cjh 华为路由器:GRE OVER IPSEC 双链路热备案例
华为路由器:GRE OVER IPSEC 双链路热备案例
AR169 GRE OVER IPSEC 双链路热备案例.docx
AR169 GRE OVER IPSEC 双链路热备案例.docx
https://support.huawei.com/enterprise/zh/knowledge/EKB1000093431
AR169FGVW-L版本:V200R005C30SPC022T
2 需求和方案分析
2.1 AR169需通过LTE连接至公网,且获取到的地址需固定
方案:AR169支持插LTE SIM卡的方式,通过该方式实现自动拨号连接至公网。而要实现每次获取到的地址固定的话,在SIM卡运营商核心网设备设置即可。
2.2 AR169需同时与主中心和备中心建立IPSEC隧道
方案:AR169支持同一个出口建立多个隧道,只需要在AR169配置两个IPSEC隧道即可,如采用相同的AH或者ESP协议算法的话,配置一个即可实现复用。因只需要建立2个隧道故采用正常配置即可,无需采用策略模板方式。
2.3当AR169到主隧道(主中心)的接口DOWN后,流量需自动切换至备份隧道(备中心)上,切换时间无要求
方案:因需要流量自动切换而且路由条目很多,所以只能采用动态路由+修改COST值的方式。我们知道OSPF协议建立邻居时是需要发送组播报文,而IPSEC不支持组播报文的转发,所以需要将OSPF承载在其它协议上,经过分析及经验可以得出采用GRE OVER IPSEC的方案即可。如下是相关疑问的解释,便于理解为什么选择GRE OVER IPESC的方案。
2.3.1 IPSec为什么不支持组播?
这个不是RFC协议规定的。IPSec 对数据实现端到端的保护,而组播是一个端到多端的一种数据流量。在IPSec设计之初,只考虑到端到端的单播流量,未对组播流量进行考虑,因此各厂家在实现的时候都只对单播流量进行加密。后续由于对组播数据的考虑,出现了GRE Over IPSec, DSVPN Over IPSec,A2A VPN等等可以组播数据进行加密。
2.3.2 GRE Over IPSec与 IPSec Over GRE有什么区别?
GRE Over IPSec是先进行GRE封装, 然后再进行IPSec封装,可以对组播流量进行加密保护;而IPSec Over GRE是先进行IPSec 封装,然后再进行GRE封装,虽然说也可以通过GRE隧道转发组播流量,但是组播流量没有经过加密。如下是报文封装格式的一个举例,便于更好理解。
报文封装格式【隧道模式】如下:
假如原始报文如下:
2.4 因跨Internet网,如中间有NAT设备的话需解决NAT穿越问题?
方案:在IKE PEER下配置NAT穿越功能即可。
如下是为什么需要配置NAT穿越以及NAT穿越的原理。
若不配置NAT穿越,IP首部后面直接跟ESP首部,不存在UDP/TCP部分,那么若中间NAT设备 要基于端口进行映射,将无能为力。而配置NAT穿越以后,会在IP首部与ESP首部之间增加一个UDP头,源端口与目的端口设置为4500.中间设备可以基于端口进行映射。
这个改变由我们的设备在封装报文的时候加上的UDP头部,和中间设备没关系。
2.5 OSPF认证建立及路由自动切换需求
方案:针对OSPF认证的功能需求,在配置OSPF时可以选择不同的认证方式,本次采用基于接口+MD5算法的认证方式。路由切换的话,只需要在接口下修改OSPF COST值即可。
3 AR169配置步骤和备注(关键风险点配置和解释见黄色标注处)
3.1 AR169与下行设备C29XX采用OSPF(MD5认证)对接,用于局域网连接
[huawei] sysname AR169
[AR169] interface GigabitEthernet0/0/4
[AR169-GigabitEthernet0/0/4] ip add 10.10.10.1 255.255.255.252
[AR169-GigabitEthernet0/0/4] quit
[AR169] ospf 2006
[AR169-ospf-2006] area 0.0.0.0
[AR169-ospf-2006-area-0.0.0.0] network 10.10.10.0 0.0.0.3
[AR169-ospf-2006-area-0.0.0.0] authentication-mode md5
[AR169-ospf-2006-area-0.0.0.0] quit
[AR169-ospf-2006] quit
[AR169] interface GigabitEthernet0/0/4
[AR169-GigabitEthernet0/0/4] ospf cost 100
[AR169-GigabitEthernet0/0/4] ospf authentication-mode md5 1 cipher AR169@123 //认证算法和密钥需与对端保持一致
[AR169-GigabitEthernet0/0/4] quit
3.2 配置LTE功能,用于连接公网
[AR169] apn profile internet
[AR169-apn-profile-internet] apn XXX // XXX为APN名称,由SIM卡运营商提供
[AR169-apn-profile-internet] quit
[AR169] dialer-rule
[AR169-dialer-rule] dialer-rule 1 ip permit
[AR169-dialer-rule] quit
[AR169] interface Cellular0/0/0
[AR169-Cellular0/0/0] mode lte lte-only // 指定LTE数据卡只选择LTE网络,可根据实际情况选择
[AR169-Cellular0/0/0] dialer enable-circular
[AR169-Cellular0/0/0] dialer-group 1
[AR169-Cellular0/0/0] apn-profile internet
[AR169-Cellular0/0/0] dialer timer autodial 10
R169-Cellular0/0/0] dialer number *99# autodial //autodial表示无需流量触发即可自动进行拨号连接
[AR169-Cellular0/0/0] ip address negotiate
[AR169-Cellular0/0/0] quit
3.3 配置静态路由,保证隧道建链地址可达
[AR169] ip route-static 172.29.0.2 255.255.255.255 Cellular0/0/0
[AR169] ip route-static 172.29.0.18 255.255.255.255 Cellular0/0/0
3.4 配置AR169到主中心和备中心的GRE隧道
[AR169] interface Tunnel0/0/11
[AR169-Tunnel0/0/11] ip address 172.30.1.2 255.255.255.252
