16
2024
04
13:13:18

华为防火墙与H3C防火墙以ISAKMP方式建立IPSec隧道

https://support.huawei.com/enterprise/zh/doc/EDOC1000154804/56da2dfa

组网需求

图1所示,华为防火墙和H3C防火墙分别作为总部和分支的企业网关连接Internet。现企业需要在华为防火墙和H3C防火墙之间建立IPSec隧道,实现总部和分支内网安全互通。

由于华为防火墙与H3C防火墙的出口公网地址固定,可以采用策略方式建立IPSec隧道。此方式下,两端都可以主动发起协商建立IPSec隧道。

图2-18 以ISAKMP方式建立IPSec隧道

数据规划

配置项

华为防火墙

H3C防火墙

IKE SA

协商模式

主模式

主模式

加密算法

3des

3des

认证算法

sha1

sha1

预共享密钥

Key@123

Key@123

身份类型

对端地址

对端地址

IKE版本

V1

V1

DH

Group2

Group2

IPSec SA

封装模式

隧道模式

隧道模式

安全协议

ESP

ESP

加密算法

3des

3des

认证算法

sha1

sha1

配置思路

  1. 配置华为防火墙:

    1. 配置接口IP地址,并将接口加入安全区域;

    2. 配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙;

    3. 配置华为防火墙到Internet的缺省路由;

    4. 配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体;

    5. 在接口上应用IPSec策略。

  2. 配置H3C防火墙:

    1. 配置接口的IP地址,并将接口加入安全区域;

    2. 配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙;

    3. 配置H3C防火墙连接到Internet的缺省路由;

    4. 配置IPSec策略,包括定义需要保护的数据流、配置IKE安全提议、配置keychain、配置profile、配置IPSec安全提议;

    5. 在接口上应用IPSec策略。

配置注意事项

  • IPSec的对接关键在于通信双方所设置的参数必须完全一致,配置时两端不要采用默认值(基本不一致),必须按照数据规划表,保持两端参数一致。

  • H3C防火墙中配置profile时,match local address用来指定profile的使用范围,H3C防火墙的配置指导中该命令是可选的,但是跟华为防火墙对接时如果不配置该命令,H3C防火墙则找不到profile适用的接口,因此建议执行该命令,否则隧道协商失败。

  • 华为防火墙缺省情况下,IPSec不支持MD5、SHA1、DES、3DES、DH-GROUP1、DH-GROUP2、DH-GROUP5等弱安全算法,如需使用,需要安装弱安全算法组件包,具体步骤如下:

    1. 请登录华为技术支持网站,在软件下载专区中搜索对应产品和版本,下载product_version_WEAKEA.mod。

    2. 上传模块文件到存储介质中(必须存放在$_install_mod目录下)。

    3. 使用命令install-module product_version_WEAKEA.mod配置在线加载模块文件。

操作步骤

  1. 配置华为防火墙。



    • 华为防火墙发起协商请求时,将根据路由找到出接口,根据安全策略2判断流量是否可以透传,根据ACL判断是否是走IPSec的流量,根据安全策略3判断是否能够发起协商,如果判断结果都为“是”,华为防火墙才能正式发起协商。

    • 华为防火墙接收协商请求时,将根据ACL判断对方的流量是否是受保护流量,根据安全策略4判断是否接受协商,如果判断结果都为“是”,则开始与对方协商,否则将丢弃协商报文。

    1. 配置IKE安全提议,指定加密算法、认证算法、DH。此举例中采用IKEv1,不需要配置完整性算法。

      [HUAWEI] ike proposal 1                                  [HUAWEI-ike-proposal-1] encryption-algorithm 3des         [HUAWEI-ike-proposal-1] authentication-algorithm sha1        [HUAWEI-ike-proposal-1] dh group2                       [HUAWEI-ike-proposal-1] quit
    2. 配置IKE对等体,指定协商模式、IKE版本、预共享密钥,对端IP地址。

      [HUAWEI] ike peer h3c                                           [HUAWEI-ike-peer-h3c] exchange-mode main                                  [HUAWEI-ike-peer-h3c] undo version 2                                     [HUAWEI-ike-peer-h3c] ike-proposal 1                                          [HUAWEI-ike-peer-h3c] pre-shared-key Key@123                   [HUAWEI-ike-peer-h3c] remote-address 2.2.2.2                               [HUAWEI-ike-peer-h3c] quit
    3. 配置untrust和trust之间的安全策略。

