H3C MSR係列路由器

VXLAN over IPsec典型配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目  錄

1 簡介

2 配置前提

3 典型配置

3.1 組網需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事項

3.5 配置步驟

3.5.1 配置Device A

3.5.2 配置Device B

3.6 驗證配置

3.7 配置文件

4 相關資料

 

1  簡介

本文檔介紹H3C MSR係列路由器VXLAN over IPsec典型配置舉例。

2  配置前提

本文檔適用於使用Comware V7軟件版本的MSR係列路由器，如果使用過程中與產品實際情況有差異，請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解IPsec、VXLAN等特性。

3  典型配置

3.1  組網需求

如圖1所示，總部網關Device A和分支網關Device B之間通過VXLAN隧道傳輸數據，要求對通過VXLAN隧道的數據進行IPsec加密處理。

圖1 VXLAN over IPsec組網圖

 

3.2  配置思路

·     為了實現總部和分支間的二層互聯，需要在Device A和Device B上完成VXLAN相關配置。

·     為了對通過VXLAN隧道的數據進行IPsec加密，需要在Device A和Device B上定義IPsec保護的數據流。

·     為了在總部和分支之間建立IPsec隧道，需要在Device A和Device B上完成IKE和IPsec相關配置。

3.3  使用版本

本舉例是在R6749P14版本的MSR3610-X1-DP路由器上驗證的。

3.4  配置注意事項

在開始配置之前，請確保總部網關Device A的GE1/0/2接口和分支網關Device B的GE1/0/2接口之間IPv4報文路由可達。

3.5  配置步驟

3.5.1  配置Device A

(1)     配置接口GigabitEthernet1/0/2

# 配置接口GigabitEthernet1/0/2的IP地址。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 255.255.255.0

[DeviceA-GigabitEthernet1/0/2] quit

(2)     配置VXLAN

# 創建模式為VXLAN的隧道接口Tunnel1

[DeviceA] interface tunnel 1 mode vxlan

# 指定隧道的源端地址為本地接口GigabitEthernet1/0/2的地址10.1.1.1。

[DeviceA-Tunnel1] source 10.1.1.1

# 指定隧道的目的端地址為Device B上接口GigabitEthernet1/0/2的地址10.1.2.1。

[DeviceA-Tunnel1] destination 10.1.2.1

[DeviceA-Tunnel1] quit

# 開啟L2VPN能力。

[DeviceA] l2vpn enable

# 創建VSI實例1和VXLAN 1。

[DeviceA] vsi 1

[DeviceA-vsi-1] vxlan 1

# 配置Tunnel1與VXLAN 1關聯。

[DeviceA-vsi-1-vxlan-1] tunnel 1

[DeviceA-vsi-1-vxlan-1] quit

[DeviceA-vsi-1] quit

# 在接入總部服務器的接口GigabitEthernet1/0/1上關聯VSI實例1。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] xconnect vsi 1

[DeviceA-GigabitEthernet1/0/1] quit

(3)     配置ACL。

# 創建ACL3100，定義需要IPsec保護由VXLAN隧道源端地址10.1.1.1去往VXLAN隧道目的端地址10.1.2.1的數據流。

[DeviceA] acl advanced 3100

[DeviceA-acl-adv-3100] rule 0 permit ip source 10.1.1.1 0 destination 10.1.2.1 0

[DeviceA-acl-adv-3100] quit

(4)     配置IPsec安全提議。

# 創建安全提議1。

[DeviceA] ipsec transform-set 1

# 配置ESP協議采用的加密算法為DES-CBC，認證算法為HMAC-MD5。

[DeviceA-ipsec-transform-set-1] esp encryption-algorithm des-cbc

[DeviceA-ipsec-transform-set-1] esp authentication-algorithm md5

[DeviceA-ipsec-transform-set-1] quit

(5)     配置IKE keychain。

# 創建IKE keychain，名稱為1。

[DeviceA] ike keychain 1

# 配置與IP地址為10.1.2.1的對端使用的預共享密鑰為明文123456。

[DeviceA-ike-keychain-1] pre-shared-key address 10.1.2.1 255.255.255.255 key simple 123456

[DeviceA-ike-keychain-1] quit

(6)     配置IKE profile。

# 創建IKE profile，名稱為1。

[DeviceA] ike profile 1

# 指定引用的IKE keychain為1。

[DeviceA-ike-profile-1] keychain 1

# 配置本端的身份信息為IP地址10.1.1.1。

[DeviceA-ike-profile-1] local-identity address 10.1.1.1

# 配置匹配對端身份的規則為IP地址10.1.2.1/32。

[DeviceA-ike-profile-1] match remote identity address 10.1.2.1 255.255.255.255

[DeviceA-ike-profile-1] quit

(7)     配置IPsec安全策略

# 創建一條IKE協商方式的IPsec安全策略，名稱為1，順序號為1。

[DeviceA] ipsec policy 1 1 isakmp

# 指定引用的安全提議為1。

[DeviceA-ipsec-policy-isakmp-1-1] transform-set 1

# 指定引用ACL 3100。

[DeviceA-ipsec-policy-isakmp-1-1] security acl 3100

# 配置IPsec隧道的本端IP地址為10.1.1.1。

[DeviceA-ipsec-policy-isakmp-1-1] local-address 10.1.1.1

# 配置IPsec隧道的對端IP地址為10.1.2.1。

[DeviceA-ipsec-policy-isakmp-1-1] remote-address 10.1.2.1

# 指定引用的IKE profile為1。

[DeviceA-ipsec-policy-isakmp-1-1] ike-profile 1

[DeviceA-ipsec-policy-isakmp-1-1] quit

(8)     在接口GigabitEthernet1/0/2上應用IPsec安全策略

# 在接口GigabitEthernet1/0/2上應用IPsec安全策略1。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ipsec apply policy 1

[DeviceA-GigabitEthernet1/0/2] quit

3.5.2  配置Device B

(1)     配置接口GigabitEthernet1/0/2

# 配置接口GigabitEthernet1/0/2的IP地址。

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 10.1.2.1 255.255.255.0

[DeviceB-GigabitEthernet1/0/2] quit

(2)     配置VXLAN

# 創建模式為VXLAN的隧道接口Tunnel1

[DeviceB] interface tunnel 1 mode vxlan

# 指定隧道的源端地址為本地接口GigabitEthernet1/0/2的地址10.1.2.1。

[DeviceB-Tunnel1] source 10.1.2.1

# 指定隧道的目的端地址為Device A上接口GigabitEthernet1/0/2的地址10.1.1.1。

[DeviceB-Tunnel1] destination 10.1.1.1

[DeviceB-Tunnel1] quit

# 開啟L2VPN能力。

[DeviceB] l2vpn enable

# 創建VSI實例1和VXLAN 1。

[DeviceB] vsi 1

[DeviceB-vsi-1] vxlan 1

# 配置Tunnel1與VXLAN 1關聯。

[DeviceB-vsi-1-vxlan-1] tunnel 1

[DeviceB-vsi-1-vxlan-1] quit

[DeviceB-vsi-1] quit

# 在接入分支服務器的接口GigabitEthernet1/0/1上關聯VSI實例1。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] xconnect vsi 1

[DeviceB-GigabitEthernet1/0/1] quit

(3)     配置ACL。

# 創建ACL3100，定義需要IPsec保護由VXLAN隧道源端地址10.1.2.1去往VXLAN隧道目的端地址10.1.1.1的數據流。

[DeviceB] acl advanced 3100

[DeviceB-acl-adv-3100] rule 0 permit ip source 10.1.2.1 0 destination 10.1.1.1 0

[DeviceB-acl-adv-3100] quit

(4)     配置IPsec安全提議。

# 創建安全提議1。

[DeviceB] ipsec transform-set 1

# 配置ESP協議采用的加密算法為DES-CBC，認證算法為HMAC-MD5。

[DeviceB-ipsec-transform-set-1] esp encryption-algorithm des-cbc

[DeviceB-ipsec-transform-set-1] esp authentication-algorithm md5

[DeviceB-ipsec-transform-set-1] quit

(5)     配置IKE keychain。

# 創建IKE keychain，名稱為1。

[DeviceB] ike keychain 1

# 配置與IP地址為10.1.1.1的對端使用的預共享密鑰為明文123456。

[DeviceB-ike-keychain-1] pre-shared-key address 10.1.1.1 255.255.255.255 key simple 123456

