-methodpre-share
[FW3-ike-proposal-10]authentication-algorithmsha1
[FW3-ike-proposal-10]encryption-algorithm3des-cbc
[FW3-ike-proposal-10]dhgroup2
[FW3-ike-proposal-10]quit

[FW3]ipsecproposalmyset
[FW3-ipsec-proposal-myset]transformesp
[FW3-ipsec-proposal-myset]espauthentication-algorithmsha1
[FW3-ipsec-proposal-myset]espencryption-algorithm3des

[FW3]ikepeerfw1-2
[FW3-ike-peer-fw1-2]pre-shared-keyHuawei123
[FW3-ike-peer-fw1-2]ike-proposal10
[FW3-ike-peer-fw1-2]remote-address200.1.1.1

[FW3]ipsecpolicymymap10isakmp
[FW3-ipsec-policy-isakmp-mymap-10]securityacl3000
[FW3-ipsec-policy-isakmp-mymap-10]ike-peerfw1-2
[FW3-ipsec-policy-isakmp-mymap-10]proposalmyset

[FW3]interfaceGigabitEthernet0/0/3
[FW3-GigabitEthernet0/0/3]ipsecpolicymymap

[FW3]policyinterzonelocaluntrustoutbound
[FW3-policy-interzone-local-untrust-outbound]policy0
[FW3-policy-interzone-local-untrust-outbound-0]policydestination200.1.1.10
[FW3-policy-interzone-local-untrust-outbound-0]actionpermit
[FW3-policy-interzone-local-untrust-outbound-0]quit
[FW3-policy-interzone-local-untrust-outbound]quit

放开IPSecVPN隧道对端防火墙发送过来的流量

[FW3]policyinterzonelocaluntrustinbound
[FW3-policy-interzone-local-untrust-inbound]policy0
[FW3-policy-interzone-local-untrust-inbound-0]policysource200.1.1.10
[FW3-policy-interzone-local-untrust-inbound-0]actionpermit

放开对端站点内网过来的流量

[FW3]policyinterzonetrustuntrustinbound
[FW3-policy-interzone-trust-untrust-inbound]policy0
[FW3-policy-interzone-trust-untrust-inbound-0]policysource192.168.1.00.0.0.255
[FW3-policy-interzone-trust-untrust-inbound-0]policydestination10.1.1.00.0.0.255[FW3-
policy-interzone-trust-untrust-inbound-0]actionpermit

放开本地站点内网到对端站点内网的流量

[FW3]policyinterzonetrustuntrustoutbound
[FW3-policy-interzone-trust-untrust-outbound]policy0
[FW3-policy-interzone-trust-untrust-outbound-0]policysource10.1.1.00.0.0.255
[FW3-policy-interzone-trust-untrust-outbound-0]policydestination192.168.1.00.0.0.255[FW3-
policy-interzone-trust-untrust-outbound-0]actionpermit
[FW3]iproute-static0.0.0.00200.1.1.1

完成上述配置后,PC1与PC2即可互访。

HRP_M[FW1]displayipsecsa
===============================
Interface:GigabitEthernet0/0/8
pathMTU:1500
===============================
-----------------------------
IPsecpolicyname:"mymap"
sequencenumber:10
mode:isakmp
vpn:public
-----------------------------
connectionid:40002
rulenumber:5
encapsulationmode:tunnel
holdingtime:49710d5h29m28s
tunnellocal:200.1.1.1tunnelremote:200.1.1.100
flowsource:192.168.1.0/255.255.255.00/0
flowdestination:10.1.1.0/255.255.255.00/0
[inboundESPSAs]
spi:3990067008(0xedd39740)
vpn:publicsaid:0cpuid:0x0000
proposal:ESP-ENCRYPT-3DESESP-AUTH-SHA1
saremainingkeyduration(bytes/sec):1887436464/2704
maxreceivedsequence-number:4
udpencapsulationusedfornattraversal:N
[outboundESPSAs]
spi:1474676474(0x57e5c6fa)
vpn:publicsaid:1cpuid:0x0000
proposal:ESP-ENCRYPT-3DESESP-AUTH-SHA1
saremainingkeyduration(bytes/sec):1887436464/2704
maxsentsequence-number:260004
udpencapsulationusedfornattraversal:N

以上是FW1的IPSec SAs。主防火墙FW1在与FW3完成IPSecVPN隧道的建立后,会将IPSec SAs同步到备份防火墙上,备份防火墙上的IPSec SAs与主防火墙上的SAs是一样的:

HRP_S[FW2]displayipsecsa

===============================
Interface:GigabitEthernet0/0/8
pathMTU:1500
===============================
-----------------------------
IPsecpolicyname:"mymap"
sequencenumber:10
mode:isakmp

vpn:public
-----------------------------
connectionid:40005
rulenumber:5
encapsulationmode:tunnel
holdingtime:0d0h58m19s
tunnellocal:200.1.1.1tunnelremote:200.1.1.100
flowsource:192.168.1.0/255.255.255.00/0
flowdestination:10.1.1.0/255.255.255.00/0
[inboundESPSAs]
spi:3990067008(0xedd39740)
vpn:publicsaid:4cpuid:0x0000
proposal:ESP-ENCRYPT-3DESESP-AUTH-SHA1
saremainingkeyduration(bytes/sec):1887436464/2618
maxreceivedsequence-number:1
udpencapsulationusedfornattraversal:N
[outboundESPSAs]
spi:1474676474(0x57e5c6fa)
vpn:publicsaid:5cpuid:0x0000
proposal:ESP-ENCRYPT-3DESESP-AUTH-SHA1
saremainingkeyduration(bytes/sec):1887436464/2618
maxsentsequence-number:520000
udpencapsulationusedfornattraversal:N
HRP_S[FW2]

当FW1丢失了到Internet的连接,如下:

744495f6-5ef4-11ed-8abf-dac502259ad0.png

则FW1、FW2将发生主备切换,而此时由于FW2已经拥有了IPSec SAs并且这些SAs与FW1上的是相同的,因此受保护流量可以平滑的切换到FW2上来。

再考虑另外一种情况,就是FW1掉电重启的情况。由于掉电重启,FW1将丢失IPSec SAs,此时FW2成为主设备接替其工作。在FW1启动完成初期,FW2由于仍然是主设备,因此会向FW1 同步IPSec SAs,在FW1抢占了FW2的主设备身份后,即可正常的转发受保护流量。在这里要注意,HRP抢占的时间要设置的合理,不应设置得太短。

注意:

实验中使用的防火墙软件版本为:V300R001C00SPC700。

在完成配置后,FW3会与主防火墙FW1完成IPSecVPN隧道的建立,FW1会将建立好的IPSecSAs同步到备份防火墙FW2上,主备防火墙的IPSec SAs的策略、入站及出站的SPI都是一样的。当FW1发生故障时,FW1/FW2主备切换,受保护流量被引导到备防火墙上,由于此时备防火墙早已有IPSec SAs,因此可以实现平滑的切换。

当PC1主动发起访问PC2的时候,主防火墙FW1/是无法与FW3正确的建立IPSecVPN隧道的,这是因为FW1发送的ISAKMP报文源地址为200.1.1.3也就是FW1的物理接口IP,而在FW3上我们配置的peer地址为200.1.1.1,两者并不匹配,因此IPSecVPN隧道无法正确建立。但是PC2可主动发起访问PC1,这将触发FW3主动与200.1.1.1建立IPSecVPN隧道,这是能够成功的。FW3的ISAKMP报文将发向200.1.1.1,报文实际是发送到主防火墙FW1上,FW1即使未配置local-address,但是FW1(实验版本为V300R001C00SPC700)能够正确处理这些报文并最终正确地完成隧道的建立,虽然如此,仍然建议在FW1、FW2上配置local-address。如果防火墙作为IPSec隧道的发起方,必须执行命令local-address ip-address,设置本端发起协商的地址为VRRP备份组的虚拟IP地址。

双机热备的环境下,只支持主备备份方式的IPSec VPN。

FW1/FW2防火墙的上下行业务接口必须为三层接口(包括VLANIF接口)。

先建立双机热备状态,再配置IPSec VPN。在主用防火墙上配置的IPSec策略会自动备份到备用防火墙上。在备用防火墙上,只需要在出接口上应用备份过来的IPSec策略即可。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 接口
    +关注

    关注

    33

    文章

    8575

    浏览量

    151021
  • 网关
    +关注

    关注

    9

    文章

    4444

    浏览量

    51057

原文标题:安全进阶:防火墙双机组网环境中的 IPSecVPN 实验配置

文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    防火墙和web应用防火墙详细介绍

    防火墙和Web应用防火墙是两种不同的网络安全工具,它们在多个方面存在显著的区别,同时也在各自的领域内发挥着重要的作用,主机推荐小编为您整理发布云防火墙和web应用防火墙
    的头像 发表于 12-19 10:14 43次阅读

    云服务器防火墙设置方法

    云服务器防火墙的设置方法通常包括:第一步:登录控制台,第二步:配置安全组规则,第三步:添加和编辑规则,第四步:启用或停用规则,第五步:保存并应用配置。云服务器防火墙的设置是确保网络安全
    的头像 发表于 11-05 09:34 177次阅读

    ubuntu防火墙规则之ufw

    因公司项目的需求,需要对客户端机器简便使用防火墙的功能,所以可在页面进行简便设置防护墙规则,当然,这个功能需求放到我手上我才有机会学到。因为客户端机器都是ubuntu的,所以当然用了ubuntu特有
    的头像 发表于 10-31 10:22 222次阅读

    Juniper防火墙配置NAT映射的问题分析

    记录一下Juniper SSG或者ISG 系列防火墙配置一对多NAT映射 VIP(Viritual Internet Protocol)时碰到的一个特殊的问题, 就是在内部服务器ICMP报文被阻断
    的头像 发表于 10-29 09:55 302次阅读
    Juniper<b class='flag-5'>防火墙</b><b class='flag-5'>配置</b>NAT映射的问题分析

    硬件防火墙和软件防火墙区别

    电子发烧友网站提供《硬件防火墙和软件防火墙区别.doc》资料免费下载
    发表于 10-21 11:03 1次下载

    物通博联工业智能网关实现防火墙配置及应用

    增强工业网络的安全性与防护能力。 以下介绍物通博联工业智能网关WG585配置防火墙功能的操作,通过编写ACL访问控制列表,过滤掉来自某个主机IP的报文。 主机IP地址: 网关WAN口IP地址: 在配置
    的头像 发表于 09-14 17:11 339次阅读
    物通博联工业智能网关实现<b class='flag-5'>防火墙</b><b class='flag-5'>配置</b>及应用

    J721E DDR防火墙示例

    电子发烧友网站提供《J721E DDR防火墙示例.pdf》资料免费下载
    发表于 08-23 09:26 0次下载
    J721E DDR<b class='flag-5'>防火墙</b>示例

    IR700与SSG5防火墙如何建立VPN模板?

    防火墙配置登录用户名和密码: 设置WAN接口 编辑“ethernet0/0”接口 设置LAN接口编辑“bgroup0” 设置DNS 设置DHCP 点击编辑“broup0
    发表于 07-26 08:12

    深信服防火墙和IR700建立IPSec VPN配置说明

    深信服防火墙和IR700建立IPSec VPN 配置说明本文档针对深信服防火墙 的常规使用以及与无线路由器InRouter配合使用时(主要是建IPSec
    发表于 07-26 07:43

    IPSecVPN + PPTP VPN Demo搭建配置说明

    该拓扑防火墙将公网IP 219.232.192.xxx 映射为内IP 192.168.100.36,在通常情况若无防火墙则可以将公网IP直接配置到CiscoRV042 的WAN端口即
    发表于 07-26 06:01

    InRouter与Juniper SRX如何建立IPSec隧道配置

    密钥与在防火墙配置一样的内容。 第一阶段ISAKMP建立成功、第二阶段 IPsec SA建立成功 以无线路由器LAN地址为源地址 (-I 192.168.1.1)ping 目的
    发表于 07-25 07:32

    两台IR615和华为USG6335E建立IPsecVPN的过程

    华为防火墙作为中心网关,两台IR615路由器作为分支节点,与中心网关建立IPSecVPN隧道,对中心网关子网(10.168.1.0/24)和路由器IR615-1的子网(10.168.2.0/24
    发表于 07-24 07:20

    IR915与AF1000建立IPSecVPN配置的过程

    : 1. 配置深信服防火墙 第一步:点击导航栏“网络&gt;&gt;IPSecVPN&gt;&gt;DLAN运行状态”,开启VPN服务
    发表于 07-24 07:02

    工业防火墙是什么?工业防火墙主要用在哪里?

    工业防火墙是一种专为工业控制系统(Industrial Control Systems, ICS)设计的网络安全设备,它结合了硬件与软件技术,用以保护工业生产环境的关键基础设施免受网络攻击。工业
    的头像 发表于 03-26 15:35 1274次阅读

    防火墙双机热备命令行配置方案

    部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪
    的头像 发表于 01-02 09:45 992次阅读
    <b class='flag-5'>防火墙</b><b class='flag-5'>双机</b>热备命令行<b class='flag-5'>配置</b>方案