HQY 一个和谐有爱的空间

在双链路环境下，如何配置IPsec，以完成HA自动切换

一、场景需求分析如下：

1、总部网络环境分析。

总部出口网关为防火墙，双机热备部署，连接两条运营商链路。总部出口基于双机双出口需要与两个分公司分别建立 IPSec。总部实现了网关设备的冗余也实现了出口链路的冗余，极大的提高了总部IPSecVPN 隧道的可靠性。

具体体现为，总部使用双机热备VRRP虚IP地址与对端建立隧道， FW1 故障则切换为 FW2，由新的主设备使用虚IP与分公司通信，由于IPSecSA通过心跳线进行同步，因此IPSec 隧道无须重新建立。同时，总部与分公司通过两条运营商链路连接到网络中并分别建立两条IPSec隧道，两条隧道保护相同的业务流，使IPSec可以实现基于设备与链路的冗余备份。

2、分公司 1 网络环境分析。

FW3 出口为 NAT 后的动态地址，单出口与总部建立IPSecVPN 隧道。

总部是多出口链路，由于 FW3 出口为NAT后的动态地址，分公司1可以创建两个Tunnel接口，两个tunnel接口均通过命令“ip address unnumbered”借用对接出口设备的接口的 IP 地址，分别与总部ISP1、2建IPSec，Tunnel口地址经过NAT设备转换成公网地址后发送。

分公司1可以通过配置IP-Link功能实现主备 IPSec隧道的功能，从而实现双出口链路IPSec隧道冗余。当IP-Link检测到主链路存在故障时，会将路由动态切换至备链路，重新与总部备份链路建立IPSec隧道，实现链路的冗余。

3、分公司 2 网络环境分析。

FW4 为出口为固定地址，单出口与总部建立IPSecVPN 隧道。

总部是多出口链路，分公司 2 可以创建两个 Tunnel 接口，两个 tunnel 接口均通过相同命令借用公网接口的 IP 地址，使其具备主动与总部建立 IPSec的能力。

分公司2可以通过配置IP-Link功能实现主备IPSec隧道的功能，从而实现双出口链路IPSec隧道冗余。当IP-Link检测到主链路存在故障时，会将路由动态切换至备链路，重新与总部备份链路建立IPSec隧道，实现链路的冗余。

二、部署要点分析。

1、总部部署要点：

双机部署：FW1 启用VGMP组中的Active组，FW2 启用VGMP组中的Standby组，且FW2 通过命令“hrp standby-device”指定为备墙。双机出口侧配置VRRP技术，通过交换机与互联网连接，双机内网侧也设置针对内网的VRRP，设置VRRP虚地址，作为内网设备 的网关；

出口路由部署：总部双出口配置两条默认路由，下一跳分别指向各自接口所连接的运营商地址，因此出口使用两条默认路由进行主备链路冗余。结合IP-Link配置主备默认路由。配置两条默认路由，分别指向ISP1和ISP2，ISP1 路由设置为主路由，ISP2 路由通过调高优先级数值设置为备路由。IP-Link目标探测地址配置为ISP1 网关地址，绑定主路由，当IP-Link探测成功，主路由生效，IPSec隧道通过主链路建立。当IP-Link探测失败，主路由失效，备份路由浮现，IPSec隧道通过备链路重新建立；

IPSec部署：总部对接分公司 1 和分公司 2 均通过策略模板方式部署，由于总部使用双机，IPSec 配置通过在主设备配置即可，直接在主设备通过心跳线同步至备设备，备份防火墙 FW2 上无须重复配置IPSec参数。IPSec 需要的配置要点如下：

• 配置ike proposal、ipsec proposal。配置指定IPSec隧道协商参数，由于建立IPSec的站点不多，ike proposal 中的身份认证方式设置为 pre-share-key 即可。ike proposal、ipsec proposal 均可以多次调用，均设置一个即可；

• 配置感兴趣流 ACL。配置感兴趣流为总部到达分公司 1 和分公司 2 的流量，由于ACL可以多次调用，设置一个即可；

• 配置 ike peer。由于使用策略模板方式被动与分公司建立IPSecVPN 隧道，在配置总部 ike peer 时，无须指定 remote-address。由于总部与分公司1建立的IPSec隧道过程会穿越NAT 设备， 因此需要在 ike peer 视图下配置命令“nat traversal”开启支持设备 NAT 穿越功能。ike peer 可以多次调用，设置一个即可；

