H3C MSR系列路由器

VXLAN over IPsec典型配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目  录

1 简介

2 配置前提

3 典型配置

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事项

3.5 配置步骤

3.5.1 配置Device A

3.5.2 配置Device B

3.6 验证配置

3.7 配置文件

4 相关资料

 

1  简介

本文档介绍H3C MSR系列路由器VXLAN over IPsec典型配置举例。

2  配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec、VXLAN等特性。

3  典型配置

3.1  组网需求

如图1所示，总部网关Device A和分支网关Device B之间通过VXLAN隧道传输数据，要求对通过VXLAN隧道的数据进行IPsec加密处理。

图1 VXLAN over IPsec组网图

 

3.2  配置思路

·     为了实现总部和分支间的二层互联，需要在Device A和Device B上完成VXLAN相关配置。

·     为了对通过VXLAN隧道的数据进行IPsec加密，需要在Device A和Device B上定义IPsec保护的数据流。

·     为了在总部和分支之间建立IPsec隧道，需要在Device A和Device B上完成IKE和IPsec相关配置。

3.3  使用版本

本举例是在R6749P14版本的MSR3610-X1-DP路由器上验证的。

3.4  配置注意事项

在开始配置之前，请确保总部网关Device A的GE1/0/2接口和分支网关Device B的GE1/0/2接口之间IPv4报文路由可达。

3.5  配置步骤

3.5.1  配置Device A

(1)     配置接口GigabitEthernet1/0/2

# 配置接口GigabitEthernet1/0/2的IP地址。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 255.255.255.0

[DeviceA-GigabitEthernet1/0/2] quit

(2)     配置VXLAN

# 创建模式为VXLAN的隧道接口Tunnel1

[DeviceA] interface tunnel 1 mode vxlan

# 指定隧道的源端地址为本地接口GigabitEthernet1/0/2的地址10.1.1.1。

[DeviceA-Tunnel1] source 10.1.1.1

# 指定隧道的目的端地址为Device B上接口GigabitEthernet1/0/2的地址10.1.2.1。

[DeviceA-Tunnel1] destination 10.1.2.1

[DeviceA-Tunnel1] quit

# 开启L2VPN能力。

[DeviceA] l2vpn enable

# 创建VSI实例1和VXLAN 1。

[DeviceA] vsi 1

[DeviceA-vsi-1] vxlan 1

# 配置Tunnel1与VXLAN 1关联。

[DeviceA-vsi-1-vxlan-1] tunnel 1

[DeviceA-vsi-1-vxlan-1] quit

[DeviceA-vsi-1] quit

# 在接入总部服务器的接口GigabitEthernet1/0/1上关联VSI实例1。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] xconnect vsi 1

[DeviceA-GigabitEthernet1/0/1] quit

(3)     配置ACL。

# 创建ACL3100，定义需要IPsec保护由VXLAN隧道源端地址10.1.1.1去往VXLAN隧道目的端地址10.1.2.1的数据流。

[DeviceA] acl advanced 3100

[DeviceA-acl-adv-3100] rule 0 permit ip source 10.1.1.1 0 destination 10.1.2.1 0

[DeviceA-acl-adv-3100] quit

(4)     配置IPsec安全提议。

# 创建安全提议1。

[DeviceA] ipsec transform-set 1

# 配置ESP协议采用的加密算法为DES-CBC，认证算法为HMAC-MD5。

[DeviceA-ipsec-transform-set-1] esp encryption-algorithm des-cbc

[DeviceA-ipsec-transform-set-1] esp authentication-algorithm md5

[DeviceA-ipsec-transform-set-1] quit

(5)     配置IKE keychain。

# 创建IKE keychain，名称为1。

[DeviceA] ike keychain 1

# 配置与IP地址为10.1.2.1的对端使用的预共享密钥为明文123456。

[DeviceA-ike-keychain-1] pre-shared-key address 10.1.2.1 255.255.255.255 key simple 123456

[DeviceA-ike-keychain-1] quit

(6)     配置IKE profile。

# 创建IKE profile，名称为1。

[DeviceA] ike profile 1

# 指定引用的IKE keychain为1。

[DeviceA-ike-profile-1] keychain 1

# 配置本端的身份信息为IP地址10.1.1.1。

[DeviceA-ike-profile-1] local-identity address 10.1.1.1

# 配置匹配对端身份的规则为IP地址10.1.2.1/32。

[DeviceA-ike-profile-1] match remote identity address 10.1.2.1 255.255.255.255

[DeviceA-ike-profile-1] quit

(7)     配置IPsec安全策略

# 创建一条IKE协商方式的IPsec安全策略，名称为1，顺序号为1。

[DeviceA] ipsec policy 1 1 isakmp

# 指定引用的安全提议为1。

[DeviceA-ipsec-policy-isakmp-1-1] transform-set 1

# 指定引用ACL 3100。

[DeviceA-ipsec-policy-isakmp-1-1] security acl 3100

# 配置IPsec隧道的本端IP地址为10.1.1.1。

[DeviceA-ipsec-policy-isakmp-1-1] local-address 10.1.1.1

# 配置IPsec隧道的对端IP地址为10.1.2.1。

[DeviceA-ipsec-policy-isakmp-1-1] remote-address 10.1.2.1

# 指定引用的IKE profile为1。

[DeviceA-ipsec-policy-isakmp-1-1] ike-profile 1

[DeviceA-ipsec-policy-isakmp-1-1] quit

(8)     在接口GigabitEthernet1/0/2上应用IPsec安全策略

# 在接口GigabitEthernet1/0/2上应用IPsec安全策略1。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ipsec apply policy 1

[DeviceA-GigabitEthernet1/0/2] quit

3.5.2  配置Device B

(1)     配置接口GigabitEthernet1/0/2

# 配置接口GigabitEthernet1/0/2的IP地址。

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 10.1.2.1 255.255.255.0

[DeviceB-GigabitEthernet1/0/2] quit

(2)     配置VXLAN

# 创建模式为VXLAN的隧道接口Tunnel1

[DeviceB] interface tunnel 1 mode vxlan

# 指定隧道的源端地址为本地接口GigabitEthernet1/0/2的地址10.1.2.1。

[DeviceB-Tunnel1] source 10.1.2.1

# 指定隧道的目的端地址为Device A上接口GigabitEthernet1/0/2的地址10.1.1.1。

[DeviceB-Tunnel1] destination 10.1.1.1

[DeviceB-Tunnel1] quit

# 开启L2VPN能力。

[DeviceB] l2vpn enable

# 创建VSI实例1和VXLAN 1。

[DeviceB] vsi 1

[DeviceB-vsi-1] vxlan 1

# 配置Tunnel1与VXLAN 1关联。

[DeviceB-vsi-1-vxlan-1] tunnel 1

[DeviceB-vsi-1-vxlan-1] quit

[DeviceB-vsi-1] quit

# 在接入分支服务器的接口GigabitEthernet1/0/1上关联VSI实例1。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] xconnect vsi 1

[DeviceB-GigabitEthernet1/0/1] quit

(3)     配置ACL。

# 创建ACL3100，定义需要IPsec保护由VXLAN隧道源端地址10.1.2.1去往VXLAN隧道目的端地址10.1.1.1的数据流。

[DeviceB] acl advanced 3100

[DeviceB-acl-adv-3100] rule 0 permit ip source 10.1.2.1 0 destination 10.1.1.1 0

[DeviceB-acl-adv-3100] quit

(4)     配置IPsec安全提议。

# 创建安全提议1。

[DeviceB] ipsec transform-set 1

# 配置ESP协议采用的加密算法为DES-CBC，认证算法为HMAC-MD5。

[DeviceB-ipsec-transform-set-1] esp encryption-algorithm des-cbc

[DeviceB-ipsec-transform-set-1] esp authentication-algorithm md5

[DeviceB-ipsec-transform-set-1] quit

(5)     配置IKE keychain。

# 创建IKE keychain，名称为1。

[DeviceB] ike keychain 1

# 配置与IP地址为10.1.1.1的对端使用的预共享密钥为明文123456。

[DeviceB-ike-keychain-1] pre-shared-key address 10.1.1.1 255.255.255.255 key simple 123456

[DeviceB-ike-keychain-1] quit

(6)     配置IKE profile。

# 创建IKE profile，名称为1。

[DeviceB] ike profile 1

# 指定引用的IKE keychain为1。

[DeviceB-ike-profile-1] keychain 1

# 配置本端的身份信息为IP地址10.1.2.1。

[DeviceB-ike-profile-1] local-identity address 10.1.2.1

# 配置匹配对端身份的规则为IP地址10.1.1.1/32。

[DeviceB-ike-profile-1] match remote identity address 10.1.1.1 255.255.255.255

[DeviceB-ike-profile-1] quit

(7)     配置IPsec安全策略

# 创建一条IKE协商方式的IPsec安全策略，名称为1，顺序号为1。

[DeviceB] ipsec policy 1 1 isakmp

# 指定引用的安全提议为1。

[DeviceB-ipsec-policy-isakmp-1-1] transform-set 1

# 指定引用ACL 3100。

[DeviceB-ipsec-policy-isakmp-1-1] security acl 3100

# 配置IPsec隧道的本端IP地址为10.1.2.1。

[DeviceB-ipsec-policy-isakmp-1-1] local-address 10.1.2.1

# 配置IPsec隧道的对端IP地址为10.1.1.1。

[DeviceB-ipsec-policy-isakmp-1-1] remote-address 10.1.1.1

# 指定引用的IKE profile为1。

[DeviceB-ipsec-policy-isakmp-1-1] ike-profile 1

[DeviceB-ipsec-policy-isakmp-1-1] quit

# 在接口GigabitEthernet1/0/2上应用IPsec安全策略1。

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ipsec apply policy 1

[DeviceB-GigabitEthernet1/0/2] quit

3.6  验证配置

# 以HostB向总部服务器发起通信为例，从192.168.1.21 ping 192.168.1.10，会触发IPsec协商，建立IPsec隧道，在成功建立IPsec隧道后，可以ping通。

<HostB>ping 192.168.1.10

Ping 192.168.1.10 (192.168.1.10): 56 data bytes, press CTRL_C to break

Request time out

56 bytes from 192.168.1.10: icmp_seq=1 ttl=255 time=2.000 ms

56 bytes from 192.168.1.10: icmp_seq=2 ttl=255 time=1.000 ms

56 bytes from 192.168.1.10: icmp_seq=3 ttl=255 time=2.000 ms

56 bytes from 192.168.1.10: icmp_seq=4 ttl=255 time=2.000 ms

 

--- Ping statistics for 192.168.1.10 ---

5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss

round-trip min/avg/max/std-dev = 1.000/1.750/2.000/0.433 ms

# 在Device A上使用display ike sa命令，可以看到第一阶段的SA正常建立。

<DeviceA>dis ike sa

    Connection-ID  Local               Remote                Flag     DOI

------------------------------------------------------------------------------------

    6              10.1.1.1            10.1.2.1/500          RD       IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 在Device A上使用display ipsec sa命令可以看到IPsec SA的建立情况。

<DeviceA>display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/2

-------------------------------

 

  -----------------------------

  IPsec policy: 1

  Sequence number: 1

  Alias: 1-1

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Transmitting entity: Responder

    Path MTU: 1444

    Tunnel:

        local  address/port: 10.1.1.1/500

        remote address/port: 10.1.2.1/500

    Flow:

        sour addr: 10.1.1.1/255.255.255.255  port: 0  protocol: ip

        dest addr: 10.1.2.1/255.255.255.255  port: 0  protocol: ip

 

    [Inbound ESP SAs]

      SPI: 1526547107 (0x5afd42a3)

