锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份
目录
锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份
功能介绍
应用场景
一、组网需求
二、组网拓扑
三、配置要点
四、配置步骤
五、配置验证
锐捷网络—VPN功能—IPSEC 基础配置—基于VRRP的IPSec冗余备份
功能介绍
RSR系列路由器支持基于VRRP虚接口IP来进行IPSEC的协商。
应用场景
企业总部部署了两台出口路由器用于构建IPSEC VPN系统,并采用一主一备的方式进行负载均衡管理。通常情况下,在线业务通过主路由设备进行数据转发。鉴于企业在网络可靠性方面有较高的要求,在主路由发生故障时系统会自动切换至备用路由设备以确保企业总部与分支机构之间的数据传输和资料共享不受影响。因此建议在企业总部的两个出口设备上配置基于VRRP协议的IPSEC冗余备份功能以提升网络安全性
一、组网需求
某企业总部部署了R1、R2两台路由器以建立VRRP连接至互联网,并将各个分支通过与总部路由器之间的IPSEC VPN来进行数据互访的安全加密。
通过一系列措施确保两台出口路由器具备冗余备份功能,并将各个分支与VRRP虚拟IP配置IPSec VPN连接。
二、组网拓扑
三、配置要点
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
2、在总部出口路由器上配置动态态IPSEC VPN隧道
(1)R1 VRRP配置
(2)R2 VRRP配置
3、在总部路由器上配置路由,将各分支网段路由指向出口
(1)配置isakmp策略
(2)配置预共享密钥
(3)配置ipsec加密转换集
(4)配置动态ipsec加密图
(5)将动态ipsec加密图映射到静态的ipsec加密图中
(6)将加密图应用到接口
4、在分支路由器上配置静态IPSEC VPN隧道
5、在分支路由器上配置路由,将总部网段路由指向出口
(1)配置ipsec感兴趣流
(2)配置isakmp策略
(3)配置预共享密钥
(4)配置ipsec加密转换集
(5)配置ipsec加密图
(6)将加密图应用到接口
注意:
- 必须确保所有使用IPSEC协议进行互访的IP网段之间避免重叠。
- 对于配备有RSR50或RSR50E系列设备的网络环境,在进行IPSEC配置时应确保该设备配备了AIM-VPN加密卡。(请参考本文附录部分以确认该设备是否已安装 AIM-VPN 加密卡。)
四、配置步骤
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
保证在分支路由器上能够ping通总部路由器外网口公网IP地址。
2、在总部路由器R1、R2上部署VRRP
(1)R1 VRRP配置
interface GigabitEthernet 0/0
ip address 10.0.0.2 255.255.255.0
配置R1的VRRP优先级为...(高于默认值),确保其成为VRRP主节点。
vrrp 1 ip 10.0.0.1//指定VRRP虚IP为10.0.0.1
(2)R2 VRRP配置
interface GigabitEthernet 0/0
ip address 10.0.0.3 255.255.255.0
vrrp 1 ip 10.0.0.1//指定VRRP虚IP为10.0.0.1
3、在总部出口路由器R1、R2上配置动态态IPSEC VPN隧道
(1)配置isakmp策略
crypto isakmp policy 1//创建新的isakmp策略
encryption 3des //指定使用3DES进行加密
将认证方式配置为预共享密码,并在不同场景下采用相应的策略进行管理:通过数字证书设置... authentication rsa-sig ...;同时,在其他系统中则采用数字封信的方式设置... authentication digital-email ...
(2)配置预共享密钥
通过ISAKMP协议建立预共享密钥为"ruijie"后,建议客户端也需设置相同值的预共享密钥以完成连接。鉴于目标端点的IP地址具有动态特性,因此建议使用address 127::1,192:163:192:163/32等地址范围来覆盖所有潜在的目标节点
(3)配置ipsec加密转换集
Configure the IPsec transform set named myset to utilize the ESP wrapping for both the DES encryption and MD5-HMAC authentication methods.
(4)配置动态ipsec加密图
crypto dynamic-map dymymap 5//新建名为“dymymap”的动态ipsec加密图
set transform-set myset //指定加密转换集为“myset”
(5)将动态ipsec加密图映射到静态的ipsec加密图中
在加密图中将变动的dymymap映射至静态ipsec加密图mymap中
(6)将加密图应用到接口
interface GigabitEthernet 0/0
crypto map mymap
4、在总部路由器R1、R2上配置路由,将各分支网段路由指向出口
ip route 192.168.1.0 255.255.255.0 10.0.0.4
ip route 192.168.2.0 255.255.255.0 10.0.0.4
ip route 192.168.3.0 255.255.255.0 10.0.0.4
......
5、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic//配置IPSEC DPD探测功能
crypto isakmp policy 1//创建新的isakmp策略
指定预共享密钥作为认证方式(如通过数字证书设置为".authentication rsa-sig" 或通过数字信封设置为" authentication digital-email")
encryption 3des//指定使用3DES进行加密
(3)配置预共享密钥
该加密通信协议允许双方设备之间建立安全连接。通过设置该 peer 的预共享密钥为 'ruijie'(注:此处应更正原文中的"ruijie"应加引号),该密钥需与总部路由器上所配置的密钥保持一致。若采用数字证书/电子封章进行认证,则无需在总部处进行密钥配置。
注意:该peer地址为总部路由器R1、R2的VRRP虚IP.
(4)配置ipsec加密转换集
该IPsec配置文件中定义了一个名为myset-ESP-Des的转换策略集,并将该策略集应用到 crypto/ipsec 数据流量上。该策略集采用 ESP 数据封装方式,在数据链路上应用 DES 加密算法进行加密,并采用 MD5 校验码算法对数据进行完整性验证。注释部分详细说明了配置内容:通过 crypto ipsec transform-set mysetesp-des esp-md5-hmac 命令指定 IPsec 使用 ESP 包裹 DES 加密数据并采用 MD5 检验机制验证数据完整性
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.1//指定peer地址
set transform-set myset//指定加密转换集为“myset”
match address 101//指定感兴趣流为ACL 101
注意:该peer地址为总部路由器R1、R2的VRRP虚IP。
(6)将加密图应用到接口
interface dialer 0
crypto map mymap
6、在分支路由器上配置路由,将总部网段路由指向出口
ip route 192.168.0.0 255.255.255.0 dialer 0
五、配置验证
1、在R1工作正常的情况下,分支与R1建立ipsec vpn
执行以下网络设备配置操作:首先,在设备管理界面中对对外网口G0/0进行关闭操作;随后,在VRRP master角色下转移至设备R2上运行相关参数设置。由于分支段配置采用了动态优先级处理(DPD)技术,在此情况下触发对本设备(即R1)的故障检测机制;从而移除与该设备已建立的ISAKMP/IPSEC安全访问头(SA)之间的关联关系;当新的流量到达总部中心时,则会与之建立新的ISAKMP/IPSEC安全访问头连接。
