华为路由器:GRE OVER IPSEC 双链路热备案例

华为路由器:GRE OVER IPSEC 双链路热备案例

AR169 GRE OVER IPSEC 双链路热备案例.docx

AR169 GRE OVER IPSEC 双链路热备案例.docx

https://support.huawei.com/enterprise/zh/knowledge/EKB1000093431


 GRE OVER IPSEC 双链路热备案例 (图1)

AR169FGVW-L版本:V200R005C30SPC022T

2 需求和方案分析

2.1 AR169需通过LTE连接至公网,且获取到的地址需固定

方案:AR169支持插LTE SIM卡的方式,通过该方式实现自动拨号连接至公网。而要实现每次获取到的地址固定的话,在SIM卡运营商核心网设备设置即可。

2.2 AR169需同时与主中心和备中心建立IPSEC隧道

方案:AR169支持同一个出口建立多个隧道,只需要在AR169配置两个IPSEC隧道即可,如采用相同的AH或者ESP协议算法的话,配置一个即可实现复用。因只需要建立2个隧道故采用正常配置即可,无需采用策略模板方式。

2.3AR169到主隧道(主中心)的接口DOWN后,流量需自动切换至备份隧道(备中心)上切换时间无要求

方案:因需要流量自动切换而且路由条目很多,所以只能采用动态路由+修改COST值的方式。我们知道OSPF协议建立邻居时是需要发送组播报文,而IPSEC不支持组播报文的转发,所以需要将OSPF承载在其它协议上,经过分析及经验可以得出采用GRE  OVER IPSEC的方案即可。如下是相关疑问的解释,便于理解为什么选择GRE OVER IPESC的方案。

2.3.1 IPSec为什么不支持组播?

    这个不是RFC协议规定的。IPSec 对数据实现端到端的保护,而组播是一个端到多端的一种数据流量。在IPSec设计之初,只考虑到端到端的单播流量,未对组播流量进行考虑,因此各厂家在实现的时候都只对单播流量进行加密。后续由于对组播数据的考虑,出现了GRE  Over IPSec, DSVPN Over IPSec,A2A VPN等等可以组播数据进行加密。

2.3.2 GRE Over IPSec与 IPSec Over GRE有什么区别?

GRE Over IPSec是先进行GRE封装,  然后再进行IPSec封装,可以对组播流量进行加密保护;而IPSec Over GRE是先进行IPSec  封装,然后再进行GRE封装,虽然说也可以通过GRE隧道转发组播流量,但是组播流量没有经过加密。如下是报文封装格式的一个举例,便于更好理解。

报文封装格式【隧道模式】如下:

假如原始报文如下:

 GRE OVER IPSEC 双链路热备案例 (图2)

2.4      因跨Internet网,如中间有NAT设备的话需解决NAT穿越问题?

方案:在IKE PEER下配置NAT穿越功能即可。

如下是为什么需要配置NAT穿越以及NAT穿越的原理。

若不配置NAT穿越,IP首部后面直接跟ESP首部,不存在UDP/TCP部分,那么若中间NAT设备    要基于端口进行映射,将无能为力。而配置NAT穿越以后,会在IP首部与ESP首部之间增加一个UDP头,源端口与目的端口设置为4500.中间设备可以基于端口进行映射。

这个改变由我们的设备在封装报文的时候加上的UDP头部,和中间设备没关系。

 GRE OVER IPSEC 双链路热备案例 (图3)

2.5   OSPF认证建立及路由自动切换需求

方案:针对OSPF认证的功能需求,在配置OSPF时可以选择不同的认证方式,本次采用基于接口+MD5算法的认证方式。路由切换的话,只需要在接口下修改OSPF COST值即可。

3           AR169配置步骤和备注(关键风险点配置和解释见黄色标注处)

3.1  AR169与下行设备C29XX采用OSPFMD5认证)对接,用于局域网连接

<huawei>system-view

[huawei] sysname AR169

[AR169] interface GigabitEthernet0/0/4

[AR169-GigabitEthernet0/0/4] ip add 10.10.10.1 255.255.255.252

[AR169-GigabitEthernet0/0/4] quit

 

[AR169] ospf 2006

[AR169-ospf-2006] area 0.0.0.0

[AR169-ospf-2006-area-0.0.0.0] network 10.10.10.0 0.0.0.3

[AR169-ospf-2006-area-0.0.0.0] authentication-mode md5

[AR169-ospf-2006-area-0.0.0.0] quit

[AR169-ospf-2006] quit

 

[AR169] interface GigabitEthernet0/0/4

[AR169-GigabitEthernet0/0/4] ospf cost 100

[AR169-GigabitEthernet0/0/4] ospf authentication-mode md5 1 cipher AR169@123 //认证算法和密钥需与对端保持一致

[AR169-GigabitEthernet0/0/4] quit

3.2   配置LTE功能,用于连接公网

[AR169] apn profile internet

[AR169-apn-profile-internet] apn XXX     //  XXXAPN名称,由SIM卡运营商提供

[AR169-apn-profile-internet] quit

 

[AR169] dialer-rule

[AR169-dialer-rule] dialer-rule 1 ip permit

[AR169-dialer-rule] quit

 

