08-H3C MSR係列路由器 VXLAN over IPsec典型配置
本章節下載: 08-H3C MSR係列路由器 VXLAN over IPsec典型配置 (233.19 KB)
H3C MSR係列路由器
VXLAN over IPsec典型配置
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹H3C MSR係列路由器VXLAN over IPsec典型配置舉例。
本文檔適用於使用Comware V7軟件版本的MSR係列路由器,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解IPsec、VXLAN等特性。
如圖1所示,總部網關Device A和分支網關Device B之間通過VXLAN隧道傳輸數據,要求對通過VXLAN隧道的數據進行IPsec加密處理。
· 為了實現總部和分支間的二層互聯,需要在Device A和Device B上完成VXLAN相關配置。
· 為了對通過VXLAN隧道的數據進行IPsec加密,需要在Device A和Device B上定義IPsec保護的數據流。
· 為了在總部和分支之間建立IPsec隧道,需要在Device A和Device B上完成IKE和IPsec相關配置。
本舉例是在R6749P14版本的MSR3610-X1-DP路由器上驗證的。
在開始配置之前,請確保總部網關Device A的GE1/0/2接口和分支網關Device B的GE1/0/2接口之間IPv4報文路由可達。
(1) 配置接口GigabitEthernet1/0/2
# 配置接口GigabitEthernet1/0/2的IP地址。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/2] quit
(2) 配置VXLAN
# 創建模式為VXLAN的隧道接口Tunnel1
[DeviceA] interface tunnel 1 mode vxlan
# 指定隧道的源端地址為本地接口GigabitEthernet1/0/2的地址10.1.1.1。
[DeviceA-Tunnel1] source 10.1.1.1
# 指定隧道的目的端地址為Device B上接口GigabitEthernet1/0/2的地址10.1.2.1。
[DeviceA-Tunnel1] destination 10.1.2.1
[DeviceA-Tunnel1] quit
# 開啟L2VPN能力。
[DeviceA] l2vpn enable
# 創建VSI實例1和VXLAN 1。
[DeviceA] vsi 1
[DeviceA-vsi-1] vxlan 1
# 配置Tunnel1與VXLAN 1關聯。
[DeviceA-vsi-1-vxlan-1] tunnel 1
[DeviceA-vsi-1-vxlan-1] quit
[DeviceA-vsi-1] quit
# 在接入總部服務器的接口GigabitEthernet1/0/1上關聯VSI實例1。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] xconnect vsi 1
[DeviceA-GigabitEthernet1/0/1] quit
(3) 配置ACL。
# 創建ACL3100,定義需要IPsec保護由VXLAN隧道源端地址10.1.1.1去往VXLAN隧道目的端地址10.1.2.1的數據流。
[DeviceA] acl advanced 3100
[DeviceA-acl-adv-3100] rule 0 permit ip source 10.1.1.1 0 destination 10.1.2.1 0
[DeviceA-acl-adv-3100] quit
(4) 配置IPsec安全提議。
# 創建安全提議1。
[DeviceA] ipsec transform-set 1
# 配置ESP協議采用的加密算法為DES-CBC,認證算法為HMAC-MD5。
[DeviceA-ipsec-transform-set-1] esp encryption-algorithm des-cbc
[DeviceA-ipsec-transform-set-1] esp authentication-algorithm md5
[DeviceA-ipsec-transform-set-1] quit
(5) 配置IKE keychain。
# 創建IKE keychain,名稱為1。
[DeviceA] ike keychain 1
# 配置與IP地址為10.1.2.1的對端使用的預共享密鑰為明文123456。
[DeviceA-ike-keychain-1] pre-shared-key address 10.1.2.1 255.255.255.255 key simple 123456
[DeviceA-ike-keychain-1] quit
(6) 配置IKE profile。
# 創建IKE profile,名稱為1。
[DeviceA] ike profile 1
# 指定引用的IKE keychain為1。
[DeviceA-ike-profile-1] keychain 1
# 配置本端的身份信息為IP地址10.1.1.1。
[DeviceA-ike-profile-1] local-identity address 10.1.1.1
# 配置匹配對端身份的規則為IP地址10.1.2.1/32。
[DeviceA-ike-profile-1] match remote identity address 10.1.2.1 255.255.255.255
[DeviceA-ike-profile-1] quit
(7) 配置IPsec安全策略
# 創建一條IKE協商方式的IPsec安全策略,名稱為1,順序號為1。
[DeviceA] ipsec policy 1 1 isakmp
# 指定引用的安全提議為1。
[DeviceA-ipsec-policy-isakmp-1-1] transform-set 1
# 指定引用ACL 3100。
[DeviceA-ipsec-policy-isakmp-1-1] security acl 3100
# 配置IPsec隧道的本端IP地址為10.1.1.1。
[DeviceA-ipsec-policy-isakmp-1-1] local-address 10.1.1.1
# 配置IPsec隧道的對端IP地址為10.1.2.1。
[DeviceA-ipsec-policy-isakmp-1-1] remote-address 10.1.2.1
# 指定引用的IKE profile為1。
[DeviceA-ipsec-policy-isakmp-1-1] ike-profile 1
[DeviceA-ipsec-policy-isakmp-1-1] quit
(8) 在接口GigabitEthernet1/0/2上應用IPsec安全策略
# 在接口GigabitEthernet1/0/2上應用IPsec安全策略1。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ipsec apply policy 1
[DeviceA-GigabitEthernet1/0/2] quit
(1) 配置接口GigabitEthernet1/0/2
# 配置接口GigabitEthernet1/0/2的IP地址。
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 10.1.2.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/2] quit
