- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
62-MSR係列路由器利用NQA探測在固定時間段內保持IPsec隧道的連通性配置舉例
本章節下載: 62-MSR係列路由器利用NQA探測在固定時間段內保持IPsec隧道的連通性配置舉例 (143.59 KB)
MSR係列路由器利用NQA探測在固定時間段內保持IPsec隧道的連通性配置舉例
|
Copyright © 2014杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
本文檔介紹利用NQA探測在固定時間段內保持IPsec隧道的連通性的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解NQA、NTP、防火牆和IPsec的相關特性。
如圖1所示,Router A和Router B是企業總部和分支的安全網關,兩者之間已建立IPsec VPN隧道,並且Router A和Router B已配置了內網到外網的NAT轉換,Router A已通過DHCP服務器自動獲取了地址。要求在Router A上配置NQA探測來刷新鏈路狀態,保持隧道的連通性,並通過防火牆來控製進行NQA探測的時段。
圖1 利用NQA探測在固定時間段內保持IPsec隧道的連通性配置組網圖
· 要在固定時間段進行NQA的探測必須要先配置時間段。為了保證時間的準確性,可以先設置係統的時區,並用NTP與知名的網絡時間服務器進行時間同步。
· 為了保證在規定時間內進行探測,可以利用防火牆來控製進行NQA探測的時間段。
· 為了方便統計與查看NQA的探測情況,可開啟NQA測試組的曆史記錄功能。
本舉例是在Release 2317版本上進行配置和驗證的。
· IPsec響應端使用野蠻模式的時候不用配置ACL。
· 在進行UDP-echo測試之前,需要在NQA服務器端配置UDP監聽功能。
· IPsec安全提議缺省配置中,未配置ESP協議的認證算法,需手動指定。
# 配置NTP功能進行時間同步。
<RouterA> system-view
[RouterA] ntp-service unicast-server 207.46.232.182
[RouterA] ntp-service unicast-server 207.46.197.32
[RouterA] ntp-service unicast-server 192.43.244.18
# 配置接口Ethernet0/0的IP地址。
[RouterA] interface ethernet 0/0
[RouterA-Ethernet0/0] ip address 1.1.1.1 255.255.255.0
[RouterA-Ethernet0/0] quit
# 配置係統所在的時區為美國東部時區。
[RouterA] clock timezone EST minus 5
# 創建名為time的時間段,範圍為每天的8點到12點。
[RouterA] time-range time 08:00 to 12:00 daily
# 創建ACL3001,隻允許在規定的時間範圍內進行NQA的探測。
[RouterA] acl number 3001
[RouterA-acl-adv-3001] rule 0 permit udp destination 1.1.1.2 0 destination-port eq
8000 time-range time
[RouterA-acl-adv-3001] quit
# 創建一個IKE對等體,並進入IKE-Peer視圖。
[RouterA] ike peer peer
# 配置IKE第一階段的協商模式為野蠻模式。
[RouterA-ike-peer-peer] exchange-mode aggressive
# 配置預共享密鑰。
[RouterA-ike-peer-peer] pre-shared-key 123
# 配置對端安全網關IP地址。
[RouterA-ike-peer-peer] remote-address 1.1.1.2
# 啟用NAT穿越功能。
[RouterA-ike-peer-peer] nat traversal
[RouterA-ike-peer-peer] quit
# 采用安全提議的缺省配置。
[RouterA] ipsec proposal def
# 配置ESP協議采用md5認證算法。
[RouterA-ipsec-transform-set-def] esp authentication-algorithm md5
[RouterA-ipsec-transform-set-def] quit
# 創建IPsec安全策略policy,其協商方式為isakmp。
[RouterA] ipsec policy policy 1 isakmp
# 配置IPsec安全策略引用的訪問控製列表。
[RouterA-ipsec-policy-isakmp-policy-1] security acl 3001
# 配置IPsec安全策略所引用的IPsec安全提議。
[RouterA-ipsec-policy-isakmp-policy-1] transform-set def
# 在IPsec安全策略中引用IKE對等體。
[RouterA-ipsec-policy-isakmp-policy-1] ike-peer peer
[RouterA-ipsec-policy-isakmp-policy-1] quit
# 利用防火牆來控製進行NQA探測的時間段。
[RouterA] interface ethernet 0/0
[RouterA-Ethernet0/0] firewall packet-filter 3001 outbound
# 在接口上應用安全策略。
[RouterA-Ethernet0/0] ipsec policy policy
[RouterA-Ethernet0/0] quit
# 創建UDP-echo類型的測試組。
[RouterA] nqa entry admin test
[RouterA-nqa-admin-test] type udp-echo
# 配置測試操作的目的地址為1.1.1.2,目的端口號為8000。
[RouterA-nqa-admin-test-udp-echo] destination ip 1.1.1.2