[AR169] interface Cellular0/0/0

[AR169-Cellular0/0/0] mode lte lte-only    // 指定LTE数据卡只选择LTE网络,可根据实际情况选择

[AR169-Cellular0/0/0] dialer enable-circular                  

[AR169-Cellular0/0/0] dialer-group 1

[AR169-Cellular0/0/0] apn-profile internet

[AR169-Cellular0/0/0] dialer timer autodial 10

R169-Cellular0/0/0] dialer number *99# autodial    //autodial表示无需流量触发即可自动进行拨号连接

[AR169-Cellular0/0/0] ip address negotiate

[AR169-Cellular0/0/0] quit

3.3  配置静态路由,保证隧道建链地址可达

 [AR169] ip route-static 172.29.0.2 255.255.255.255 Cellular0/0/0

 [AR169] ip route-static 172.29.0.18 255.255.255.255 Cellular0/0/0

3.4  配置AR169到主中心和备中心的GRE隧道

 [AR169] interface Tunnel0/0/11

[AR169-Tunnel0/0/11] ip address 172.30.1.2 255.255.255.252

[AR169-Tunnel0/0/11] tunnel-protocol gre

[AR169-Tunnel0/0/11] source 172.29.0.35      //该地址需要配置为AR169 LTE出接口地址

[AR169-Tunnel0/0/11] destination 172.29.0.2

[AR169-Tunnel0/0/11] quit

 

[AR169] interface Tunnel0/0/21

[AR169-Tunnel0/0/21] ip address 172.30.2.2 255.255.255.252

[AR169-Tunnel0/0/21] tunnel-protocol gre

[AR169-Tunnel0/0/21] source 172.29.0.35

[AR169-Tunnel0/0/21] destination 172.29.0.18

[AR169-Tunnel0/0/21] quit

3.5    配置IPSec安全提议

 [AR169] ipsec proposal MASTER   // 因主中心与备中心使用相同的安全协议和算法,故只需要创建一个即可,注意该协议和算法需与对端设备保持一致

[AR169-ipsec-profile-MASTER] esp authentication-algorithm sha1

[AR169-ipsec-profile-MASTER] esp encryption-algorithm aes-128

[AR169-ipsec-profile-MASTER] quit

3.6  配置IKE安全提议和对等体

 [AR169] ike proposal 5

[AR169-ike-proposal-5] encryption-algorithm aes-cbc-256

[AR169-ike-proposal-5] dh group5

[AR169-ike-proposal-5] quit

                                        

[AR169] ike peer MASTER v1    // 因主中心与备中心使用相同的安全协议和算法,故只需要创建一个即可,注意该协议和算法、共享秘钥需与对端设备保持一致

 [AR169-ike-peer-MASTER] pre-shared-key cipher AR169@12345

[AR169-ike-peer-MASTER] ike-proposal 5

[AR169-ike-peer-MASTER] nat traversal  //  配置NAT穿越功能,防止中间有NAT设备
[AR169-ike-peer-MASTER] quit

3.7  配置IPSEC安全策略

 [AR169] ipsec profile MASTER

[AR169-ipsec-profile-MASTER] ike-peer MASTER

[AR169-ipsec-profile-MASTER] proposal MASTER

[AR169] ipsec profile SLAVE

[AR169-ipsec-profile-SLAVE] ike-peer MASTER

[AR169-ipsec-profile-SLAVE] proposal MASTER

3.8  应用IPSEC安全策略到GRE隧道接口上

 [AR169] interface Tunnel0/0/11

[AR169-Tunnel0/0/11] ipsec profile MASTER

[AR169-Tunnel0/0/11] quit

 

[AR169] interface Tunnel0/0/21

[AR169-Tunnel0/0/21] ipsec profile SLAVE

[AR169-Tunnel0/0/21] quit

3.9  配置OSPF协议,用于发布和接收动态路由

[AR169] ospf 2006

[AR169-ospf-2006] area 0.0.0.0

[AR169-ospf-2006-area-0.0.0.0] network 172.30.1.0 0.0.0.3

[AR169-ospf-2006-area-0.0.0.0] network 172.30.2.0 0.0.0.3

[AR169-ospf-2006-area-0.0.0.0] quit

[AR169-ospf-2006] quit

3.10GRE隧道接口下配置OSPF认证和COST

 [AR169] interface Tunnel0/0/11

[AR169-Tunnel0/0/11] ospf cost 100   //配置通过该隧道接口的OSPF优先

[AR169-Tunnel0/0/11] ospf authentication-mode md5 1 cipher AR169@234  //OSPF认证算法和密钥需与对端保持一致

[AR169-Tunnel0/0/11] quit

[AR169] interface Tunnel0/0/21

[AR169-Tunnel0/0/21] ospf cost 200

[AR169-Tunnel0/0/21] ospf authentication-mode md5 21 cipher AR169@234

[AR169-Tunnel0/0/21] quit

4     对端主中心C39XX设备关键配置【备中心类似】

4.1 IKE相关配置

 crypto isakmp policy 10

 encr aes 256

 authentication pre-share

 group 5

crypto isakmp key  AR169@12345 address 0.0.0.0 0.0.0.0

 

4.2 IPSEC相关配置

crypto ipsec transform-set prop esp-aes esp-sha-hmac

 

crypto ipsec profile MASTER

set transform-set prop

 

4.3 GRE隧道相关配置

interface Tunnel0

 ip address 172.30.1.1 255.255.255.252

 tunnel source GigabitEthernet0/0

 tunnel destination 172.29.0.35

 tunnel protection ipsec profile HO

 

4.4 接口及路由相关配置

interface GigabitEthernet0/0

 ip address 172.29.0.2 255.255.255.252

ip ospf message-digest-key 1 md5 AR169@234  

 

router ospf 1

 network 172.30.1.0 0.0.0.3 area 0

 network X.X.X.X  0.0.X.X area 0   

 area 0 authentication message-digest

 ip route 0.0.0.0 0.0.0.0 172.29.0.1


VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为路由器:GRE OVER IPSEC 双链路热备案例

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!