华为路由器:GRE OVER IPSEC 双链路热备案例 |
您所在的位置:网站首页 › 华为ar169 › 华为路由器:GRE OVER IPSEC 双链路热备案例 |
华为路由器:GRE OVER IPSEC 双链路热备案例 AR169 GRE OVER IPSEC 双链路热备案例.docx AR169 GRE OVER IPSEC 双链路热备案例.docx https://support.huawei.com/enterprise/zh/knowledge/EKB1000093431
AR169FGVW-L版本:V200R005C30SPC022T 2 需求和方案分析2.1 AR169需通过LTE连接至公网,且获取到的地址需固定方案:AR169支持插LTE SIM卡的方式,通过该方式实现自动拨号连接至公网。而要实现每次获取到的地址固定的话,在SIM卡运营商核心网设备设置即可。 2.2 AR169需同时与主中心和备中心建立IPSEC隧道方案:AR169支持同一个出口建立多个隧道,只需要在AR169配置两个IPSEC隧道即可,如采用相同的AH或者ESP协议算法的话,配置一个即可实现复用。因只需要建立2个隧道故采用正常配置即可,无需采用策略模板方式。 2.3当AR169到主隧道(主中心)的接口DOWN后,流量需自动切换至备份隧道(备中心)上,切换时间无要求方案:因需要流量自动切换而且路由条目很多,所以只能采用动态路由+修改COST值的方式。我们知道OSPF协议建立邻居时是需要发送组播报文,而IPSEC不支持组播报文的转发,所以需要将OSPF承载在其它协议上,经过分析及经验可以得出采用GRE OVER IPSEC的方案即可。如下是相关疑问的解释,便于理解为什么选择GRE OVER IPESC的方案。 2.3.1 IPSec为什么不支持组播? 这个不是RFC协议规定的。IPSec 对数据实现端到端的保护,而组播是一个端到多端的一种数据流量。在IPSec设计之初,只考虑到端到端的单播流量,未对组播流量进行考虑,因此各厂家在实现的时候都只对单播流量进行加密。后续由于对组播数据的考虑,出现了GRE Over IPSec, DSVPN Over IPSec,A2A VPN等等可以组播数据进行加密。 2.3.2 GRE Over IPSec与 IPSec Over GRE有什么区别? GRE Over IPSec是先进行GRE封装, 然后再进行IPSec封装,可以对组播流量进行加密保护;而IPSec Over GRE是先进行IPSec 封装,然后再进行GRE封装,虽然说也可以通过GRE隧道转发组播流量,但是组播流量没有经过加密。如下是报文封装格式的一个举例,便于更好理解。 报文封装格式【隧道模式】如下: 假如原始报文如下: 2.4 因跨Internet网,如中间有NAT设备的话需解决NAT穿越问题? 方案:在IKE PEER下配置NAT穿越功能即可。 如下是为什么需要配置NAT穿越以及NAT穿越的原理。 若不配置NAT穿越,IP首部后面直接跟ESP首部,不存在UDP/TCP部分,那么若中间NAT设备 要基于端口进行映射,将无能为力。而配置NAT穿越以后,会在IP首部与ESP首部之间增加一个UDP头,源端口与目的端口设置为4500.中间设备可以基于端口进行映射。 这个改变由我们的设备在封装报文的时候加上的UDP头部,和中间设备没关系。 2.5 OSPF认证建立及路由自动切换需求 方案:针对OSPF认证的功能需求,在配置OSPF时可以选择不同的认证方式,本次采用基于接口+MD5算法的认证方式。路由切换的话,只需要在接口下修改OSPF COST值即可。 3 AR169配置步骤和备注(关键风险点配置和解释见黄色标注处) 3.1 AR169与下行设备C29XX采用OSPF(MD5认证)对接,用于局域网连接 system-view [huawei] sysname AR169 [AR169] interface GigabitEthernet0/0/4 [AR169-GigabitEthernet0/0/4] ip add 10.10.10.1 255.255.255.252 [AR169-GigabitEthernet0/0/4] quit
[AR169] ospf 2006 [AR169-ospf-2006] area 0.0.0.0 [AR169-ospf-2006-area-0.0.0.0] network 10.10.10.0 0.0.0.3 [AR169-ospf-2006-area-0.0.0.0] authentication-mode md5 [AR169-ospf-2006-area-0.0.0.0] quit [AR169-ospf-2006] quit
[AR169] interface GigabitEthernet0/0/4 [AR169-GigabitEthernet0/0/4] ospf cost 100 [AR169-GigabitEthernet0/0/4] ospf authentication-mode md5 1 cipher AR169@123 //认证算法和密钥需与对端保持一致 [AR169-GigabitEthernet0/0/4] quit 3.2 配置LTE功能,用于连接公网 [AR169] apn profile internet [AR169-apn-profile-internet] apn XXX // XXX为APN名称,由SIM卡运营商提供 [AR169-apn-profile-internet] quit
[AR169] dialer-rule [AR169-dialer-rule] dialer-rule 1 ip permit [AR169-dialer-rule] quit
[AR169] interface Cellular0/0/0 [AR169-Cellular0/0/0] mode lte lte-only // 指定LTE数据卡只选择LTE网络,可根据实际情况选择 [AR169-Cellular0/0/0] dialer enable-circular [AR169-Cellular0/0/0] dialer-group 1 [AR169-Cellular0/0/0] apn-profile internet [AR169-Cellular0/0/0] dialer timer autodial 10 R169-Cellular0/0/0] dialer number *99# autodial //autodial表示无需流量触发即可自动进行拨号连接 [AR169-Cellular0/0/0] ip address negotiate [AR169-Cellular0/0/0] quit 3.3 配置静态路由,保证隧道建链地址可达 [AR169] ip route-static 172.29.0.2 255.255.255.255 Cellular0/0/0 [AR169] ip route-static 172.29.0.18 255.255.255.255 Cellular0/0/0 3.4 配置AR169到主中心和备中心的GRE隧道 [AR169] interface Tunnel0/0/11 [AR169-Tunnel0/0/11] ip address 172.30.1.2 255.255.255.252 [AR169-Tunnel0/0/11] tunnel-protocol gre [AR169-Tunnel0/0/11] source 172.29.0.35 //该地址需要配置为AR169 LTE出接口地址 [AR169-Tunnel0/0/11] destination 172.29.0.2 [AR169-Tunnel0/0/11] quit
[AR169] interface Tunnel0/0/21 [AR169-Tunnel0/0/21] ip address 172.30.2.2 255.255.255.252 [AR169-Tunnel0/0/21] tunnel-protocol gre [AR169-Tunnel0/0/21] source 172.29.0.35 [AR169-Tunnel0/0/21] destination 172.29.0.18 [AR169-Tunnel0/0/21] quit 3.5 配置IPSec安全提议 [AR169] ipsec proposal MASTER // 因主中心与备中心使用相同的安全协议和算法,故只需要创建一个即可,注意该协议和算法需与对端设备保持一致 [AR169-ipsec-profile-MASTER] esp authentication-algorithm sha1 [AR169-ipsec-profile-MASTER] esp encryption-algorithm aes-128 [AR169-ipsec-profile-MASTER] quit 3.6 配置IKE安全提议和对等体 [AR169] ike proposal 5 [AR169-ike-proposal-5] encryption-algorithm aes-cbc-256 [AR169-ike-proposal-5] dh group5 [AR169-ike-proposal-5] quit
[AR169] ike peer MASTER v1 // 因主中心与备中心使用相同的安全协议和算法,故只需要创建一个即可,注意该协议和算法、共享秘钥需与对端设备保持一致 [AR169-ike-peer-MASTER] pre-shared-key cipher AR169@12345 [AR169-ike-peer-MASTER] ike-proposal 5 [AR169-ike-peer-MASTER] nat traversal // 配置NAT穿越功能,防止中间有NAT设备 [AR169-ike-peer-MASTER] quit 3.7 配置IPSEC安全策略 [AR169] ipsec profile MASTER [AR169-ipsec-profile-MASTER] ike-peer MASTER [AR169-ipsec-profile-MASTER] proposal MASTER [AR169] ipsec profile SLAVE [AR169-ipsec-profile-SLAVE] ike-peer MASTER [AR169-ipsec-profile-SLAVE] proposal MASTER 3.8 应用IPSEC安全策略到GRE隧道接口上 [AR169] interface Tunnel0/0/11 [AR169-Tunnel0/0/11] ipsec profile MASTER [AR169-Tunnel0/0/11] quit
[AR169] interface Tunnel0/0/21 [AR169-Tunnel0/0/21] ipsec profile SLAVE [AR169-Tunnel0/0/21] quit 3.9 配置OSPF协议,用于发布和接收动态路由 [AR169] ospf 2006 [AR169-ospf-2006] area 0.0.0.0 [AR169-ospf-2006-area-0.0.0.0] network 172.30.1.0 0.0.0.3 [AR169-ospf-2006-area-0.0.0.0] network 172.30.2.0 0.0.0.3 [AR169-ospf-2006-area-0.0.0.0] quit [AR169-ospf-2006] quit 3.10在GRE隧道接口下配置OSPF认证和COST值 [AR169] interface Tunnel0/0/11 [AR169-Tunnel0/0/11] ospf cost 100 //配置通过该隧道接口的OSPF优先 [AR169-Tunnel0/0/11] ospf authentication-mode md5 1 cipher AR169@234 //OSPF认证算法和密钥需与对端保持一致 [AR169-Tunnel0/0/11] quit [AR169] interface Tunnel0/0/21 [AR169-Tunnel0/0/21] ospf cost 200 [AR169-Tunnel0/0/21] ospf authentication-mode md5 21 cipher AR169@234 [AR169-Tunnel0/0/21] quit 4 对端主中心C39XX设备关键配置【备中心类似】 4.1 IKE相关配置 crypto isakmp policy 10 encr aes 256 authentication pre-share group 5 crypto isakmp key AR169@12345 address 0.0.0.0 0.0.0.0
4.2 IPSEC相关配置 crypto ipsec transform-set prop esp-aes esp-sha-hmac
crypto ipsec profile MASTER set transform-set prop
4.3 GRE隧道相关配置 interface Tunnel0 ip address 172.30.1.1 255.255.255.252 tunnel source GigabitEthernet0/0 tunnel destination 172.29.0.35 tunnel protection ipsec profile HO
4.4 接口及路由相关配置 interface GigabitEthernet0/0 ip address 172.29.0.2 255.255.255.252 ip ospf message-digest-key 1 md5 AR169@234
router ospf 1 network 172.30.1.0 0.0.0.3 area 0 network X.X.X.X 0.0.X.X area 0 area 0 authentication message-digest ip route 0.0.0.0 0.0.0.0 172.29.0.1 VPN配置案例汇总、VPN汇总(列表、list、全)vpnlisthttp://www.zh-cjh.com/wenzhangguilei/1193.html |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |