两个网关之间配置IPSec VPN主备链路备份

如图1所示，FW_A通过主备两条链路接入Internet，主备接口使用固定的公网IP地址；FW_B通过一条链路接入Internet，出接口同样使用固定的公网IP地址。

图1 IPSec主备链路备份组网图

要求实现如下需求：

项目

数据

FW_A

接口号：GigabitEthernet 1/0/0

IP地址：10.1.1.1/24

安全区域：Trust

接口号：GigabitEthernet 1/0/1

IP地址：1.1.3.1/24

安全区域：Untrust

接口号：GigabitEthernet 1/0/2

IP地址：1.1.4.1/24

安全区域：Untrust

IPSec配置

对端地址：2.2.2.2

认证方式：预共享密钥

预共享密钥：Test!1234

本端ID类型：IP

对端ID类型：Any

FW_B

接口号：GigabitEthernet 1/0/1

IP地址：2.2.2.2/24

安全区域：Untrust

接口号：GigabitEthernet 1/0/0

IP地址：10.2.1.1/24

安全区域：Trust

Tunnel1和Tunnel2接口

IP地址：2.2.2.2/24

FW_B通过Tunnel接口与FW_A在公网上建立IPSec隧道，因此需要使用公网地址，本例中Tunnel1和Tunnel2接口借用了GigabitEthernet 1/0/1接口的地址。

安全区域：Untrust

IPSec配置

对端地址：1.1.3.1

认证方式：预共享密钥

预共享密钥：Test!1234

本端ID类型：IP

对端ID类型：Any

在本例中，FW_A需要与FW_B建立两条隧道，而FW_B只有一个物理接口，所以需要在FW_B上配置两个Tunnel接口，来分别与FW_A的主备接口建立隧道。当FW_A发生主备链路切换时，FW_B也会切换Tunnel接口，双方重新进行IPSec隧道协商。

a.基本配置，包括配置接口IP地址，将接口加入相应的安全域。

b.配置路由。

　　　　　配置两条FW_A到FW_B的路由，两条路由的优先级不同，实现路由备份。同时，为主路由绑定IP-Link，用于检测主路由上的链路状态。当主路由上的链路发生故障时，系统会自动切换到备用路由。

　　　c.配置IPSec策略相关参数。

　　　d.在接口上应用IPSec安全策略。

　　　FW_A的GigabitEthernet 1/0/1、GigabitEthernet 1/0/2分别为主接口和备接口。需要在主备接口上应用相同的IPSec安全策略，当主接口发生故障时，系统自动将IPSec隧道切换至备接口。

a.基本配置，包括配置接口IP地址，将接口加入相应的安全区域。

　　　在FW_B上配置Tunnel1（主接口）和Tunnel2（备接口）两个Tunnel接口，分别与FW_A上的主备接口对应。当FW_A发生主备链路切换时，FW_B也会切换到对应的Tunnel接口。

　　b.配置路由。

在FW_B上将需要保护的数据流通过路由引流到Tunnel接口。因为FW_B上有两个Tunnel接口，所以需要配置两条到总部的路由，出接口为Tunnel1和Tunnel2，两条路由的优先级不同，实现路由备份。同时，为主路由绑定IP-Link，用于检测主路由上的链路状态。当主路由上的链路发生故障时，系统会自动切换到备用路由。

c.配置IPSec策略相关参数。

FW_B需要与FW_A的主备接口建立IPSec隧道，所以需要创建两个IPSec策略。

d.在接口上应用IPSec策略。

在Tunnel1和Tunnel2上分别应用IPSec安全策略，当主接口发生故障时，系统自动将IPSec隧道切换至备接口。

a.基本配置。配置接口IP地址。

将接口加入相应安全区域。

b.配置防火墙策略。

配置Trust域与Untrust域的转发策略，允许封装前和解封后的报文能通过FW_A。

配置Local域与Untrust域的本地策略，允许IKE协商报文能正常通过FW_A。

Local和Untrust的域间策略用于控制IKE协商报文通过FW，该域间策略可以使用源地址和目的地址作为匹配条件，也可以在此基础上使用协议、端口作为匹配条件。本例中是以源地址和目的地址为例介绍，如果需要使用协议、端口作为匹配条件，则需要放开ESP服务和UDP 500端口（NAT穿越场景中还需要放开4500端口）。

c.配置IP-Link，用于检测FW_A到FW_B的主链路是否正常。

d.配置到分支的路由。

配置两条到分支的路由，主路由的优先级为10，绑定IP-Link功能；备用路由的优先级为20。当设备检测到主链路故障时，将自动启用备用路由。

e.配置访问控制列表，定义需要保护的数据流。

f.配置名称为tran1的IPSec安全提议。

g.配置序号为10的IKE安全提议。

h.配置IKE Peer。

i.配置IPSec安全策略。

j.在出接口上应用安全策略组。

2.配置FW_B（分支）。

a.基础配置。配置接口IP地址。

将接口加入相应安全区域。

b.配置防火墙策略。

配置Trust域与Untrust域的转发策略，允许封装前和解封后的报文能通过FW_B。

配置Local域与Untrust域的本地策略，允许IKE协商报文能正常通过FW_B。

Local和Untrust的域间策略用于控制IKE协商报文通过FW，该域间策略可以使用源地址和目的地址作为匹配条件，也可以在此基础上使用协议、端口作为匹配条件。本例中是以源地址和目的地址为例介绍，如果需要使用协议、端口作为匹配条件，则需要放开ESP服务和UDP 500端口（NAT穿越场景中还需要放开4500端口）。

配置安全策略时应注意，需要配置FW接收和发送IKE协商报文的实际物理接口所在安全区域和Local安全区域之间的安全策略，而不是Tunnel口所在安全区域和Local之间的安全策略。

c.配置IP-Link，用于检测FW_B到FW_A的链路是否正常。

d.配置到Tunnel接口的路由。分支访问总部的数据流被首先引流到Tunnel接口。

e.配置到总部的路由，假设到总部的下一跳是2.2.2.1。

f.配置访问控制列表，定义需要保护的数据流。

g.配置名称为tran1的IPSec安全提议。

h.配置序号为10的IKE安全提议。

i.配置IKE Peer。

需要在FW_B上配置两个对等体。当FW_A主备切换时，FW_B将切换对等体与FW_A进行协商。

j.配置IPSec安全策略组map1和map2。

k.在接口Tunnel1和Tunnel2上分别应用安全策略组map1和map2。

3.分别在FW_A、FW_B上执行display ipsec sa命令会显示IPSec安全联盟的建立情况。以FW_A为例，出现以下显示说明IPSec安全联盟建立成功。

4.执行命令display ipsec statistics可以查看被加密的数据包的变化，即它们之间的数据传输将被加密。以FW_A为例。

5.断开FW_A的GigabitEthernet 1/0/1接口，查看是否完成链路切换。通过以下操作来判断：

执行display ike sa、display ipsec sa命令，查看到新的安全联盟已经存在。

总部和分支之间依然能够成功发送和接收报文。且执行display ipsec statistics命令，能看到报文数量在增长。