[DeviceB-ike-keychain-1] quit

(6)     配置IKE profile。

# 創建IKE profile，名稱為1。

[DeviceB] ike profile 1

# 指定引用的IKE keychain為1。

[DeviceB-ike-profile-1] keychain 1

# 配置本端的身份信息為IP地址10.1.2.1。

[DeviceB-ike-profile-1] local-identity address 10.1.2.1

# 配置匹配對端身份的規則為IP地址10.1.1.1/32。

[DeviceB-ike-profile-1] match remote identity address 10.1.1.1 255.255.255.255

[DeviceB-ike-profile-1] quit

(7)     配置IPsec安全策略

# 創建一條IKE協商方式的IPsec安全策略，名稱為1，順序號為1。

[DeviceB] ipsec policy 1 1 isakmp

# 指定引用的安全提議為1。

[DeviceB-ipsec-policy-isakmp-1-1] transform-set 1

# 指定引用ACL 3100。

[DeviceB-ipsec-policy-isakmp-1-1] security acl 3100

# 配置IPsec隧道的本端IP地址為10.1.2.1。

[DeviceB-ipsec-policy-isakmp-1-1] local-address 10.1.2.1

# 配置IPsec隧道的對端IP地址為10.1.1.1。

[DeviceB-ipsec-policy-isakmp-1-1] remote-address 10.1.1.1

# 指定引用的IKE profile為1。

[DeviceB-ipsec-policy-isakmp-1-1] ike-profile 1

[DeviceB-ipsec-policy-isakmp-1-1] quit

# 在接口GigabitEthernet1/0/2上應用IPsec安全策略1。

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ipsec apply policy 1

[DeviceB-GigabitEthernet1/0/2] quit

3.6  驗證配置

# 以HostB向總部服務器發起通信為例，從192.168.1.21 ping 192.168.1.10，會觸發IPsec協商，建立IPsec隧道，在成功建立IPsec隧道後，可以ping通。

<HostB>ping 192.168.1.10

Ping 192.168.1.10 (192.168.1.10): 56 data bytes, press CTRL_C to break

Request time out

56 bytes from 192.168.1.10: icmp_seq=1 ttl=255 time=2.000 ms

56 bytes from 192.168.1.10: icmp_seq=2 ttl=255 time=1.000 ms

56 bytes from 192.168.1.10: icmp_seq=3 ttl=255 time=2.000 ms

56 bytes from 192.168.1.10: icmp_seq=4 ttl=255 time=2.000 ms

 

--- Ping statistics for 192.168.1.10 ---

5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss

round-trip min/avg/max/std-dev = 1.000/1.750/2.000/0.433 ms

# 在Device A上使用display ike sa命令，可以看到第一階段的SA正常建立。

<DeviceA>dis ike sa

    Connection-ID  Local               Remote                Flag     DOI

------------------------------------------------------------------------------------

    6              10.1.1.1            10.1.2.1/500          RD       IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 在Device A上使用display ipsec sa命令可以看到IPsec SA的建立情況。

<DeviceA>display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/2

-------------------------------

 

  -----------------------------

  IPsec policy: 1

  Sequence number: 1

  Alias: 1-1

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Transmitting entity: Responder

    Path MTU: 1444

    Tunnel:

        local  address/port: 10.1.1.1/500

        remote address/port: 10.1.2.1/500

    Flow:

        sour addr: 10.1.1.1/255.255.255.255  port: 0  protocol: ip

        dest addr: 10.1.2.1/255.255.255.255  port: 0  protocol: ip

 

    [Inbound ESP SAs]