      Connection ID: 124554051585

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3314

      Max received sequence-number: 5

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 314817206 (0x12c3bab6)

      Connection ID: 124554051584

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3314

      Max sent sequence-number: 5

      UDP encapsulation used for NAT traversal: N

      Status: Active

# 在Device A上通过命令display interface tunnel 1可以查看经过VXLAN隧道传输的流量情况。

<DeviceA> display interface Tunnel 1

Tunnel1

Current state: UP

Line protocol state: UP

Description: Tunnel1 Interface

Bandwidth: 64 kbps

Maximum transmission unit: 1300

Internet protocol processing: Disabled

Output queue - Urgent queuing: Size/Length/Discards 0/1024/0

Output queue - Protocol queuing: Size/Length/Discards 0/500/0

Output queue - FIFO queuing: Size/Length/Discards 0/75/0

Last clearing of counters: Never

Tunnel source 10.1.1.1, destination 10.1.2.1

Tunnel protocol/transport UDP_VXLAN/IP

Last 300 seconds input rate: 3 bytes/sec, 24 bits/sec, 0 packets/sec

Last 300 seconds output rate: 3 bytes/sec, 24 bits/sec, 0 packets/sec

Input: 92 packets, 7525 bytes, 0 drops

Output: 94 packets, 7274 bytes, 0 drops

# 从HostA向分支服务器发起通信验证方法相同，此不赘述。

3.7  配置文件

·     Device A：

#

 l2vpn enable

#

vsi 1

 vxlan 1

  tunnel 1

#

interface GigabitEthernet1/0/1

 port link-mode route

 xconnect vsi 1

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

 ipsec apply policy 1

#

interface Tunnel1 mode vxlan

 source 10.1.1.1

 destination 10.1.2.1

#

acl advanced 3100

 rule 0 permit ip source 10.1.1.1 0 destination 10.1.2.1 0

#

ipsec transform-set 1

 esp encryption-algorithm des-cbc

 esp authentication-algorithm md5

#

ipsec policy 1 1 isakmp

 transform-set 1

 security acl 3100

 local-address 10.1.1.1

 remote-address 10.1.2.1

 ike-profile 1

#

ike profile 1

 keychain 1

 local-identity address 10.1.1.1

 match remote identity address 10.1.2.1 255.255.255.255

#

ike keychain 1

 pre-shared-key address 10.1.2.1 255.255.255.255 key cipher $c$3$nWZsiVDLZOBOD4Vx7wrVutbEj5VbQIoURQ==

#

return

·     Device B：

#

 l2vpn enable

#

vsi 1

 vxlan 1

  tunnel 1

#

interface GigabitEthernet1/0/1

 port link-mode route

 xconnect vsi 1

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 10.1.2.1 255.255.255.0

 ipsec apply policy 1

#

interface Tunnel1 mode vxlan

 source 10.1.2.1

 destination 10.1.1.1

#

acl advanced 3100

 rule 0 permit ip source 10.1.2.1 0 destination 10.1.1.1 0

#

ipsec transform-set 1

 esp encryption-algorithm des-cbc

 esp authentication-algorithm md5

#

ipsec policy 1 1 isakmp

 transform-set 1

 security acl 3100

 local-address 10.1.2.1

 remote-address 10.1.1.1

 ike-profile 1

#

ike profile 1

 keychain 1

 local-identity address 10.1.2.1

 match remote identity address 10.1.1.1 255.255.255.255

#

ike keychain 1

 pre-shared-key address 10.1.1.1 255.255.255.255 key cipher $c$3$nFvmDw8+uUDHgvYTW3FdZoijFc0jH6C9jQ==

#

return

4  相关资料

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全配置指导(V7)-R6749”中的“IPsec配置”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 VXLAN配置指导(V7)-R6749”中的“VXLAN配置”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全命令参考(V7)-R6749”中的“IPsec命令”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 VXLAN命令参考(V7)-R6749”中的“VXLAN命令”