所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

防火墙在LTE IPSec解决方案中的应用

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在LTE IPSec解决方案中的应用

防火墙在LTE IPSec解决方案中的应用

简介

本案例介绍了双机旁路部署模式下,IPSec特性在LTE中的应用场景和配置方法。

基于Eudemon200E-N&Eudemon1000E-N&Eudemon8000E-X V500R005C00版本写作,可供Eudemon200E-N&Eudemon1000E-N&Eudemon8000E-X V500R005C00、Eudemon200E-G&Eudemon1000E-G V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。

方案简介

LTE简介

LTE(Long Term Evolution)是3GPP(Third Generation Partnership Project)组织于2004年12月为UMTS(Universal Mobile Telecommunications System)长期演进而启动的一个项目,该项目旨在增加移动通信系统的数据传输速率,减少网络节点和系统复杂度,从而降低网络部署和维护成本。从第一代(1G)移动通信系统采用模拟通信技术开始,在陆续经历了2G、3G的技术革新以后,现在的移动通信系统正逐步跨入4G时代,LTE正在成为4G网络的代名词。严格来讲,LTE项目所使用的技术并不完全满足国际电信联盟对4G的定义,所以只能算作准4G,但这并没有影响运营商将LTE定位为4G网络的主流标准。

LTE的网络架构

LTE的网络架构较之于3G网络更扁平化和IP化,其架构如图1-1所示。

图1-1 LTE的网络架构

LTE网络整体由以下几部分组成:

  • UE(User Equipment):泛指LTE网络中用户使用的移动终端,例如手机、智能终端、多媒体设备等。
  • eNodeB(Evolved NodeB):eNodeB即通常讲的无线基站,其作用是为用户提供无线接入服务。
  • IP-RAN(Radio Access Network):IP化的无线接入网络,属于LTE网络中的接入网部分。
  • EPC(Evolved Packet Core):进化型的分组核心,可以理解为LTE网络的核心网部分。
    • MME(Mobility Management Entity):移动性管理实体,主要负责核心网控制功能。eNodeB发往EPC的流量主要包括信令流和业务流两种,MME用于处理信令流量。
    • S-GW(Serving Gateway):业务网关,主要负责处理eNodeB发往EPC的业务流量。
    • OMC(Operation and Maintenance Center):操作维护中心,包括M2000、CME、LMT等,管理员通过OMC对LTE网络中的网元进行集中管理、维护等操作。在实际使用中,为了管理方便,通常也会把证书服务器部署在OMC区域,例如CA服务器、RA服务器等。

eNodeB的接口

eNodeB主要有S1和X2两个接口:

  • S1接口

    S1接口是MME/S-GW网关和eNodeB之间的通信接口,S1接口按照不同的业务平面又分为S1用户平面接口和S1控制平面接口。

    • S1用户平面接口(S1-U接口)

      S1-U接口位于eNodeB和S-GW之间,主要传输eNodeB和S-GW之间的用户数据,也叫业务数据。S1-U接口利用了一个简单的“GTP over UDP/IP”传输协议,该协议负责对用户数据进行封装,在S1-U接口上没有任何流量控制、差错控制或是其他保证数据传输的机制。

    • S1控制平面接口(S1-C接口)

      S1-C接口位于eNodeB和MME之间,主要用来控制eNodeB和MME之间的一系列信令交互过程,为了可靠传输信令消息,S1-C接口在IP层之上采用SCTP协议。

  • X2接口

    X2接口是eNodeB基站之间进行通信的接口。X2接口是LTE网络新定义的接口,是一个网状接口,定义X2接口的主要目的是当用户移动时,可以在各个eNodeB间进行分组转发,以便降低分组丢包率。

    • X2用户平面接口

      X2用户平面接口(X2-U接口)主要在eNodeB间传输用户数据。这个接口只在终端从一个eNodeB移动到另一个eNodeB时使用,来实现数据的转发。X2-U接口也是采用“GTP over UDP/IP”协议进行数据传输。

    • X2控制平面接口

      X2控制面接口(X2-C接口)是eNodeB之间的信令接口,支持一系列eNodeB间的信令交互控制。X2-C与用户移动有关,用于实现eNodeB间传递用户上下文消息。X2-C接口和S1-C接口类似,也是采用SCTP协议保证传输。

方案设计

组网需求

在3G网络中,从用户终端(UE)到无线网络控制器(RNC),不管是控制面还是用户面,都设计有接入认证和数据加密机制,因此这里的数据传输已经做了安全保护。而在LTE网络中,虽然控制面从用户终端(UE)到核心网(EPC)仍然保留了接入认证和数据加密机制;但是在用户面,S1-U只有认证机制而没有加密机制,因此与3G网络相比,LTE网络就需要考虑部署额外的安全设备消除该安全隐患。

LTE IPSec解决方案通过在eNodeB和安全网关(即FW,在LTE中也被称为SeMG)之间建立IPSec隧道,对S1数据流进行安全加密保护,防止用户数据在IP-RAN中被入侵,从而保障LTE网络的安全性。通常,FW会被旁路部署到EPC区域路由器的两侧,作为eNodeB访问MME和S-GW的IPSec网关,两台FW形成双机热备,可以提高网络的稳定性,其组网拓扑如图1-2所示。

图1-2 FW旁路组网拓扑

在LTE IPSec方案中,eNodeB的流量主要包括S1接口流量,X2接口流量,还有与网管通信的OM流量和PKI流量,运营商出于安全性和实时性考虑,对各种流量有不同的处理要求,具体如下。

  • S1接口流量

    S1接口流量按照语音、信令分为用户层面的流量(S1 UP)和控制层面的流量(S1 CP),该流量安全性要求高,因此需要通过IPSec隧道进行传输。

  • X2接口流量

    X2接口流量是突发流量,对安全性要求不高,加密和不加密均可以。考虑到IPSec隧道封装会导致X2流量的时延增大,因此本案例中对该流量不做IPSec加密处理。

  • OM流量

    eNodeB、FW等网络设备要受OM服务器进行统一管理,此管理流量无需IPSec隧道保护。例如,OM中的NTP服务器与eNodeB进行时钟同步时,对流量抖动要求高,所以不适宜进行IPSec加密。

  • PKI流量

    PKI负责向eNodeB和IPSec网关发放证书,eNodeB和IPSec网关在建立IPSec隧道时,通过交换证书验证对方身份,此流量也无需IPSec保护直接由eNodeB发往PKI服务器。

各种流量的传输路径如图1-3所示。

图1-3 eNodeB不同流量在LTE IPSec方案中的传输

业务规划

IPSec业务规划

本方案采用模板方式建立IPSec隧道,如表1-1所示。

表1-1 IPSec业务规划

方案

特点

模板方式

1.可以同时与多个eNodeB建立IPSec隧道,且配置时无需指定隧道对端IP地址。

2.网络配置工作量小,易于维护。

当eNodeB节点较多时,有可能要扩大ACL中的地址段范围,在修改ACL时会造成隧道短暂中断,此问题可以通过合理的数据规划进行规避。

证书认证方式

eNodeB与安全网关建立IPSec隧道采用证书方式认证。双机启用后,设备需要生成用于申请设备证书的密钥对,主机生成密钥时会自动备份到备机。另外,双机会共用一本设备证书,在主机加载证书时证书文件会同步备份到备机中。

可靠性业务规划

FW作为IPSec安全网关用于处理eNodeB发往MME和S-GW的所有流量,是流量转发的枢纽节点,其位置非常关键。因此,FW通常会在该节点进行双机部署,双机形成主备备份关系。除了采用了设备级的备份方案,此处还使用了链路级备份。例如,双机之间的心跳口采用Eth-Trunk链路不仅可以提高链路带宽,而且可以确保在部分链路故障的情况下双机之间能够继续进行数据备份。

旁路方式下可靠性规划图和表格请参见图1-4表1-2

图1-4 旁路方式的组网结构图

表1-2 双机方案规划

规划要点

优点

具体实现

双机采用主备模式

双机部署比单机部署可靠性高。

-

链路捆绑方案

多链路比单链路可靠性高。

使用Eth-Trunk可以增加链路带宽,并且多成员接口也起到了链路备份的作用,假如某一个成员接口发生故障,流量还能依靠其他成员接口进行传输。

FW_A和FW_B与Router3、Router4之间采用Eth-Trunk捆绑,FW之间的心跳线采用链路捆绑。

异地容灾方案

有异地备份比单一部署的可靠性高。

在一个地方发生大的故障时,可以通过另一个地方的设备提供服务。

(可选)

异地容灾方案主要是指多台FW部署在不同的地理位置

数据规划

图1-5所示的组网,各设备的数据规划如表1-3所示。

FW使用普通的物理接口与eNodeB建立IPSec时,如果双机中的主机出现故障,就会引发双机主备倒换。eNodeB在获悉主机故障后,就会拆除与主机间的IPSec隧道,并向新主机(原来的备机)发起IPSec协商请求,在此过程中管理员就需要将eNodeB上IPSec隧道的对端地址修改成新主机的IP地址。而手工修改eNodeB的配置实施起来会比较麻烦,eNodeB数量较少时采取手工修改的办法还基本可行,但实际应用中eNodeB的数量通常成百上千,再采用逐一修改的办法就不现实。

因此,在本案例中FW将采用Tunnel接口与eNodeB建立IPSec隧道,并且FW_A、FW_B上的Tunnel接口IP地址相同。采用Tunnel接口与eNodeB建立IPSec隧道的优势在于,即使双机发生了主备倒换,由于双机建立IPSec隧道所使用的Tunnel接口是同一个IP地址,这样eNodeB就无需修改IPSec隧道对端IP地址。

图1-5 旁路方式的IP地址规划

表1-3 LTE整体的数据规划

设备

接口

IP地址

安全区域

FW_A

Eth-trunk1

Eth-trunk1的成员接口:GigabitEthernet1/0/1和GigabitEthernet1/0/2

子接口Eth-trunk1.1的IP:1.1.1.1/30

VLAN:100

Eth-trunk1.1接口用于处理eNodeB发往EPC的IPSec加密流量。

子接口Eth-trunk1.1:Untrust

子接口Eth-trunk1.2:Trust

子接口Eth-trunk1.3:Trust

子接口Eth-trunk1.4:Trust

子接口Eth-trunk1.2的IP:1.1.2.1/30

VLAN:200

Eth-trunk1.2接口用于处理eNodeB发往S-GW解密后的业务流量。

子接口Eth-trunk1.3的IP:1.1.3.1/30

VLAN:300

Eth-trunk1.3接口用于处理eNodeB发往MME解密后的信令流量。

子接口Eth-trunk1.4的IP:1.1.4.1/30

VLAN:400

Eth-trunk1.4接口作为FW的带内管理口。

Eth-trunk2

Eth-trunk2的成员接口:GigabitEthernet1/0/8和GigabitEthernet1/0/9

2.1.1.1/30

DMZ

Tunnel接口

Tunnel接口用于和eNodeB建立IPSec隧道。

3.1.1.1/30

Untrust

FW_B

Eth-trunk1

子接口Eth-trunk2的成员接口:GigabitEthernet1/0/1和GigabitEthernet1/0/2

子接口Eth-trunk1.1的IP:5.1.1.1/30

VLAN:100

Eth-trunk1.1接口用于双机主备切换以后处理eNodeB发往EPC的IPSec加密流量。

子接口Eth-trunk1.1:Untrust

子接口Eth-trunk1.2:Trust

子接口Eth-trunk1.3:Trust

子接口Eth-trunk1.4:Trust

子接口Eth-trunk1.2的IP:5.1.2.1/30

VLAN:200

Eth-trunk1.2接口用于双机主备切换以后处理eNodeB发往S-GW解密后的业务流量。

子接口Eth-trunk1.3的IP:5.1.3.1/30

VLAN:300

Eth-trunk1.3接口用于双机主备切换以后处理eNodeB发往MME解密后的信令流量。

子接口Eth-trunk1.4的IP:5.1.4.1/30

VLAN:400

Eth-trunk1.4接口作为FW的带内管理口。

Eth-trunk2

Eth-trunk2成员接口:GigabitEthernet1/0/8和GigabitEthernet1/0/9

2.1.1.2/30

DMZ

Tunnel接口

Tunnel接口用于和eNodeB建立IPSec隧道。

3.1.1.1/30

Untrust

eNodeB-1

1个隧道接口+3个业务接口

Tunnel IP:6.1.1.1/30

UP业务IP:6.1.2.1/32

CP业务IP:6.1.3.1/32

OM业务IP:6.1.4.1/30

隧道接口:Untrust

业务接口:Trust

eNodeB-2

1个隧道接口+3个业务接口

Tunnel IP:7.1.1.1/30

UP业务IP:7.1.2.1/32

CP业务IP:7.1.3.1/32

OM业务IP:7.1.4.1/30

隧道接口:Untrust

业务接口:Trust

S-GW

S1-U业务接口

8.1.1.1/30

-

MME

S1-C业务接口

8.1.1.2/30

-

OM

U2000

9.1.1.1/30

-

NTP Server

9.1.1.2/30

-

Log Server

9.1.1.3/30

-

PKI

CA

9.1.2.4/30

-

路由规划

FW以双机方式旁路部署到LTE网络中以后,首先要将eNodeB访问MME和S-GW(即EPC区域)的加密流量引导到FW,然后FW对流量进行解密,最后再将解密流量重新发往EPC区域。路由决定了流量的走向,为了使流量按照预想的线路传送,需要对FW及RSG设备上的路由进行如下规划,如图1-6所示。

在FW上创建OSPF1和OSPF2两个进程,OSPF1进程用于将FW的IPSec网关路由发布到IP-RAN,使eNodeB能够获取到达FW的路由;OSPF2进程用于FW与EPC进行路由交换,FW根据该路由转发解密后的流量到EPC。FW和RSG之间的Eth-Trunk子接口分别用于区分IPSec加密流量、解密后到S-GW的流量和解密后到MME的流量。

图1-6 路由规划

  • 上行流量

    eNodeB发往EPC的上行流量依赖的路由信息,其路由交换过程如下,下面以eNodeB-1经IP-RAN、FW_A、RSG-1到EPC线路路由交换为例进行说明。

    1. FW_A发布IPSec网关路由到OSPF1。
    2. 在RSG-1上引入OSPF1路由到BGP。
    3. RSG-1通过IBGP发布IPSec网关路由到AGG。
    4. AGG接收到IPSec网关路由并通告至整个IP-RAN。

      eNodeB通过静态路由将IPSec流量转发至IP-RAN时,IP-RAN就会通过学习到的IPSec网关路由将IPSec流量一路送至FW_A。

      FW_A通过OSPF2进程学习到EPC的路由,上行IPSec流量经过解密以后,该流量会再通过OSP2进程学习到的路由转发至EPC。

  • 下行流量

    EPC响应eNodeB下行流量依赖的路由信息,其路由交换过程如下,下面以EPC经RSG-1、FW_A、IP-RAN到eNodB-1线路路由交换为例进行说明。

    1. AN通过引入直连路由到IP-RAN,IP-RAN就可以学习到eNodB-1的IPSec Tunnel路由。
    2. RSG-1通过IBGP从IP-RAN学习到eNodeB-1的IPSec Tunnel路由。
    3. RSG-1将IBGP学习到的eNodeB-1的IPSec Tunnel路由引入到OSPF1,于是FW_A就学习到了eNodeB-1的隧道路由。

      EPC响应eNodeB-1的流量按照OSPF2进程中学习到的路由被转发到FW_A,流量按照FW_A IPSec反向路由注入中学习到的路由进入IPSec隧道。FW_A按照OSPF1进程中学习到的eNodeB-1的路由将封装后的IPSec流量发送至IP-RAN,IP-RAN再将流量一路送至eNodeB-1。

双机情况下,主IPSec网关(FW_A)对外发布的OSPF的cost值为原始值(可自行设定),备用IPSec网关(FW_B)发布的OSPF的cost值为65500,一般设置cost原始值小于65500。eNodeB发往EPC的流量到达RSG以后,RSG会选择路由开销小的链路将流量发往FW_A。由于RSG-1和RSG-2的Eth-Trunk子接口Trunk2.1也被加入到了OSPF1进程,因此OSPF1的cost值会在FW_A、RSG-1、RSG-2、FW_B四者之间传递,因而无论eNodeB发往EPC的流量是到达RSG-1还是RSG-2,RSG都会选择开销小的链路将流量发送至FW_A。当FW_A故障时,双机发生主备倒换,路由开销同步切换,流量依旧按照路由开销小的链路转发,只是此时流量会转发给FW_B,而不是FW_A。

注意事项

  • IPSec配置
    • eNodeB中的隧道地址和业务地址需要使用不同的地址。
    • 如果本场景中不做站点容灾,则FW中配置到eNodeB的隧道路由时,则无需强制使用IPSec反向路由注入功能,采用手工方式配置静态路由也可以。
  • 组网部署

    当前LTE IPSec解决方案中,FW大多数为双机旁路部署,很少使用直路部署,因为旁路部署可以减少对原有网络拓扑的影响。

  • MTU

    由于IPSec加密增加了报文长度,因此部署IPSec网关后需要调整整条路径的MTU,具体调整方式有2种:

    • 减小EPC侧和eNodeB侧MTU,而中间其他节点不需要进行调整,此方案的优点是需要调整的设备数量少。
    • 增加中间IPCore、IPRAN和传输节点的MTU,此方案的优点是传输效率高,每报文IPSec头占报文总长小。

      传输效率=1–IPSec头/报文长度,IPSec头的长度是固定的,报文长度越大,传输效率越高。选择何种MTU调整方式,取决于现网的运行环境。

      IPSec封装后的报文长度如下图所示。

AES + MD5/SHA1: 20 (New IPHeader) + 4 (SPI) + 4 (SeqNum) + 16 (IV) + 16 (ESP Auth) + 2~17 (Padding) = 62~77 Byte

对于不同的完整性验证算法,ESP Auth长度是不同的,以上计算结果是基于SHA2-256计算,这也是推荐的完整性验证算法。其他几种封装方式下ESP Auth值为: MD5=12,SHA1=12,SHA2-256=16,SHA2-384=24,SHA2-512=32。对于SHA2-384和SHA2-512,由于当前版本与第三方设备对接时会存在问题,因此不建议使用。

因为报文在IP-RAN传输还需要封装2层标签,共8字节。所以,报文在IPSec网关进行加密后,进入IP-RAN以后,报文长度增加到70~85字节(基于SHA2-256计算)。

对于新建IP-RAN和IPCore项目,建议在设计MTU时,考虑多预留100字节,如果后续增加IPSec网关,则不需要再对IP-RAN和IPCore设备进行调整。

  • QoS

    在LTE端到端方案中,当上行报文从IPSec隧道中解封装后,外层报文的DSCP映射到解密后的报文的IP头;当下行报文到达IPSec网关进行IPSec封装时,内层报文的DSCP映射到外层报文,因此本方案中IPSec网关不需要对报文QoS值进行调整。

方案配置

配置接口和安全区域

背景信息

按下图配置接口和安全区域。

图1-7 接口IP及安全区域

操作步骤

  1. 配置FW_A接口IP地址。

    <FW_A> system-view 
    [FW_A] sysname FW_A 
    [FW_A] interface Eth-Trunk 1 
    [FW_A-Eth-Trunk1] quit 
    [FW_A] interface GigabitEthernet 1/0/1 
    [FW_A-GigabitEthernet1/0/1] description eth-trunk1 
    [FW_A-GigabitEthernet1/0/1] Eth-Trunk 1 
    [FW_A] interface GigabitEthernet 1/0/2 
    [FW_A-GigabitEthernet1/0/2] description eth-trunk1 
    [FW_A-GigabitEthernet1/0/2] Eth-Trunk 1 
    [FW_A-GigabitEthernet1/0/2] quit 
    [FW_A] interface Eth-Trunk 2 
    [FW_A-Eth-Trunk2] quit 
    [FW_A] interface GigabitEthernet 1/0/8 
    [FW_A-GigabitEthernet1/0/8] description eth-trunk2 
    [FW_A-GigabitEthernet1/0/8] Eth-Trunk 2 
    [FW_A-GigabitEthernet1/0/8] quit 
    [FW_A] interface GigabitEthernet 1/0/9 
    [FW_A-GigabitEthernet1/0/9] description eth-trunk2 
    [FW_A-GigabitEthernet1/0/9] Eth-Trunk 2 
    [FW_A-GigabitEthernet1/0/9] quit 
    [FW_A] interface Eth-Trunk 1.1 
    [FW_A-Eth-Trunk1.1] ip address 1.1.1.1 30 
    [FW_A-Eth-Trunk1.1] vlan-type dot1q 100 
    [FW_A-Eth-Trunk1.1] quit 
    [FW_A] interface Eth-Trunk 1.2 
    [FW_A-Eth-Trunk1.2] ip address 1.1.2.1 30 
    [FW_A-Eth-Trunk1.2] vlan-type dot1q 200 
    [FW_A-Eth-Trunk1.2] quit 
    [FW_A] interface Eth-Trunk 1.3 
    [FW_A-Eth-Trunk1.3] ip address 1.1.3.1 30 
    [FW_A-Eth-Trunk1.3] vlan-type dot1q 300 
    [FW_A-Eth-Trunk1.3] quit 
    [FW_A] interface Eth-Trunk 1.4 
    [FW_A-Eth-Trunk1.4] ip address 1.1.4.1 30 
    [FW_A-Eth-Trunk1.4] vlan-type dot1q 400 
    [FW_A-Eth-Trunk1.4] quit 
    [FW_A] interface Eth-Trunk 2 
    [FW_A-Eth-Trunk2] ip address 2.1.1.1 30 
    [FW_A-Eth-Trunk2] quit 
    [FW_A] interface Tunnel 1 
    [FW_A-Tunnel1] ip address 3.1.1.1 30 
    [FW_A-Tunnel1] tunnel-protocol ipsec 
    [FW_A-Tunnel1] quit

  2. 将FW_A接口加入安全区域。

    [FW_A] firewall zone trust 
    [FW_A-zone-trust] add interface Eth-Trunk 1.2 
    [FW_A-zone-trust] add interface Eth-Trunk 1.3 
    [FW_A-zone-trust] add interface Eth-Trunk 1.4 
    [FW_A-zone-trust] quit 
    [FW_A] firewall zone untrust 
    [FW_A-zone-untrust] add interface Eth-Trunk 1.1 
    [FW_A-zone-untrust] add interface Tunnel 1 
    [FW_A-zone-untrust] quit 
    [FW_A] firewall zone dmz 
    [FW_A-zone-dmz] add interface Eth-Trunk 2 
    [FW_A-zone-dmz] quit

  3. 参考上述步骤配置FW_B的接口IP和安全区域,不同之处是接口IP不同。

配置双机热备

背景信息

按照下图进行双机配置。

图1-8 双机热备组网

操作步骤

  1. 配置双机热备。

    # 在FW_A上配置双机热备功能。

    1. 配置VGMP组监控Eth-Trunk1接口。
      [FW_A] hrp track interface Eth-Trunk 1
    2. 启用根据VGMP组状态调整OSPF的Cost值功能。
      [FW_A] hrp adjust ospf-cost enable
    3. 指定Eth-Trunk2口为心跳接口,启用双机热备。
      [FW_A] hrp interface Eth-Trunk 2 remote 2.1.1.2 
      HRP_M[FW_A] hrp enable

    # 在FW_B上配置双机热备功能。

    1. 配置VGMP组监控Eth-Trunk1业务接口。
      [FW_B] hrp track interface Eth-Trunk 1
    2. 指定FW_B为备用设备。
      [FW_B] hrp standby-device
    3. 启用根据VGMP组状态调整OSPF的Cost值功能。
      [FW_B] hrp adjust ospf-cost enable
    4. 指定Eth-Trunk2为心跳接口,启用双机热备。
      [FW_B] hrp interface Eth-Trunk 2 remote 2.1.1.1 
      HRP_S[FW_B] hrp enable

  2. 配置OSPF。

    # 在FW_A上配置OSPF。

    HRP_M[FW_A] router id 1.1.1.1 
    HRP_M[FW_A] ospf 1 
    HRP_M[FW_A-ospf-1] area 1.1.1.1 
    HRP_M[FW_A-ospf-1-area-1.1.1.1] network 1.1.1.1 0.0.0.3 
    HRP_M[FW_A-ospf-1-area-1.1.1.1] network 3.1.1.1 0.0.0.3 
    HRP_M[FW_A-ospf-1-area-1.1.1.1] quit 
    HRP_M[FW_A-ospf-1] quit

    # 在FW_B上配置OSPF。

    HRP_S[FW_A] router id 5.5.5.1 
    HRP_S[FW_A] ospf 1 
    HRP_S[FW_A-ospf-1] area 1.1.1.1 
    HRP_S[FW_A-ospf-1-area-1.1.1.1] network 5.1.1.1 0.0.0.3 
    HRP_S[FW_A-ospf-1-area-1.1.1.1] network 3.1.1.1 0.0.0.3 
    HRP_S[FW_A-ospf-1-area-1.1.1.1] quit 
    HRP_S[FW_A-ospf-1] quit

配置IPSec

操作步骤

  1. 配置FW_A。

    1. 使用SCEP协议为FW_A在线申请证书。
      1. 创建一个2048位的RSA密钥对rsa_scep,并设置为可以从设备上导出。
        HRP_M[FW_A] pki rsa local-key-pair create rsa_scep exportable 
         Info: The name of the new RSA key will be: rsa_scep                             
         The size of the public key ranges from 2048 to 4096.                             
         Input the bits in the modules:2048                            
         Generating keys...                                                              
        ......++++++                                                                     
        .....................................++++++                                          
      2. 配置实体信息。
        HRP_M[FW_A] pki entity ngfwa 
        HRP_M[FW_A-pki-entity-ngfwa] common-name hello 
        HRP_M[FW_A-pki-entity-ngfwa] country cn 
        HRP_M[FW_A-pki-entity-ngfwa] email test@user.com 
        HRP_M[FW_A-pki-entity-ngfwa] fqdn test.abc.com 
        HRP_M[FW_A-pki-entity-ngfwa] ip-address 3.1.1.1 
        HRP_M[FW_A-pki-entity-ngfwa] state jiangsu 
        HRP_M[FW_A-pki-entity-ngfwa] organization huawei 
        HRP_M[FW_A-pki-entity-ngfwa] organization-unit info 
        HRP_M[FW_A-pki-entity-ngfwa] quit
      3. 使用SCEP协议在线申请及更新证书。
        说明:

        CA证书的指纹信息从CA服务器上获取,此处假设CA服务器采用挑战密码(Challenge Password)方式处理证书申请,挑战密码为“6AE73F21E6D3571D”。挑战密码与指纹获取的URL为http://9.1.2.4:80/certsrv/mscep_admin。假设CA证书的指纹信息为sha1方式的7A34D94624B1C1BCBF6D763C4A67035D5B578EAF、申请证书的URL为http://9.1.2.4:80/certsrv/mscep/mscep.dll。

        HRP_M[FW_A] pki realm abc 
        #.配置信任的CA。 
        HRP_M[FW_A-pki-realm-abc] ca id ca_root 
        #.绑定的实体。 
        HRP_M[FW_A-pki-realm-abc] entity ngfwa 
        #.配置CA证书指纹,举例中假设为“7A34D94624B1C1BCBF6D763C4A67035D5B578EAF”。 
        HRP_M[FW_A-pki-realm-abc] fingerprint sha1 7A34D94624B1C1BCBF6D763C4A67035D5B578EAF 
        #.配置注册证书的URL,指定从CA申请证书。 
        HRP_M[FW_A-pki-realm-abc] enrollment-url http://9.1.2.4:80/certsrv/mscep/mscep.dll ra 
        # 指定申请证书使用的RSA密钥对。 
        HRP_M[FW_A-pki-realm-abc] rsa local-key-pair rsa_scep 
        #.指定挑战密码,举例中假设挑战密码为“6AE73F21E6D3571D”。 
        HRP_M[FW_A-pki-realm-abc] password ciper 6AE73F21E6D3571D 
        HRP_M[FW_A-pki-realm-abc] quit

        获取到的CA、RA、本地证书将会分别被命名为ngfwa_ca.cer、ngfw_ra.cer和ngfwa_local.cer保存在CF卡中。

      4. 安装证书。

        # 导入CA/RA证书到内存。

        HRP_M[FW_A] pki import-certificate ca filename ngfwa_ca.cer 
        HRP_M[FW_A] pki import-certificate ca filename ngfw_ra.cer

        # 导入本地证书到内存。

        HRP_M[FW_A] pki import-certificate local filename ngfwa_local.cer
    2. 在FW_A上配置IPSec策略,并在接口上应用此IPSec策略。
      1. 定义被保护的数据流。
        说明:

        现网环境中可能存在成百上千台eNodeB设备,在配置ACL的rule时,destination网段要包含所有eNodeB的Service IP,保证EPC返回给eNodeB的UP和CP流量都能进入IPSec隧道传输。本例中只以两个eNodeB的配置进行说明。

        HRP_M[FW_A] acl 3000 
        HRP_M[FW_A-acl-adv-3000] rule permit ip source 8.1.1.0 0.0.0.255 destination 6.1.0.0 0.0.255.255 
        HRP_M[FW_A-acl-adv-3000] rule permit ip source 8.1.1.0 0.0.0.255 destination 7.1.0.0 0.0.255.255 
        HRP_M[FW_A-acl-adv-3000] quit
      2. 配置IPSec安全提议。
        HRP_M[FW_A] ipsec proposal tran1 
        HRP_M[FW_A-ipsec-proposal-tran1] transform esp 
        HRP_M[FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
        HRP_M[FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes-256 
        HRP_M[FW_A-ipsec-proposal-tran1] encapsulation-mode tunnel 
        HRP_M[FW_A-ipsec-proposal-tran1] quit
      3. 配置IKE安全提议。
        HRP_M[FW_A] ike proposal 10 
        HRP_M[FW_A-ike-proposal-10] authentication-method rsa-signature 
        HRP_M[FW_A-ike-proposal-10] encryption-algorithm aes-256 
        HRP_M[FW_A-ike-proposal-10] dh group2 
        HRP_M[FW_A-ike-proposal-10] integrity-algorithm hmac-sha2-256 
        HRP_M[FW_A-ike-proposal-10] quit
      4. 配置IKE Peer。
        HRP_M[FW_A] ike peer eNodeB 
        HRP_M[FW_A-ike-peer-eNodeB] ike-proposal 10 
        HRP_M[FW_A-ike-peer-eNodeB] local-id-type dn 
        HRP_M[FW_A-ike-peer-eNodeB] remote-id-type dn 
        HRP_M[FW_A-ike-peer-eNodeB] certificate local-filename ngfwa_local.cer 
        HRP_M[FW_A-ike-peer-eNodeB] remote-id /CN=eNodeB //CN=eNodeB是eNodeB设备证书中“主题”字段的取值 
        HRP_M[FW_A-ike-peer-eNodeB] undo version 1 
        HRP_M[FW_A-ike-peer-eNodeB] quit
      5. 配置策略模板policy1,并在IPSec安全策略组map1中引用该策略模板。

        FW使用IPSec动态反向路由注入功能可以自动生成到eNodeB Service IP的路由。当IPSec隧道正常时,路由自动生成;当IPSec隧道故障时,该路由会被自动删除。动态反向路由注入功能将生成的静态路由与IPSec隧道状态相关联,避免了IPSec隧道Down时对等体仍向IPSec隧道发送流量,造成流量的丢失。

        HRP_M[FW_A] ipsec policy-template policy1 1 
        HRP_M[FW_A-ipsec-policy-template-policy1-1] security acl 3000 
        HRP_M[FW_A-ipsec-policy-template-policy1-1] proposal tran1 
        HRP_M[FW_A-ipsec-policy-template-policy1-1] ike-peer eNodeB 
        HRP_M[FW_A-ipsec-policy-template-policy1-1] route inject dynamic 
        HRP_M[FW_A-ipsec-policy-template-policy1-1] quit 
        HRP_M[FW_A] ipsec policy map1 10 isakmp template policy1
      6. 配置到EPC的OSPF动态路由。

        在OSPF2进程中引入IPSec动态反向路由注入中生成的路由,用与指导EPC响应eNodeB的流量转发,路由下一跳指向IPSec隧道的Tunnel接口。

        HRP_M[FW_A] ospf 2 
        HRP_M[FW_A-ospf-2] import-route unr 
        HRP_M[FW_A-ospf-2] area 1.1.1.1 
        HRP_M[FW_A-ospf-2-area-1.1.1.1] network 1.1.2.0 0.0.0.3 
        HRP_M[FW_A-ospf-2-area-1.1.1.1] quit 
        HRP_M[FW_A-ospf-2] area 1.1.2.1 
        HRP_M[FW_A-ospf-2-area-1.1.2.1] network 1.1.3.0 0.0.0.3 
        HRP_M[FW_A-ospf-2-area-1.1.2.1] quit 
        HRP_M[FW_A-ospf-2] area 1.1.3.1 
        HRP_M[FW_A-ospf-2-area-1.1.3.1] network 1.1.4.0 0.0.0.3 
        HRP_M[FW_A-ospf-2-area-1.1.3.1] quit 
        HRP_M[FW_A-ospf-2] quit
      7. 在Tunnel接口上应用安全策略组map1。
        HRP_M[FW_A] interface Tunnel 1 
        HRP_M[FW_A-Tunnel1] ipsec policy map1 
        HRP_M[FW_A-Tunnel1] quit