      SPI: 1526547107 (0x5afd42a3)

      Connection ID: 124554051585

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3314

      Max received sequence-number: 5

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 314817206 (0x12c3bab6)

      Connection ID: 124554051584

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3314

      Max sent sequence-number: 5

      UDP encapsulation used for NAT traversal: N

      Status: Active

# 在Device A上通過命令display interface tunnel 1可以查看經過VXLAN隧道傳輸的流量情況。

<DeviceA> display interface Tunnel 1

Tunnel1

Current state: UP

Line protocol state: UP

Description: Tunnel1 Interface

Bandwidth: 64 kbps

Maximum transmission unit: 1300

Internet protocol processing: Disabled

Output queue - Urgent queuing: Size/Length/Discards 0/1024/0

Output queue - Protocol queuing: Size/Length/Discards 0/500/0

Output queue - FIFO queuing: Size/Length/Discards 0/75/0

Last clearing of counters: Never

Tunnel source 10.1.1.1, destination 10.1.2.1

Tunnel protocol/transport UDP_VXLAN/IP

Last 300 seconds input rate: 3 bytes/sec, 24 bits/sec, 0 packets/sec

Last 300 seconds output rate: 3 bytes/sec, 24 bits/sec, 0 packets/sec

Input: 92 packets, 7525 bytes, 0 drops

Output: 94 packets, 7274 bytes, 0 drops

# 從HostA向分支服務器發起通信驗證方法相同，此不贅述。

3.7  配置文件

·     Device A：

#

 l2vpn enable

#

vsi 1

 vxlan 1

  tunnel 1

#

interface GigabitEthernet1/0/1

 port link-mode route

 xconnect vsi 1

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

 ipsec apply policy 1

#

interface Tunnel1 mode vxlan

 source 10.1.1.1

 destination 10.1.2.1

#

acl advanced 3100

 rule 0 permit ip source 10.1.1.1 0 destination 10.1.2.1 0

#

ipsec transform-set 1

 esp encryption-algorithm des-cbc

 esp authentication-algorithm md5

#

ipsec policy 1 1 isakmp

 transform-set 1

 security acl 3100

 local-address 10.1.1.1

 remote-address 10.1.2.1

 ike-profile 1

#

ike profile 1

 keychain 1

 local-identity address 10.1.1.1

 match remote identity address 10.1.2.1 255.255.255.255

#

ike keychain 1

 pre-shared-key address 10.1.2.1 255.255.255.255 key cipher $c$3$nWZsiVDLZOBOD4Vx7wrVutbEj5VbQIoURQ==

#

return

·     Device B：

#

 l2vpn enable

#

vsi 1

 vxlan 1

  tunnel 1

#

interface GigabitEthernet1/0/1

 port link-mode route

 xconnect vsi 1

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 10.1.2.1 255.255.255.0

 ipsec apply policy 1

#

interface Tunnel1 mode vxlan

 source 10.1.2.1

 destination 10.1.1.1

#

acl advanced 3100

 rule 0 permit ip source 10.1.2.1 0 destination 10.1.1.1 0

#

ipsec transform-set 1

 esp encryption-algorithm des-cbc

 esp authentication-algorithm md5

#

ipsec policy 1 1 isakmp

 transform-set 1

 security acl 3100

 local-address 10.1.2.1

 remote-address 10.1.1.1

 ike-profile 1

#

ike profile 1

 keychain 1

 local-identity address 10.1.2.1

 match remote identity address 10.1.1.1 255.255.255.255

#

ike keychain 1

 pre-shared-key address 10.1.1.1 255.255.255.255 key cipher $c$3$nFvmDw8+uUDHgvYTW3FdZoijFc0jH6C9jQ==

#

return

4  相關資料

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全配置指導(V7)-R6749”中的“IPsec配置”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 VXLAN配置指導(V7)-R6749”中的“VXLAN配置”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全命令參考(V7)-R6749”中的“IPsec命令”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 VXLAN命令參考(V7)-R6749”中的“VXLAN命令”