防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.docx

【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置论坛的小伙伴们，大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。?【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。??【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。1、??如何使两台防火墙形成双机热备负载分担状态？两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。2、??分支与总部之间如何建立IPSec隧道？正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。3、总部的两台防火墙如何对流量进行引导？总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。【配置步骤】1、??配置双机热备功能。在配置双机热备功能前，小伙伴们需要按照上图配置各接口的IP地址，并将各接口加入相应的安全区域，然后配置正确的安全策略，允许网络互通。由于这些不是本案例的重点，因此不在此赘述。完成以上配置后，就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙（NGFW_C和NGFW_D负载分担处理流量）的上下行接口都工作在三层，而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层，上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例，无论是命令行配置举例还是Web配置举例，大家想怎么看就怎么看~因此强叔只在此给出双机热备的命令行配置和关键解释。#?hrp mirror session enable????? //负载分担组网必须配置此命令?hrp enable????????????????? //启用双机热备功能?hrpospf-cost adjust-enable???? //根据主备状态调整OSPF的COST值??hrp interface GigabitEthernet 1/0/7???? //指定心跳接口#interface GigabitEthernet 1/0/1?ip address 10.2.0.1 255.255.255.0?hrp track active //业务接口工作在三层，上下行连接路由器的组网需要配置hrp track?hrp track standby??? //负载分担组网需要同时配置hrp track active和standby#interface GigabitEthernet 1/0/3?ip address 10.3.0.1 255.255.255.0?hrp track active?hrp track standby#interface GigabitEthernet 1/0/7?ip address 10.10.0.1 255.255.255.0【强叔点评】各位小伙伴们在配置双机热备功能时，首先要确定的是防火墙业务接口的工作状态和上下行连接的设备，然后据此采用不同的命令进行配置。强叔在此先为大家简单总结下，如果小伙伴们想深入学习，可以关注后面几期的“侃墙”系列。组网配置命令业务接口工作在三层，上下行连接二层设备VRRP相关命令业务接口工作在三层，上下行连接三层设备在接口视图下配置（hrp track）业务接口工作在二层，上下行连