(2) 配置VXLAN
# 創建模式為VXLAN的隧道接口Tunnel1
[DeviceB] interface tunnel 1 mode vxlan
# 指定隧道的源端地址為本地接口GigabitEthernet1/0/2的地址10.1.2.1。
[DeviceB-Tunnel1] source 10.1.2.1
# 指定隧道的目的端地址為Device A上接口GigabitEthernet1/0/2的地址10.1.1.1。
[DeviceB-Tunnel1] destination 10.1.1.1
[DeviceB-Tunnel1] quit
# 開啟L2VPN能力。
[DeviceB] l2vpn enable
# 創建VSI實例1和VXLAN 1。
[DeviceB] vsi 1
[DeviceB-vsi-1] vxlan 1
# 配置Tunnel1與VXLAN 1關聯。
[DeviceB-vsi-1-vxlan-1] tunnel 1
[DeviceB-vsi-1-vxlan-1] quit
[DeviceB-vsi-1] quit
# 在接入分支服務器的接口GigabitEthernet1/0/1上關聯VSI實例1。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] xconnect vsi 1
[DeviceB-GigabitEthernet1/0/1] quit
(3) 配置ACL。
# 創建ACL3100,定義需要IPsec保護由VXLAN隧道源端地址10.1.2.1去往VXLAN隧道目的端地址10.1.1.1的數據流。
[DeviceB] acl advanced 3100
[DeviceB-acl-adv-3100] rule 0 permit ip source 10.1.2.1 0 destination 10.1.1.1 0
[DeviceB-acl-adv-3100] quit
(4) 配置IPsec安全提議。
# 創建安全提議1。
[DeviceB] ipsec transform-set 1
# 配置ESP協議采用的加密算法為DES-CBC,認證算法為HMAC-MD5。
[DeviceB-ipsec-transform-set-1] esp encryption-algorithm des-cbc
[DeviceB-ipsec-transform-set-1] esp authentication-algorithm md5
[DeviceB-ipsec-transform-set-1] quit
(5) 配置IKE keychain。
# 創建IKE keychain,名稱為1。
[DeviceB] ike keychain 1
# 配置與IP地址為10.1.1.1的對端使用的預共享密鑰為明文123456。
[DeviceB-ike-keychain-1] pre-shared-key address 10.1.1.1 255.255.255.255 key simple 123456
[DeviceB-ike-keychain-1] quit
(6) 配置IKE profile。
# 創建IKE profile,名稱為1。
[DeviceB] ike profile 1
# 指定引用的IKE keychain為1。
[DeviceB-ike-profile-1] keychain 1
# 配置本端的身份信息為IP地址10.1.2.1。
[DeviceB-ike-profile-1] local-identity address 10.1.2.1
# 配置匹配對端身份的規則為IP地址10.1.1.1/32。
[DeviceB-ike-profile-1] match remote identity address 10.1.1.1 255.255.255.255
[DeviceB-ike-profile-1] quit
(7) 配置IPsec安全策略
# 創建一條IKE協商方式的IPsec安全策略,名稱為1,順序號為1。
[DeviceB] ipsec policy 1 1 isakmp
# 指定引用的安全提議為1。
[DeviceB-ipsec-policy-isakmp-1-1] transform-set 1
# 指定引用ACL 3100。
[DeviceB-ipsec-policy-isakmp-1-1] security acl 3100
# 配置IPsec隧道的本端IP地址為10.1.2.1。
[DeviceB-ipsec-policy-isakmp-1-1] local-address 10.1.2.1
# 配置IPsec隧道的對端IP地址為10.1.1.1。
[DeviceB-ipsec-policy-isakmp-1-1] remote-address 10.1.1.1
# 指定引用的IKE profile為1。
[DeviceB-ipsec-policy-isakmp-1-1] ike-profile 1
[DeviceB-ipsec-policy-isakmp-1-1] quit
# 在接口GigabitEthernet1/0/2上應用IPsec安全策略1。
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ipsec apply policy 1
[DeviceB-GigabitEthernet1/0/2] quit
# 以HostB向總部服務器發起通信為例,從192.168.1.21 ping 192.168.1.10,會觸發IPsec協商,建立IPsec隧道,在成功建立IPsec隧道後,可以ping通。
<HostB>ping 192.168.1.10
Ping 192.168.1.10 (192.168.1.10): 56 data bytes, press CTRL_C to break
Request time out
56 bytes from 192.168.1.10: icmp_seq=1 ttl=255 time=2.000 ms
56 bytes from 192.168.1.10: icmp_seq=2 ttl=255 time=1.000 ms
56 bytes from 192.168.1.10: icmp_seq=3 ttl=255 time=2.000 ms
56 bytes from 192.168.1.10: icmp_seq=4 ttl=255 time=2.000 ms
--- Ping statistics for 192.168.1.10 ---
5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.750/2.000/0.433 ms
# 在Device A上使用display ike sa命令,可以看到第一階段的SA正常建立。
<DeviceA>dis ike sa
Connection-ID Local Remote Flag DOI
------------------------------------------------------------------------------------
6 10.1.1.1 10.1.2.1/500 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 在Device A上使用display ipsec sa命令可以看到IPsec SA的建立情況。
<DeviceA>display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/2
-------------------------------
-----------------------------