• 配置IPSec策略模板。通过命令“ipsec policy-template”配置IPSec策略模板，策略模板需要 调用 ike-peer、ipsec proposal、以及指定“tunnel local”，由于总部使用双机热备VRRP虚 IP 地址与分公司建立IPSec隧道，因此需要指定隧道协商地址为VRRP虚 IP 地址。同时由于总部 连接双ISP，分别配置了两个VRRP对接ISP，因此需要配置两个IPSec策略模板，分别设置不 同的 tunnel local 地址为各自的VRRP虚地址，用于给不同的IPSec policy 调用。同时在策略模 板下通过命令“route inject”配置路由注入功能，总部防火墙可以根据IPSec隧道信息自动注 入生成到达分支子网的路由信息；

• 配置IPSec policy。通过命令“ipsec policy”配置IPSec策略，由于总部 FW1 和 FW2 均需要 在连接ISP1 和ISP2 的接口下调用IPSec policy，而一个IPSec policy 只能在一个接口下调用， 因此需要创建两个IPSec policy，分别调用上述的两个策略模板，分别用于连接ISP1 和ISP2 的 物理接口调用。

• 调用IPSec policy。总部 FW1 和 FW2 需要在连接ISP1 和ISP2 的接口下分别调用IPSec policy。

配置安全策略。在IPSec场景中，需要配置放行私网业务流量、ipsec 隧道协商的 UDP 端口为 500 的协商流量、穿越 NAT 时动态修改的 UDP 端口为 4500 的协商流量以及未穿越 NAT 时需要配置的 ESP 流量。由于穿越 NAT 时IPSec隧道协商的源 UDP 端口不确定，所以源 UDP 端口不需要限制。

2、分公司 1 部署要点：

• 出口路由部署。分公司 1 出口设备 FW3 是单链路连接互联网，因此只需要配置一条默认路由指向出口 下一跳即可。

• IPSec部署。分公司 1 出口设备 FW3 需要与总部双出口对接，本端通过建立两个 Tunnel 接口，分别 对接总部ISP1 和ISP2 接口，Tunnel 接口需要加入安全区域。IPSec 需要配置部署要点如下：

• 结合IP-Link配置针对感兴趣流的主备引流路由。引流路由出接口分别指向Tunnel1和Tunnel2，Tunnel1路由设置为主路由，Tunnel2 路由通过调高优先级数值设置为备路由。IP-Link 目标探 测地址配置为总部对接ISP1 的VRRP地址，绑定主路由，当IP-Link探测成功，主路由生效，IPSec隧道通过 Tunnel 接口建立。当IP-Link探测失败，主路由失效，备份路由浮现，IPSec 隧 道通过Tunnel2 接口重新建立；

• 配置 ike proposal、ipsec proposal。配置指定IPSec隧道协商参数，与总部一致即可。ike proposal、ipsec proposal 均可以多次调用，均设置一个即可；

• 配置感兴趣流 ACL。配置感兴趣流为分公司 1 私网到达总部私网的流量；由于ACL可以多次调 用，设置一个即可；

• 配置 ike peer。需要配置两个 ike peer，分别对接总部ISP1 和ISP2。配置 ike peer 时，必须指 定 remote-address，分别为总部ISP1 和ISP2 对外连接的VRRP虚地址。由于与总部建立的IPSec隧道过程会穿越 NAT 设备，因此需要在 ike peer 视图下配置命令“nat traversal”开启 支持设备 NAT 穿越功能；

• 配置IPSec policy。通过命令“ipsec policy”配置IPSec策略，由于需要在两个 Tunnel 接口下 调用IPSec policy，分别对接总部ISP1 和ISP2，因此需要创建两个IPSec policy，分别调用上 述的两个 ike peer。

• 配置安全策略。在IPSec场景中，需要配置放行私网业务流量、ipsec 隧道协商的 UDP 端口为 500 的协 商流量、穿越 NAT 时动态修改的 UDP 端口为 4500 的协商流量（UDP4500 包含 ESP 流量，本场景下无需 再配 ESP 流量策略）。

3、分公司 2 部署要点：

出口路由部署、IPSec部署如上。

配置安全策略。在IPSec场景中，需要配置放行私网业务流量、ipsec 隧道协商的 UDP 端口为 500 的协 商流量以及 ESP 的流量