11
2024
04
15:22:43

华为防火墙 VPN对接配置指南

https://support.huawei.com/enterprise/zh/doc/EDOC1000154804/bf49a1f5



配置华为防火墙与基站采用预共享密钥方式建立IPSec隧道

关于本章

组网需求

图2-61所示。现企业需要在基站和华为防火墙之间建立IPSec隧道,实现对业务流的安全传输。

图2-61 配置基站与华为防火墙对接组网图

配置项

基站

华为防火墙

IPSec安全提议

封装模式

隧道模式

隧道模式

安全协议

ESP

ESP

ESP协议验证算法

SHA2-256

SHA2-256

ESP协议加密算法

AES-256

AES-256

IKE安全提议

认证方法

预共享密钥

预共享密钥

加密算法

AES-256

AES-256

认证算法

SHA2-256

SHA2-256

DH组

Group14

Group14

IKE对等体

IKE版本

V2

V2

预共享密钥

YsHsjx_202206

YsHsjx_202206

身份类型

IP

IP

IPSec隧道建立的触发方式

自动触发

自动触发

配置思路

  1. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

    防火墙还需要配置接口加入安全区域、域间安全策略。

  2. 配置ACL,以定义需要IPSec保护的数据流。

  3. 配置IPSec安全提议,定义IPSec的保护方法。

  4. 配置IKE安全提议,定义IKE协商的参数。

  5. 配置IKE对等体,定义对等体间IKE协商时的属性。

  6. 配置IPSec安全策略,确定对何种数据流采取何种保护方法。

  7. 在接口上应用IPSec安全策略,使接口具有IPSec的保护功能。

配置注意事项

  • 如果两端使用缺省参数协商建立IPSec隧道,必须确保两端的缺省值都一样,否则将会导致IPSec隧道建立失败。如果对双方的缺省值不清楚,建议手工进行配置。

  • MD5、SHA-1、DES和3DES算法存在安全隐患,请谨慎使用。

  • 使用Ping方式检测连通性,需要在防火墙接口视图下执行命令service-manage ping permit将沿途所有防火墙接口的Ping服务设置为允许。

操作步骤

  • 配置基站

    1. 设置基站全局传输参数

      SET GTRANSPARA: TRANSCFGMODE=NEW;
    2. 配置接口。

      ADD INTERFACE: ITFID=4, ITFTYPE=VLAN, PT=ETH, PORTID=0, VLANID=630, IPV6SW=DISABLE; ADD IPADDR4: ITFID=4, IP="10.1.1.1", MASK="255.255.255.0";
    3. 配置基站到防火墙的路由。推荐本站淘宝优惠价购买喜欢的宝贝:

      image.png

      本文链接:https://hqyman.cn/post/5754.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

      分享到:
      打赏





      休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: