一、设备信息
总部节点路由器出口链路配置固定公网IP地址,分支节点防火墙在内网配置私网IP地址,穿越NAT建立VPN连接,总部节点与分支节点的内网。
总部节点:
设备型号:ER3200G3
软件版本:Release 0126
业务地址段:192.168.55.0/24
分支节点:
设备型号:F100-E-G2
软件版本:version: 7.1.064, Release 9360P27
业务地址段:192.168.2.0/24
配置设备前提如果网络中存在防火墙,需要先放行ipsec的流量,UDP500与UDP4500端口;
1、Q:IPsec协商产提示第一阶段 SA无法建立,Reason: No available proposal. 推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5791.html 非本站原创文章欢迎转载,原创文章需保留本站地址! 休息一下~~; margin: 12px 0px; font-size: 18px; border-bottom: 0px solid rgb(18, 180, 240); padding: 5px 12px; background-color: rgb(246, 246, 246); border-left: 5px solid rgb(36, 180, 240); text-align: justify; text-wrap: wrap;)
1、总部ER3200G3路由器配置
2、分支F100-E-G2防火墙配置
; margin: 20px 0px; font-size: 15px; padding: 0px; text-align: justify; text-wrap: wrap; background-color: rgb(255, 255, 255);)
ipsec logging negotiation enable#ipsec transform-set xmcl_IPv4_1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
#ipsec policy xmcl 1 isakmp
transform-set xmcl_IPv4_1
security acl name IPsec_xmcl_IPv4_1
remote-address 182.45.191.219
ike-profile xmcl_IPv4_1
sa trigger-mode auto#
ike logging negotiation enable#ike profile xmcl_IPv4_1
keychain xmcl_IPv4_1
dpd interval 10 retry 30 on-demand local-identity address 192.168.2.1
match remote identity address 182.45.191.218 255.255.255.255
match local address GigabitEthernet1/0/15
proposal 1 #ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm md5#ike keychain xmcl_IPv4_1
match local address GigabitEthernet1/0/15
pre-shared-key address 182.45.111.111 255.255.255.255 key cipher $c$3$xuYszEUda7tQxxxx9QP1z8bvxdAlSRgazsC18g==#
三、IPsec相关参数解释
名称 功能描述 接口 报文的来源接口,即规则对从某一接口收到的数据包进行控制。配置该参数时,此接口需要与对端设备路由可达。 组网方式 IPsec VPN网络的组建方式,主要分为:
· 分支节点:设备作为分支节点,与中心节点建立IPsec隧道。
· 中心节点:设备作为中心节点,与分支节点建立IPsec隧道。认证方式 IPsec隧道的认证方式。此参数目前仅支持预共享密钥。 预共享密钥 IPsec隧道的认证密码。配置该参数时,需输入与对端设备相同的预共享密钥,该密钥需要提前进行协商和通告。 IKE版本 Internet密钥交换协议的版本,主要分为:
· 若对端节点使用的IKE版本为V1,则本端选择“V1”。
· 若对端节点使用的IKE版本为V2,则本端选择“V2”。协商模式 对等体的协商模式。主要分为:
· 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。
· 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。
若设备公网IP地址是动态分配的,建议选择IKE协商模式为野蛮模式。本端身份类型 IKE认证的本端设备身份类型和身份标识。主要分为:
· 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。缺省使用设备出接口IP地址。
· 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称。
· 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称。对等体存活检测(DPD) 是否开启对等体存活检测(DPD)功能,若开启该功能,设备将检测隧道对端是否存活,拆除对端失活的IPsec隧道。配置该参数时,需配置:
· 探测时间:每隔一个探测时间,设备将进行一次存活检测。单位为秒。
· 超时时间:超过该时间阈值,设备检测不到对端,则认定对端失活。单位为秒。算法组合(IKE) IKE协议交互所需的加密和认证算法,设置方式有两种:
· 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致
· 自定义:用户自定义的IKE的算法,选项包括:
¡ 认证算法:IKE的认证算法。IPsec隧道的两端所配置的认证算法需保持一致。
¡ 加密方式:IKE的加密算法。IPsec隧道的两端所配置的加密算法需保持一致。
· PFS:指一个密钥被破解,并不影响其他密钥的安全特性。IPsec隧道的两端所配置的PFS算法需保持一致。SA生存时间 IKE重新协商的时间间隔,即超过该时间间隔将触发IKE相关参数的重新协商 算法组合(IPSEC配置) IPsec隧道的加密和认证算法,设置方式有两种:
· 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致
· 自定义:用户自定义的IKE的算法,主要分为:
安全协议:对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。IPsec隧道的两端所配置的安全协议需保持一致。
ESP认证算法:ESP的认证算法。IPsec隧道的两端所配置的ESP认证算法需保持一致。
ESP加密算法:ESP的加密算法。IPsec隧道的两端所配置的ESP加密算法需保持一致。封装模式 IPsec隧道的封装模式,主要分为:
· 传输模式:适用于主机与主机之间建立隧道。
· 隧道模式:适用于网关和网关之间 建立隧道。
若IPsec本端受保护网段与对端受保护网段均为私网网段,建议选择封装模式为隧道模式。IPsec隧道的两端所配置的封装模式必须一致。PFS IPsec隧道的PFS算法。如果本端配置了PFS特性,则发起协商的对端也必须配置PFS特性,而且本端和对端指定的DH组必须一致,否则协商会失败 基于时间的SA生存时间 触发IPsec重新协商的时间间隔,即超过所配时间将触发IPsec相关参数的重新协商。 基于流量的生存时间 触发IPsec重新协商的流量大小,即超过所配流量将触发IPsec相关参数的重新协商。 触发模式 触发IPsec重新协商的模式,主要分为:
· 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立。
· 长连触发:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发。四、FAQ
%Apr 3 16:55:50:962 2023 H3C IKE/6/IKE_1_SA_ESTABLISH-FAIL: -Context=1: Failed to establish ohase 1 SA in Aggressiv mode IKE_P1_STATE INIT stateReason: No available proposal.|A:检查本端身份认证类型IP是否为接入IP地址;
微信支付宝扫一扫,打赏作者吧~
官码2024000195号
萌ICP备20248119号
