Настройка Firewall при использовании алгоритма хэширования MD5 в VRRP

Описание:

При использовании алгоритма хэширования md5 в конфигурации vrrp на интерфейсе, а также включенном на данном интерфейсе Firewall, необходимо в зону self разшение протокола AH.

Решение:

При использовании алгоритма хэширования md5 в конфигурации vrrp, ethernet кадр имеет следующую структуру заголовков:

Virtual Router Redundancy Protocol инкапсулируется в Authentication Header.

Рассмотрим конфигурацию:

• Маршрутизатор Vrrp Backup

security zone untrusted
exit
 
interface gigabitethernet 1/0/1.10
  security-zone untrusted
  ip address 192.0.2.2/24
  vrrp 1
    ip address 192.0.2.1/24
    priority 50
    authentication key ascii-text <password>
    authentication algorithm md5
    enable
  exit
exit
 
 
security zone-pair untrusted self
  rule 1
    action permit
    match protocol ah
    enable
  exit
exit
 
Vrrp Backup# sh vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    Inherit   Sync group ID  
--------------   ---------------------------------   --------   ----------   ------   -------   -------------  
1                192.0.2.1/24                        50         Enabled      Backup   --        --

• Маршрутизатор Vrrp Master

security zone untrusted
exit
 
interface gigabitethernet 1/0/1.10
  security-zone untrusted
  ip address 192.0.2.3/24
  vrrp 1
    ip address 192.0.2.1/24
    authentication key ascii-text <password>
    authentication algorithm md5
    enable
  exit
exit
 
security zone-pair untrusted self
  rule 1
    action permit
    match protocol ah
    enable
  exit
exit
 
Vrrp Master# sh vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    Inherit   Sync group ID  
--------------   ---------------------------------   --------   ----------   ------   -------   -------------  
1                192.0.2.1/24                        100        Enabled      Master   --        --

Предположим если отключить  rule 1(разрешение протокола AH) в security zone-pair untrusted self на Vrrp Backup, то процесс vrrp на маршрутизаторе Vrrp Backup перейдет в статус Master по причине блокировки кадров от  маршрутизатора Vrrp Master с полем  prio 100:

14:22:28.738334 00:00:5e:00:01:01 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 78: (tos 0xc0, ttl 255, id 1242, offset 0, flags [none], proto AH (51), length 64)

    192.0.2.3 > 224.0.0.18: AH(spi=0xc0000203,sumlen=16,seq=0x26e2): vrrp 192.0.2.3 > 224.0.0.18: VRRPv2, Advertisement, vrid 1, prio 100, authtype ah, intvl 1s, length 20, addrs: 192.0.2.1

Вывод syslog сообщений на маршрутизаторе Vrrp Master :

2024-06-10T04:23:23+00:00 %VRRP-I-INSTANCE: VRRP1 Received lower prio advert 50, forcing new election
2024-06-10T04:23:23+00:00 %VRRP-I-INSTANCE: 9 messages suppressed
2024-06-10T04:23:23+00:00 %VRRP-I-IPSEC: VRRP1 IPSEC-AH : Syncing seq_num - Increment seq