[AR169-Tunnel0/0/11] tunnel-protocol gre
[AR169-Tunnel0/0/11] source 172.29.0.35 //该地址需要配置为AR169 LTE出接口地址
[AR169-Tunnel0/0/11] destination 172.29.0.2
[AR169-Tunnel0/0/11] quit
[AR169] interface Tunnel0/0/21
[AR169-Tunnel0/0/21] ip address 172.30.2.2 255.255.255.252
[AR169-Tunnel0/0/21] tunnel-protocol gre
[AR169-Tunnel0/0/21] source 172.29.0.35
[AR169-Tunnel0/0/21] destination 172.29.0.18
[AR169-Tunnel0/0/21] quit
3.5 配置IPSec安全提议
[AR169] ipsec proposal MASTER // 因主中心与备中心使用相同的安全协议和算法,故只需要创建一个即可,注意该协议和算法需与对端设备保持一致
[AR169-ipsec-profile-MASTER] esp authentication-algorithm sha1
[AR169-ipsec-profile-MASTER] esp encryption-algorithm aes-128
[AR169-ipsec-profile-MASTER] quit
3.6 配置IKE安全提议和对等体
[AR169] ike proposal 5
[AR169-ike-proposal-5] encryption-algorithm aes-cbc-256
[AR169-ike-proposal-5] dh group5
[AR169-ike-proposal-5] quit
[AR169] ike peer MASTER v1 // 因主中心与备中心使用相同的安全协议和算法,故只需要创建一个即可,注意该协议和算法、共享秘钥需与对端设备保持一致
[AR169-ike-peer-MASTER] pre-shared-key cipher AR169@12345
[AR169-ike-peer-MASTER] ike-proposal 5
[AR169-ike-peer-MASTER] nat traversal // 配置NAT穿越功能,防止中间有NAT设备
[AR169-ike-peer-MASTER] quit
3.7 配置IPSEC安全策略
[AR169] ipsec profile MASTER
[AR169-ipsec-profile-MASTER] ike-peer MASTER
[AR169-ipsec-profile-MASTER] proposal MASTER
[AR169] ipsec profile SLAVE
[AR169-ipsec-profile-SLAVE] ike-peer MASTER
[AR169-ipsec-profile-SLAVE] proposal MASTER
3.8 应用IPSEC安全策略到GRE隧道接口上
[AR169] interface Tunnel0/0/11
[AR169-Tunnel0/0/11] ipsec profile MASTER
[AR169-Tunnel0/0/11] quit
[AR169] interface Tunnel0/0/21
[AR169-Tunnel0/0/21] ipsec profile SLAVE
[AR169-Tunnel0/0/21] quit
3.9 配置OSPF协议,用于发布和接收动态路由
[AR169] ospf 2006
[AR169-ospf-2006] area 0.0.0.0
[AR169-ospf-2006-area-0.0.0.0] network 172.30.1.0 0.0.0.3
[AR169-ospf-2006-area-0.0.0.0] network 172.30.2.0 0.0.0.3
[AR169-ospf-2006-area-0.0.0.0] quit
[AR169-ospf-2006] quit
3.10在GRE隧道接口下配置OSPF认证和COST值
[AR169] interface Tunnel0/0/11
[AR169-Tunnel0/0/11] ospf cost 100 //配置通过该隧道接口的OSPF优先
[AR169-Tunnel0/0/11] ospf authentication-mode md5 1 cipher AR169@234 //OSPF认证算法和密钥需与对端保持一致
[AR169-Tunnel0/0/11] quit
[AR169] interface Tunnel0/0/21
[AR169-Tunnel0/0/21] ospf cost 200
[AR169-Tunnel0/0/21] ospf authentication-mode md5 21 cipher AR169@234
[AR169-Tunnel0/0/21] quit
4 对端主中心C39XX设备关键配置【备中心类似】
4.1 IKE相关配置
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key AR169@12345 address 0.0.0.0 0.0.0.0
4.2 IPSEC相关配置
crypto ipsec transform-set prop esp-aes esp-sha-hmac
crypto ipsec profile MASTER
set transform-set prop
4.3 GRE隧道相关配置
interface Tunnel0
ip address 172.30.1.1 255.255.255.252
tunnel source GigabitEthernet0/0
tunnel destination 172.29.0.35
tunnel protection ipsec profile HO
4.4 接口及路由相关配置
interface GigabitEthernet0/0
ip address 172.29.0.2 255.255.255.252
ip ospf message-digest-key 1 md5 AR169@234
router ospf 1
network 172.30.1.0 0.0.0.3 area 0
network X.X.X.X 0.0.X.X area 0
area 0 authentication message-digest
ip route 0.0.0.0 0.0.0.0 172.29.0.1
VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为路由器:GRE OVER IPSEC 双链路热备案例
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm