https://support.huawei.com/enterprise/zh/doc/EDOC1000154804/18dabd89
华为防火墙与H3C防火墙IPSec对接基础信息简介
IPSec能力对比
表2-18 IPSec能力对比
IPSec功能 | 华为防火墙 | H3C防火墙 |
|---|---|---|
基于ISAKMP方式 | √ | √ |
基于策略模板方式 | √ | √ |
基于虚拟隧道接口方式 | √ | × |
NAT穿越 | √ | √ |
GRE over IPSec | √ | √ |
基于业务方式 | × | √ |
基于手工方式 | √ | √ |
IPSec业务配置主流程对比
图1列出了华为防火墙和H3C防火墙设备IPSec业务配置的主流程,参考该图可以从整体上掌握IPSec业务的配置顺序,有助于理解IPSec业务的配置思路。
图2-23 华为防火墙和H3C防火墙设备IPSec业务配置的主流程
华为防火墙
H3C防火墙
基础配置。
对应基础配置,H3C防火墙中也包括配置接口,配置安全策略,配置路由,配置方法基本相同。
与华为防火墙不同点在于,H3C防火墙中不能将tunnel的模式指定为“ipsec”,故不支持路由方式建立IPSec隧道。
配置ACL。
对应配置ACL,配置方法基本相同。
配置IKE安全提议。
执行ike proposal,进入IKE安全提议视图,配置IKE的加密算法、认证算法、DH。
IKEv1
对应配置IKE安全提议。
执行ike proposal,进入IKE安全提议视图,配置IKE的加密算法、认证算法、DH,同时指定认证方法(dsa-signature 、pre-share、rsa-signature)。
IKEv2
对应配置IKE安全提议、配置IKEv2策略。
执行ikev2 proposal,进入IKE安全提议视图,配置IKE的加密算法、认证算法、DH。
执行ikev2 policy,进入IKE策略视图,指定引用的IKE安全提议。仅采用IKEv2时,需要执行本步骤。
配置IKE Peer。
执行ike peer, 进入IKE对等体视图,配置IKE协商模式、IKE版本、预共享密钥,对端IP地址,引用的IKE安全提议。
每个IKE Peer中只能配置一个预共享密钥。
对应配置IKE keychain、配置IKE Profile。
每个IKE keychain中可以配置多个预共享密钥(分别与对端身份绑定),这样每个与之对接的对端可以使用不同的预共享密钥。
IKEv1
执行ike keychain,进入IKE keychain视图,指定与某一对端协商时使用的预共享密钥。
执行ike Profile,进入IKE Profile视图,配置ike协商模式、对端身份、引用的IKE keychain、IKE安全提议。
IKEv2
执行ikev2 keychain,进入IKE keychain视图,指定与某一对端协商时使用的预共享密钥。
执行ikev2 Profile,进入IKE Profile视图,配置本端、对端身份、认证方式(dsa-signature 、pre-share、rsa-signature等),指定引用的IKE keychain。
配置IPSec安全提议。
对应IPSec安全提议,配置方法基本相同。
配置IPSec策略或模板。
对应配置IPSec策略或模板,配置方法基本相同。
应用策略到接口。
对应应用策略到接口,配置方法基本相同。
IPSec默认值对比
表2-20 华为防火墙和H3C防火墙设备IPSec默认值对比
配置项 | 华为防火墙 | H3C防火墙(IKEv1) | H3C防火墙(IKEv2) |
|---|---|---|---|
IKE安全提议 |
|
|
|
IKE Profile(IKE对等体) |
|
|
|
IPSec安全提议 |
|
| |
IKEv2策略 | - | - | 未引用IKEv2安全提议 |
IKE keychain | - | 默认不存在IKE keychain | 默认不存在IKE keychain |
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4715.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