  2. 配置FW_B。

    说明:

    双机启动后,FW_A除路由配置外,其他配置信息会自动备份到FW_B上,因此FW_B上无需配置。

    在OSPF2进程中引入IPSec动态反向路由注入中生成的路由,用与指导EPC响应eNodeB的流量转发,路由下一跳指向IPSec隧道的Tunnel接口。

    HRP_M[FW_B] ospf 2 
    HRP_M[FW_B-ospf-2] import-route unr 
    HRP_M[FW_B-ospf-2] area 1.1.1.1 
    HRP_M[FW_B-ospf-2-area-1.1.1.1] network 5.1.2.0 0.0.0.3 
    HRP_M[FW_B-ospf-2-area-1.1.1.1] quit 
    HRP_M[FW_B-ospf-2] area 1.1.2.1 
    HRP_M[FW_B-ospf-2-area-1.1.2.1] network 5.1.3.0 0.0.0.3 
    HRP_M[FW_B-ospf-2-area-1.1.2.1] quit 
    HRP_M[FW_B-ospf-2] area 1.1.3.1 
    HRP_M[FW_B-ospf-2-area-1.1.3.1] network 5.1.4.0 0.0.0.3 
    HRP_M[FW_B-ospf-2-area-1.1.3.1] quit 
    HRP_M[FW_B-ospf-2] quit

配置安全策略

操作步骤

  1. 配置安全策略。

    1. 配置Trust、Untrust与Local域的安全策略,允许OSPF报文能够通过FW_A。
      HRP_M[FW_A] security-policy 
      HRP_M[FW_A-policy-security] rule name 1 
      HRP_M[FW_A-policy-security-rule-1] source-zone trust 
      HRP_M[FW_A-policy-security-rule-1] source-zone untrust 
      HRP_M[FW_A-policy-security-rule-1] destination-zone local 
      HRP_M[FW_A-policy-security-rule-1] service ospf 
      HRP_M[FW_A-policy-security-rule-1] action permit 
      HRP_M[FW_A-policy-security-rule-1] quit 
      HRP_M[FW_A-policy-security] rule name 2 
      HRP_M[FW_A-policy-security-rule-2] source-zone local 
      HRP_M[FW_A-policy-security-rule-2] destination-zone trust 
      HRP_M[FW_A-policy-security-rule-2] destination-zone untrust 
      HRP_M[FW_A-policy-security-rule-2] service ospf 
      HRP_M[FW_A-policy-security-rule-2] action permit 
      HRP_M[FW_A-policy-security-rule-2] quit
    2. 配置Untrust域与Local域的安全策略,允许IPSec协商报文能够通过FW_A。
      HRP_M[FW_A] security-policy 
      HRP_M[FW_A-policy-security] rule name 3 
      HRP_M[FW_A-policy-security-rule-3] source-zone local 
      HRP_M[FW_A-policy-security-rule-3] destination-zone untrust 
      HRP_M[FW_A-policy-security-rule-3] source-address 3.1.1.1 32 
      HRP_M[FW_A-policy-security-rule-3] destination-address 6.1.1.1 30 
      HRP_M[FW_A-policy-security-rule-3] destination-address 7.1.1.1 30 
      HRP_M[FW_A-policy-security-rule-3] action permit 
      HRP_M[FW_A-policy-security-rule-3] quit 
      HRP_M[FW_A-policy-security] rule name 4 
      HRP_M[FW_A-policy-security-rule-4] source-zone untrust 
      HRP_M[FW_A-policy-security-rule-4] destination-zone local 
      HRP_M[FW_A-policy-security-rule-4] source-address 6.1.1.1 30 
      HRP_M[FW_A-policy-security-rule-4] source-address 7.1.1.1 30 
      HRP_M[FW_A-policy-security-rule-4] destination-address 3.1.1.1 32 
      HRP_M[FW_A-policy-security-rule-4] action permit 
      HRP_M[FW_A-policy-security-rule-4] quit
    3. 配置Untrust域与Trust域的安全策略,允许解封装后的IPSec流量能够通过FW_A。
      HRP_M[FW_A] security-policy 
      HRP_M[FW_A-policy-security] rule name 5 
      HRP_M[FW_A-policy-security-rule-5] source-zone untrust 
      HRP_M[FW_A-policy-security-rule-5] destination-zone trust 
      HRP_M[FW_A-policy-security-rule-5] source-address 6.1.0.0 16 
      HRP_M[FW_A-policy-security-rule-5] source-address 7.1.0.0 16 
      HRP_M[FW_A-policy-security-rule-5] destination-address 8.1.1.1 30 
      HRP_M[FW_A-policy-security-rule-5] action permit 
      HRP_M[FW_A-policy-security-rule-5] quit 
      HRP_M[FW_A-policy-security] rule name 6 
      HRP_M[FW_A-policy-security-rule-6] source-zone trust 
      HRP_M[FW_A-policy-security-rule-6] destination-zone untrust 
      HRP_M[FW_A-policy-security-rule-6] source-address 8.1.1.1 30 
      HRP_M[FW_A-policy-security-rule-6] destination-address 6.1.0.0 16 
      HRP_M[FW_A-policy-security-rule-6] destination-address 7.1.0.0 16 
      HRP_M[FW_A-policy-security-rule-6] action permit 
      HRP_M[FW_A-policy-security-rule-6] quit

配置与服务器对接

操作步骤

  1. 配置与NTP Server对接。

    HRP_M[FW_A] ntp-service unicast-server 9.1.1.2

  2. 配置与Log Server对接。

    HRP_M[FW_A] log type traffic enable 
    HRP_M[FW_A] firewall log host 1 9.1.1.3 9002

结果验证

  1. 配置完成后,eNodeB与FW_AIPSec隧道建立OK,并且可以访问MME和S-GW。
  2. 在FW_A上查看IKE SA的建立情况。
    <FW_A> display ike sa       
    Spu board slot 1, cpu 0 ike sa information :   
        Conn-ID      Peer           VPN   Flag(s)                Phase
      ---------------------------------------------------------------  
        16792025    6.1.1.1               RD|ST|M                v2:2
        16792024    6.1.1.1               RD|ST|M                v2:1
        83887864    7.1.1.1               RD|ST|M                v2:2 
        83887652    7.1.1.1               RD|ST|M                v2:1
          
