https://support.huawei.com/enterprise/zh/doc/EDOC1000154804/bf49a1f5
配置华为防火墙与基站采用预共享密钥方式建立IPSec隧道
关于本章
组网需求
如图2-61所示。现企业需要在基站和华为防火墙之间建立IPSec隧道,实现对业务流的安全传输。
配置项
基站
华为防火墙
IPSec安全提议
封装模式
隧道模式
隧道模式
安全协议
ESP
ESP
ESP协议验证算法
SHA2-256
SHA2-256
ESP协议加密算法
AES-256
AES-256
IKE安全提议
认证方法
预共享密钥
预共享密钥
加密算法
AES-256
AES-256
认证算法
SHA2-256
SHA2-256
DH组
Group14
Group14
IKE对等体
IKE版本
V2
V2
预共享密钥
YsHsjx_202206
YsHsjx_202206
身份类型
IP
IP
IPSec隧道建立的触发方式
自动触发
自动触发
配置思路
配置接口的IP地址和到对端的静态路由,保证两端路由可达。
防火墙还需要配置接口加入安全区域、域间安全策略。
配置ACL,以定义需要IPSec保护的数据流。
配置IPSec安全提议,定义IPSec的保护方法。
配置IKE安全提议,定义IKE协商的参数。
配置IKE对等体,定义对等体间IKE协商时的属性。
配置IPSec安全策略,确定对何种数据流采取何种保护方法。
在接口上应用IPSec安全策略,使接口具有IPSec的保护功能。
配置注意事项
如果两端使用缺省参数协商建立IPSec隧道,必须确保两端的缺省值都一样,否则将会导致IPSec隧道建立失败。如果对双方的缺省值不清楚,建议手工进行配置。
MD5、SHA-1、DES和3DES算法存在安全隐患,请谨慎使用。
使用Ping方式检测连通性,需要在防火墙接口视图下执行命令service-manage ping permit将沿途所有防火墙接口的Ping服务设置为允许。
操作步骤
配置基站
设置基站全局传输参数
SET GTRANSPARA: TRANSCFGMODE=NEW;
配置接口。
ADD INTERFACE: ITFID=4, ITFTYPE=VLAN, PT=ETH, PORTID=0, VLANID=630, IPV6SW=DISABLE; ADD IPADDR4: ITFID=4, IP="10.1.1.1", MASK="255.255.255.0";
配置基站到防火墙的路由。推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5754.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~