IPsec policy: 1
Sequence number: 1
Alias: 1-1
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Transmitting entity: Responder
Path MTU: 1444
Tunnel:
local address/port: 10.1.1.1/500
remote address/port: 10.1.2.1/500
Flow:
sour addr: 10.1.1.1/255.255.255.255 port: 0 protocol: ip
dest addr: 10.1.2.1/255.255.255.255 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 1526547107 (0x5afd42a3)
Connection ID: 124554051585
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3314
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 314817206 (0x12c3bab6)
Connection ID: 124554051584
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3314
Max sent sequence-number: 5
UDP encapsulation used for NAT traversal: N
Status: Active
# 在Device A上通過命令display interface tunnel 1可以查看經過VXLAN隧道傳輸的流量情況。
<DeviceA> display interface Tunnel 1
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 1300
Internet protocol processing: Disabled
Output queue - Urgent queuing: Size/Length/Discards 0/1024/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last clearing of counters: Never
Tunnel source 10.1.1.1, destination 10.1.2.1
Tunnel protocol/transport UDP_VXLAN/IP
Last 300 seconds input rate: 3 bytes/sec, 24 bits/sec, 0 packets/sec
Last 300 seconds output rate: 3 bytes/sec, 24 bits/sec, 0 packets/sec
Input: 92 packets, 7525 bytes, 0 drops
Output: 94 packets, 7274 bytes, 0 drops
# 從HostA向分支服務器發起通信驗證方法相同,此不贅述。
· Device A:
#
l2vpn enable
#
vsi 1
vxlan 1
tunnel 1
#
interface GigabitEthernet1/0/1
port link-mode route
xconnect vsi 1
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
ipsec apply policy 1
#
interface Tunnel1 mode vxlan
source 10.1.1.1
destination 10.1.2.1
#
acl advanced 3100
rule 0 permit ip source 10.1.1.1 0 destination 10.1.2.1 0
#
ipsec transform-set 1
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
#
ipsec policy 1 1 isakmp
transform-set 1
security acl 3100
local-address 10.1.1.1
remote-address 10.1.2.1
ike-profile 1
#
ike profile 1
keychain 1
local-identity address 10.1.1.1
match remote identity address 10.1.2.1 255.255.255.255
#
ike keychain 1
pre-shared-key address 10.1.2.1 255.255.255.255 key cipher $c$3$nWZsiVDLZOBOD4Vx7wrVutbEj5VbQIoURQ==
#
return
· Device B:
#
l2vpn enable
#
vsi 1
vxlan 1
tunnel 1
#
interface GigabitEthernet1/0/1
port link-mode route
xconnect vsi 1
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.2.1 255.255.255.0
ipsec apply policy 1
#
interface Tunnel1 mode vxlan
source 10.1.2.1
destination 10.1.1.1
#
acl advanced 3100
rule 0 permit ip source 10.1.2.1 0 destination 10.1.1.1 0
#
ipsec transform-set 1
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
#
ipsec policy 1 1 isakmp
transform-set 1
security acl 3100
local-address 10.1.2.1
remote-address 10.1.1.1
ike-profile 1
#
ike profile 1
keychain 1
local-identity address 10.1.2.1
match remote identity address 10.1.1.1 255.255.255.255
#
ike keychain 1
pre-shared-key address 10.1.1.1 255.255.255.255 key cipher $c$3$nFvmDw8+uUDHgvYTW3FdZoijFc0jH6C9jQ==
#
return
· “H3C MSR610[810][830][1000S][2600][3600]路由器 安全配置指導(V7)-R6749”中的“IPsec配置”
· “H3C MSR610[810][830][1000S][2600][3600]路由器 VXLAN配置指導(V7)-R6749”中的“VXLAN配置”
· “H3C MSR610[810][830][1000S][2600][3600]路由器 安全命令參考(V7)-R6749”中的“IPsec命令”
· “H3C MSR610[810][830][1000S][2600][3600]路由器 VXLAN命令參考(V7)-R6749”中的“VXLAN命令”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!