发布时间 : 星期日 文章防火墙技术案例 双机热备 负载分担 组网下的IPSec配置更新完毕开始阅读10f6d1296394dd88d0d233d4b14e852458fb39b6
3、??配置路由和路由策略。
双机热备和IPSec配置完成后,只要再保证NGFW_A与Tunnel1接口的路由可达,就可以成功建立IPSec隧道了。但这时一个新的问题又出现了,那就是流量到达Router1后不知道是该送往NGFW_C还是NGFW_D的Tunnel1接口了,如下图所示。
而且我们还面临另外一个问题,那就是如何确保NGFW_A的回程流量能够回到NGFW_A呢?回程流量到达Router2后不知道是该发给NGFW_C还是NGFW_D。
小伙伴们别急,强叔还是有办法的,那就是通过路由策略来实现。 1)首先我们需要定义三条数据流,一条匹配来自分支A的去和回的流量: HRP_A[NGFW_C]?acl 2000?
HRP_A[NGFW_C-acl-basic-2000]?rule permit source ? HRP_A[NGFW_C-acl-basic-2000]?rule permit source ? HRP_A[NGFW_C-acl-basic-2000]?quit 一条匹配分支B的去和回的流量: HRP_A[NGFW_C]?acl 2001?
HRP_A[NGFW_C-acl-basic-2001]?rule permit source ? HRP_A[NGFW_C-acl-basic-2001]?rule permit source ? HRP_A[NGFW_C-acl-basic-2001]?quit 第三条匹配来自分支A和B的去和回的流量:? HRP_A[NGFW_C]?acl 2002?
HRP_A[NGFW_C-acl-basic-2002]?rule permit source ? HRP_A[NGFW_C-acl-basic-2002]?rule permit source ? HRP_A[NGFW_C-acl-basic-2002]?rule permit source ? HRP_A[NGFW_C-acl-basic-2002]?rule permit source ?
HRP_A[NGFW_C-acl-basic-2002]?quit
2)然后我们需要配置几条路由策略,实现以下效果。
当双机热备负载分担状态正常时,来自分支A的去和回的流量通过NGFW_C时开销减少10: HRP_A[NGFW_C]?route-policy rp permit node 1? HRP_A[NGFW_C-route-policy]?if-match acl 2000?
HRP_A[NGFW_C-route-policy]?if-match backup-status load-balance? HRP_A[NGFW_C-route-policy]?apply cost – 10 HRP_A[NGFW_C-route-policy]?quit
当双机热备负载分担状态正常时,来自分支B的去和回的流量通过NGFW_C时开销增加10: HRP_A[NGFW_C]?route-policy rp permit node 2? HRP_A[NGFW_C-route-policy]?if-match acl 2001?
HRP_A[NGFW_C-route-policy]?if-match backup-status load-balance? HRP_A[NGFW_C-route-policy]?apply cost + 10? HRP_A[NGFW_C-route-policy]?quit
当NGFW_C作为主用设备(NGFW_D故障)时,来自分支A和B的去和回的流量通过NGFW_C时开销减少10:
HRP_A[NGFW_C]?route-policy rp permit node 3? HRP_A[NGFW_C-route-policy]?if-match acl 2002?
HRP_A[NGFW_C-route-policy]?if-match backup-status active? HRP_A[NGFW_C-route-policy]?apply cost - 10? HRP_A[NGFW_C-route-policy]?quit
当NGFW_C作为备用设备(NGFW_C故障)时,来自分支A和B的去和回的流量通过NGFW_C时开销增加10:
HRP_A[NGFW_C]?route-policy rp permit node 4? HRP_A[NGFW_C-route-policy]?if-match acl 2002?
HRP_A[NGFW_C-route-policy]?if-match backup-status standby? HRP_A[NGFW_C-route-policy]?apply cost + 10? HRP_A[NGFW_C-route-policy]?quit?
3)最后我们需要在OSPF中引入直连和静态路由,并将自身的路由发布出去。
【强叔点评】这里引入的直连路由是Tunnel接口的路由;引入的静态路由是下面配置的使回程流量进入隧道的路由。
HRP_A[NGFW_C]?ospf 1
HRP_A[NGFW_C]?ip route-static 24 tunnel 1? HRP_A[NGFW_C]?ip route-static 24 tunnel 2
HRP_A[NGFW_C-ospf-1]?import-route direct route-policy rp? HRP_A[NGFW_C-ospf-1]?import-route static route-policy rp? HRP_A[NGFW_C-ospf-1]?area ? HRP_A[?network ? HRP_A[?network ? HRP_A[?quit?
HRP_A[NGFW_C-ospf-1]?quit
4)在NGFW_D上配置路由和路由策略。按照NGFW_C的配置举一反三,我想各位小伙伴肯定没问题的。 【结果验证】
1、??当双机热备负载分担状态正常运行时,可以在Router1上看到去往Tunnel1目的地址为)的流量通
过NGFW_C转发(下一跳为NGFW_C的物理接口IP地址)。而去往Tunnel2接口(目的地址为)的流量通过NGFW_D转发(下一跳为NGFW_D的物理接口IP地址)。 ??????
2、??当双机热备负载分担状态正常运行时,可以在Router2上看到总部回复分支A(目的地址)的流量通
过NGFW_C转发(下一跳为);总部回复分支B(目的地址)的流量通过NGFW_D转发(下一跳为)。 ??????
以上两步可以看出在路由层面,我们的配置满足了组网需求。
3、??在NGFW_C和D上执行display ike sa、display ipsec sa?命令查看IPSec的隧道建立情况。
下面仅给出NGFW_C上的截图,可以看到NGFW_C的tunnel1接口与NGFW_A的GE1/0/1接口成功建立隧道。?
【拍案惊奇】
1、??此案例的惊奇之处在于结合了双机热备、IPSec和并不常用的路由策略功能,而且三种功能结合
的十分巧妙。
2、??此案例的另一惊奇之处在于负载分担组网下的IPSec只有在华为比较新版本的防火墙上才支持,
是一个比较新的功能。
3、??另外看完此案例,小伙伴们应该对双机热备、IPSec、以及路由策略的配置方法和流程有了一定
的了解。 ?
【强叔问答】
??? 本案例中强叔并没有详细讲述防火墙安全策略的配置,但其实在配置双机热备及PSec功能时,安全策略的配置 ??? 还是有所讲究的。请小伙伴们思考双机热备和IPSec这两个功能的安全策略如何配置?