[RouterA-nqa-admin-test-udp-echo] destination port 8000
# 測試組連續兩次測試開始時間的時間間隔為3000毫秒。
[RouterA-nqa-admin-test-udp-echo] frequency 3000
# 開啟NQA測試組的曆史記錄保存功能。
[RouterA-nqa-admin-test-udp-echo] history-record enable
# 配置一次NQA測試中進行探測的次數為2。
[RouterA-nqa-admin-test-udp-echo] probe count 2
# 配置NQA探測超時時間為50000毫秒。
[RouterA-nqa-admin-test-udp-echo] probe timeout 50000
[RouterA-nqa-admin-test-udp-echo] quit
# 立即啟動測試操作,並一直進行測試。
[RouterA] nqa schedule admin test start-time now lifetime forever
# 配置NTP功能進行時間同步。
<RouterB> system-view
[RouterB] ntp-service unicast-server 207.46.232.182
[RouterB] ntp-service unicast-server 207.46.197.32
[RouterB] ntp-service unicast-server 192.43.244.18
# 配置係統所在的時區為美國東部時區。
[RouterB] clock timezone EST minus 5
# 配置接口Ethernet0/0的IP地址。
<RouterB> system-view
[RouterB] interface ethernet 0/0
[RouterB-Ethernet0/0] ip address 1.1.1.2 255.255.255.0
[RouterB-Ethernet0/0] quit
# 創建一個IKE對等體,並進入IKE-Peer視圖。
[RouterB] ike peer peer
# 配置IKE第一階段的協商模式為野蠻模式。
[RouterB-ike-peer-peer] exchange-mode aggressive
# 配置預共享密鑰。
[RouterB-ike-peer-peer] pre-shared-key 123
# 啟用NAT穿越功能。
[RouterB-ike-peer-peer] nat traversal
[RouterB-ike-peer-peer] quit
# 采用安全提議的缺省配置。
[RouterB] ipsec proposal def
# 配置ESP協議采用md5認證算法。
[RouterB-ipsec-transform-set-def] esp authentication-algorithm md5
[RouterB-ipsec-transform-set-def] quit
# 創建IPsec安全策略模板policy,並進入IPsec安全策略模板視圖。
[RouterB] ipsec policy-template policy 1
# 在IPsec安全策略中引用IKE對等體。
[RouterB-ipsec-policy-template-policy-1] ike-peer peer
# 配置IPsec安全策略所引用的IPsec安全提議。
[RouterB-ipsec-policy-template-policy-1] proposal def
# 引用IPsec安全策略模板創建一條IPsec安全策略。
[RouterB-ipsec-policy-template-policy-1] ipsec policy policy1 1 isakmp template
Policy
[RouterB-ipsec-policy-template-policy-1] quit
# 在接口Ethernet0/0上應用安全策略。
[RouterB] interface ethernet 0/0
[RouterB-Ethernet0/0] ipsec policy policy1
[RouterB-Ethernet0/0] quit
# 開啟NQA服務器功能,配置監聽的IP地址為1.1.1.2,UDP端口號為8000。
[RouterB] nqa server enable
[RouterB] nqa server udp-echo 1.1.1.2 8000
完成以上配置後,Router A到達配置的時間範圍內,開始進行NQA探測,並觸發IKE進行協商建立SA。IKE協商成功後便可以創建IPsec SA,從而保持VPN的連通性。
# 顯示UDP-echo測試的曆史記錄。
[RouterA] display nqa history
NQA entry (admin admin, tag test) history record(s):
Index Response Status Time
1218 11 Succeeded 2013-06-05 10:58:31.4
1217 8 Succeeded 2013-06-05 10:58:31.4
1216 10 Succeeded 2013-06-05 10:58:28.4
1215 8 Succeeded 2013-06-05 10:58:28.4
1214 10 Succeeded 2013-06-05 10:58:25.4
1213 7 Succeeded 2013-06-05 10:58:25.4
1212 10 Succeeded 2013-06-05 10:58:22.4
1211 8 Succeeded 2013-06-05 10:58:22.4
1210 10 Succeeded 2013-06-05 10:58:19.4
1209 8 Succeeded 2013-06-05 10:58:19.4
# 可以通過如下顯示信息看到,Router A作為發起方已與Router B協商生成了兩個階段的SA。
[RouterA] display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------------
1 1.1.1.2 RD|ST 1 IPSEC
2 1.1.1.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT RK—REKEY