      Number of SA entries  : 4  
             
      Number of SA entries of all cpu : 4
  3. 在FW_A上查看IPSec SA的建立情况。
    <FW_A> display ipsec sa brief 
    Current ipsec sa num:4 
     
     Spu board slot 1, cpu 1 ipsec sa information: 
    Number of SAs:2       
        Src address   Dst address     SPI      VPN  Protocol     Algorithm 
    -------------------------------------------------------------------------------  
         3.1.1.1        6.1.1.1    3923280450        ESP       E:AES-256 A:SHA2-256-128 
         6.1.1.1        3.1.1.1    787858613         ESP       E:AES-256 A:SHA2-256-128 
         3.1.1.1        7.1.1.1    3923280452        ESP       E:AES-256 A:SHA2-256-128 
         7.1.1.1        3.1.1.1    787858611         ESP       E:AES-256 A:SHA2-256-128
  4. 在FW_A上执行display hrp state命令,检查当前HRP的状态。
    HRP_M[FW_A] display hrp state 
     Role: active, peer: active    
     Running priority: 49012, peer: 49012     
     Backup channel usage: 3%    
     Stable time: 0 days, 5 hours, 1 minutes 

配置脚本

FW_A

FW_B

#

sysname FW_A

#

hrp enable

hrp interface Eth-Trunk 2 remote 2.1.1.2

hrp track interface Eth-Trunk 1

hrp adjust ospf-cost enable

#

pki entity ngfwa

country CN

state jiangsu

organization huawei

organization-unit info

common-name hello

fqdn test.abc.com

ip-address 3.1.1.1

email test@user.com

#

pki realm abc

ca id ca_root

enrollment-url http://9.1.2.4:80/certsrv/mscep/mscep.dll ra

entity ngfwa

fingerprint sha1 7a34d94624b1c1bcbf6d763c4a67035d5b578eaf

rsa local-key-pair rsa_scep

#

pki import-certificate ca filename ngfwa_ca.cer

pki import-certificate ca filename ngfw_ra.cer

pki import-certificate local filename ngfwa_local.cer

#

acl number 3000

rule 5 permit ip source 8.1.1.0 0.0.0.255 destination 6.1.0.0 0.0.255.255

rule 10 permit ip source 8.1.1.0 0.0.0.255 destination 7.1.0.0 0.0.255.255

#

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

#

ike proposal 10

encryption-algorithm aes-256

dh group2

authentication-algorithm sha2-256

authentication-method rsa-signature

integrity-algorithm hmac-sha2-256

prf hmac-sha2-256

#

ike peer eNodeB

undo version 1

ike-proposal 10

local-id-type dn

remote-id-type dn

remote-id /CN=eNodeB

certificate local-filename ngfwa_local.cer

#

ipsec policy-template policy1 1

security acl 3000

ike-peer eNodeB

proposal tran1

route inject dynamic

#

ipsec policy map1 10 isakmp template policy1

#

interface Eth-Trunk 1

#

interface GigabitEthernet 1/0/1

description eth-trunk1

Eth-Trunk 1

#

interface GigabitEthernet 1/0/2

description eth-trunk1

Eth-Trunk 1

#

interface Eth-Trunk 2

ip address 2.1.1.1 255.255.255.252

#

interface GigabitEthernet 1/0/8

description eth-trunk2

Eth-Trunk 2

#

interface GigabitEthernet 1/0/9

description eth-trunk2

Eth-Trunk 2

#

interface Eth-Trunk 1.1

vlan-type dot1q 100

ip address 1.1.1.1 255.255.255.252

#

interface Eth-Trunk 1.2

vlan-type dot1q 200

ip address 1.1.2.1 255.255.255.252

#

interface Eth-Trunk 1.3

vlan-type dot1q 300

ip address 1.1.3.1 255.255.255.252

#

interface Eth-Trunk 1.4

vlan-type dot1q 400

ip address 1.1.4.1 255.255.255.252

#

interface Tunnel 1

ip address 3.1.1.1 255.255.255.252

tunnel-protocol ipsec

ipsec policy map1

#

router id 1.1.1.1

#

ospf 1

area 1.1.1.1

network 1.1.1.0 0.0.0.3

network 3.1.1.0 0.0.0.3

#

ospf 2

import-route unr

area 1.1.1.1

network 1.1.2.0 0.0.0.3

area 1.1.2.1

network 1.1.3.0 0.0.0.3

area 1.1.3.1

network 1.1.4.0 0.0.0.3

#

ntp-service unicast-server 9.1.1.2

#

log type traffic enable

firewall log host 1 9.1.1.3 9002

#

info-center enable

snmp-agent

snmp-agent sys-info version v2c

snmp-agent target-host inform address udp-domain 9.1.1.1 params securitynam e private@123 v2c