# 可以通過如下顯示信息查看協商生成的IPsec SA。
[RouterA] display ipsec sa
===============================
Interface: Ethernet0/0
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "policy"
sequence number: 1
acl version: ACL4
mode: isakmp
-----------------------------
PFS: N, DH group: none
tunnel:
local address: 1.1.1.1
remote address: 1.1.1.2
flow:
sour addr: 0.0.0.0/0.0.0.0 port: 0 protocol: UDP
dest addr: 1.1.1.2/255.255.255.255 port: 8000 protocol: UDP
[inbound ESP SAs]
spi: 0xBD7257D2(3178387410)
transform: ESP-ENCRYPT-NULL ESP-AUTH-MD5
in use setting: Tunnel
connection id: 1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843177/3332
anti-replay detection: Enabled
anti-replay window size(counter based): 32
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 0xEA170DA6(3927379366)
transform: ESP-ENCRYPT-NULL ESP-AUTH-MD5
in use setting: Tunnel
connection id: 2
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843177/3332
anti-replay detection: Enabled
anti-replay window size(counter based): 32
udp encapsulation used for nat traversal: N
· Router A:
#
clock timezone EST minus 05:00:00
#
time-range time 08:00 to 12:00 daily
#
acl number 3001
rule 0 permit udp destination 1.1.1.2 0 destination-port eq 8000 time-range tim
e
#
ike peer peer
exchange-mode aggressive
pre-shared-key cipher $c$3$y3TA3pnujTdYAJ+OmZcOpjnhzzFwkQ==
remote-address 1.1.1.2
nat traversal
#
ipsec transform-set def
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
#
ipsec policy policy 1 isakmp
security acl 3001
ike-peer peer
transform-set def
#
interface Ethernet0/0
port link-mode route
firewall packet-filter 3001 outbound
ip address 1.1.1.1 255.255.255.0
ipsec policy policy
#
nqa entry admin test
type udp-echo
destination ip 1.1.1.2
destination port 8000
frequency 3000
history-record enable
probe count 2
probe timeout 50000
#
nqa schedule admin test start-time now lifetime forever
#
ntp-service unicast-server 207.46.232.182
ntp-service unicast-server 207.46.197.32
ntp-service unicast-server 192.43.244.18
#
· Router B:
#
clock timezone EST minus 05:00:00
#
ike peer peer
exchange-mode aggressive
pre-shared-key cipher $c$3$LGxdivAwVW08EdMCk3IZLKGChom9aQ==
nat traversal
#
ipsec transform-set def
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
#
ipsec policy-template policy 1
ike-peer peer
transform-set def
#
ipsec policy policy1 1 isakmp template policy
#
interface Ethernet0/0
port link-mode route
ip address 1.1.1.2 255.255.255.0
ipsec policy policy1
#
nqa server enable
nqa server udp-echo 1.1.1.2 8000
#
ntp-service unicast-server 207.46.232.182
ntp-service unicast-server 207.46.197.32
ntp-service unicast-server 192.43.244.18
#
· H3C MSR 係列路由器 命令參考(V5)-R2311
· H3C MSR 係列路由器 配置指導(V5)-R2311
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