#

firewall zone trust

set priority 85

add interface Eth-Trunk1.2

add interface Eth-Trunk1.3

add interface Eth-Trunk1.4

#

firewall zone untrust

set priority 85

add interface Eth-Trunk1.1

add interface Tunnel1

#

firewall zone dmz

set priority 50

add interface Eth-Trunk2

#

security-policy

rule name 1

source-zone trust

source-zone untrust

destination-zone local

service ospf

action permit

rule name 2

source-zone local

destination-zone trust

destination-zone untrust

service ospf

action permit

rule name 3

source-zone local

destination-zone untrust

source-address 3.1.1.1 32

destination-address 6.1.1.1 30

destination-address 7.1.1.1 30

action permit

rule name 4

source-zone untrust

destination-zone local

source-address 6.1.1.1 30

source-address 7.1.1.1 30

destination-address 3.1.1.1 32

action permit

rule name 5

source-zone untrust

destination-zone trust

source-address 6.1.0.0 16

source-address 7.1.0.0 16

destination-address 8.1.1.1 30

action permit

rule name 6

source-zone trust

destination-zone untrust

source-address 8.1.1.1 30

destination-address 6.1.0.0 16

destination-address 7.1.0.0 16

action permit

#

return

#

sysname FW_B

#

hrp enable

hrp interface Eth-Trunk 2 remote 2.1.1.1

hrp track interface Eth-Trunk 1

hrp standby-device

hrp adjust ospf-cost enable

#

pki entity ngfwa

country CN

state jiangsu

organization huawei

organization huaweiorganization-unit info

common-name hello

fqdn test.abc.com

ip-address 3.1.1.1

email test@user.com

#

pki realm abc

ca id ca_root

enrollment-url http://9.1.2.4:80/certsrv/mscep/mscep.dll ra

entity ngfwa

fingerprint sha1 7a34d94624b1c1bcbf6d763c4a67035d5b578eaf

rsa local-key-pair rsa_scep

#

pki import-certificate ca filename ngfwa_ca.cer

pki import-certificate ca filename ngfw_ra.cer

pki import-certificate local filename ngfwa_local.cer

#

acl number 3000

rule 5 permit ip source 8.1.1.0 0.0.0.255 destination 6.1.0.0 0.0.255.255

rule 10 permit ip source 8.1.1.0 0.0.0.255 destination 7.1.0.0 0.0.255.255

#

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

#

ike proposal 10

encryption-algorithm aes-256

dh group2

authentication-algorithm sha2-256

authentication-method rsa-signature

integrity-algorithm hmac-sha2-256

prf hmac-sha2-256

#

ike peer eNodeB

undo version 1

ike-proposal 10

local-id-type dn

remote-id-type dn

remote-id /CN=eNodeB

certificate local-filename ngfwa_local.cer

#

ipsec policy-template policy1 1

security acl 3000

ike-peer eNodeB

proposal tran1

route inject dynamic

#

ipsec policy map1 10 isakmp template policy1

#

interface Eth-Trunk 1

#

interface GigabitEthernet 1/0/1

description eth-trunk1

Eth-Trunk 1

#

interface GigabitEthernet 1/0/2

description eth-trunk1

Eth-Trunk 1

#

interface Eth-Trunk 2

ip address 2.1.1.2 255.255.255.252

#

interface GigabitEthernet 1/0/8

description eth-trunk2

Eth-Trunk 2

#

interface GigabitEthernet 1/0/9

description eth-trunk2

Eth-Trunk 2

#

interface Eth-Trunk 1.1

vlan-type dot1q 1

ip address 5.1.1.1 255.255.255.252

#

interface Eth-Trunk 1.2

vlan-type dot1q 2

ip address 5.1.2.1 255.255.255.252

#

interface Eth-Trunk 1.3

vlan-type dot1q 3

ip address 5.1.3.1 255.255.255.252

#

interface Eth-Trunk 1.4

vlan-type dot1q 4

ip address 5.1.4.1 255.255.255.252

#

interface Tunnel 1

ip address 3.1.1.1 255.255.255.252

tunnel-protocol ipsec

ipsec policy map1

#

router id 5.1.1.1

#

ospf 1

area 1.1.1.1

network 5.1.1.0 0.0.0.3

network 3.1.1.0 0.0.0.3

#

ospf 2

import-route unr

area 1.1.1.1

network 5.1.2.0 0.0.0.3

area 1.1.2.1

network 5.1.3.0 0.0.0.3

area 1.1.3.1

network 5.1.4.0 0.0.0.3

#

ntp-service unicast-server 9.1.1.2

#

log type traffic enable

firewall log host 1 9.1.1.3 9002

#

info-center enable

snmp-agent

snmp-agent sys-info version v2c

snmp-agent target-host inform address udp-domain 9.1.1.1 params securitynam e private@123 v2c

#

firewall zone trust

set priority 85

add interface Eth-Trunk1.2

add interface Eth-Trunk1.3

add interface Eth-Trunk1.4

#

firewall zone untrust

set priority 85

add interface Eth-Trunk1.1

add interface Tunnel1

#

firewall zone dmz

set priority 50

add interface Eth-Trunk2

#

security-policy

rule name 1

source-zone trust

source-zone untrust

destination-zone local

service ospf

action permit

rule name 2

source-zone local

destination-zone trust

destination-zone untrust

service ospf

action permit

rule name 3

source-zone local

destination-zone untrust

source-address 3.1.1.1 32

destination-address 6.1.1.1 30

destination-address 7.1.1.1 30

action permit

rule name 4

source-zone untrust

destination-zone local

source-address 6.1.1.1 30

source-address 7.1.1.1 30

destination-address 3.1.1.1 32

action permit

rule name 5

source-zone untrust

destination-zone trust

source-address 6.1.0.0 16

source-address 7.1.0.0 16

destination-address 8.1.1.1 30

action permit

rule name 6

source-zone trust

destination-zone untrust

source-address 8.1.1.1 30

destination-address 6.1.0.0 16

destination-address 7.1.0.0 16

action permit

#

return

可靠性方案

为了应对可能出现的一些故障,LTE中会针对关键区域提供容灾方案,下面根据对不同位置的容灾方案,说明其设计原理。

MME、S-GW和RSG间链路故障的容灾方案

图1-9所示,假设当RSG-1与S-GW间的链路出现故障时,从FW_A发往S-GW的流量就不能从该链路走,而是要绕道到RSG-2再到达S-GW。通过将Eth Trunk2.3和Eth Trunk2.2加入到OSPF2进程,就可以保证RSG-1与S-GW间的链路出现故障时,引发OSPF2进程的路由开销发生变化,从而引导解封装后的IPSec流量经RSG-2转发。

图1-9 MME、S-GW和RSG间链路故障的容灾方案

AGG和RSG间链路故障的容灾方案

图1-10所示,假设当AGG-1与RSG-1间的链路出现故障时,IP-RAN区域中的路由开销发生变化,从eNodeB发往FW_A的IPSec流量就不会从该链路走,而是绕道AGG-2到达RSG-2。由于Eth Trunk2.1被加入到OSPF1进程中,所以IPSec流量到达RSG-2,就会由RSG-2转发至RSG-1再到FW_A。这里RSG-2到FW_B(备机)的路由开销比RSG-2到FW_A(主机)的路由开销大,所以不用担心IPSec流量会由RSG-2转发到FW_B上去。

图1-10 AGG和RSG间链路故障的容灾方案

IPSec网关异地容灾方案

为了抵御地震、海啸、台风等不可抗力的自然灾害,保证通信网络能够正常运转,通常在规划网络时会考虑异地容灾方案。如图1-11所示,Remote site站点中的IPSec网关与本地站点的IPSec网关形成异地备份。假如现在本地站点受到某灾害影响,其FW_A和FW_B两台IPSec网关都出现了故障,EPC区域暂未受影响。eNodeB发出的IPSec流量就需要转发给远端站点中的IPSec网关处理,远端IPSec网关将IPSec流量解封装以后,再通过RSG设备转发至本站点EPC区域中的MME和S-GW设备。为了实现流量按照预期线路转发,则需要将本地站点的IPSec网关、RSG、远端站点的IPSec网关加入到指定的路由进程,实现路由互通,使得本地站点IPSec网关故障时,确保IPSec流量能够发往远端站点的IPSec网关。并且,要建立本地站点EPC区域的路由与远端站点IPSec网关路由互通,使解密后的流量能够转发到本地站点的EPC区域。

图1-11 IPSec网关异地容灾方案

翻译
下载文档
更新时间:2019-06-17

文档编号:EDOC1100087927

浏览量:1121

下载量:192

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页