      配置策略1,保证分支能够访问总部;配置策略2,保证总部能够访问分支。

      [HUAWEI] security-policy                 [HUAWEI-policy-security] rule name 1               [HUAWEI-policy-security-rule-1] source-zone untrust                 [HUAWEI-policy-security-rule-1] destination-zone trust                      [HUAWEI-policy-security-rule-1] source-address 192.168.0.0 24       [HUAWEI-policy-security-rule-1] destination-address 192.168.10.0 24                 [HUAWEI-policy-security-rule-1] action permit            [HUAWEI-policy-security-rule-1] quit                                                 [HUAWEI-policy-security] rule name 2                                     [HUAWEI-policy-security-rule-2] source-zone trust [HUAWEI-policy-security-rule-2] destination-zone untrust           [HUAWEI-policy-security-rule-2] source-address 192.168.10.0 24    [HUAWEI-policy-security-rule-2] destination-address 192.168.0.0 24        [HUAWEI-policy-security-rule-2] action permit                    [HUAWEI-policy-security-rule-2] quit
    4. 配置local与untrust之间的安全策略。

      配置策略3,保证华为防火墙能够发起IPSec隧道建立请求;配置策略4,保证华为防火墙能够接收IPSec隧道建立请求,源、目的IP地址为两端的出口公网地址。

      [HUAWEI-policy-security] rule name 3                                 [HUAWEI-policy-security-rule-3] source-zone local                    [HUAWEI-policy-security-rule-3] destination-zone untrust                 [HUAWEI-policy-security-rule-3] source-address 1.1.1.1 24                        [HUAWEI-policy-security-rule-3] destination-address 2.2.2.2 24            [HUAWEI-policy-security-rule-3] action permit        [HUAWEI-policy-security-rule-3] quit [HUAWEI-policy-security] rule name 4                           [HUAWEI-policy-security-rule-4] source-zone untrust                             [HUAWEI-policy-security-rule-4] destination-zone local               [HUAWEI-policy-security-rule-4] source-address 2.2.2.2 24                     [HUAWEI-policy-security-rule-4] destination-address 1.1.1.1 24               [HUAWEI-policy-security-rule-4] action permit                         [HUAWEI-policy-security-rule-4] quit
    5. 配置口GE1/0/9接口,并将接口加入untrust安全区域。

      [HUAWEI] interface GigabitEthernet 1/0/9                                             [HUAWEI-GigabitEthernet1/0/9] ip address 1.1.1.1 24              [HUAWEI-GigabitEthernet1/0/9] quit                                                  [HUAWEI] firewall zone untrust                    [HUAWEI-zone-untrust] add interface GigabitEthernet 1/0/9   [HUAWEI-zone-untrust] quit
    6. 配置GE1/0/5接口,并将接口加入trust安全区域。

      [HUAWEI] interface GigabitEthernet 1/0/5            [HUAWEI-GigabitEthernet1/0/5] ip address 192.168.10.1 24         [HUAWEI-GigabitEthernet1/0/5] quit                   [HUAWEI] firewall zone trust                        [HUAWEI-zone-trust] add interface GigabitEthernet 1/0/5              [HUAWEI-zone-trust] quit
    7. 安装WEAKEA特性包。

      <HUAWEI> install feature-software WEAKEA
    8. 配置接口,并将接口加入安全区域。

    9. 配置安全策略。

    10. 配置路由。

      配置连接到Internet的缺省路由,假设下一跳为1.1.1.2。

      [HUAWEI] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
    11. 配置ACL,定义被保护的流量。

      源地址为192.168.10.0/24,目的地址为192.168.0.0/24的报文,需要经过IPSec隧道传输。

      [HUAWEI] acl 3000                           [HUAWEI-acl-adv-3000] rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 [HUAWEI-acl-adv-3000] quit
      [HUAWEI] ipsec proposal tran1                              [HUAWEI-ipsec-proposal-tran1] transform esp                         [HUAWEI-ipsec-proposal-tran1] encapsulation-mode tunnel                   [HUAWEI-ipsec-proposal-tran1] esp encryption-algorithm 3des                   [HUAWEI-ipsec-proposal-tran1] esp authentication-algorithm sha1             [HUAWEI-ipsec-proposal-tran1] quit
    12. 配置IPSec策略,绑定IKE对等体、IPSec安全提议、ACL。

      [HUAWEI] ipsec policy map1 1 isakmp                                [HUAWEI-ipsec-policy-isakmp-map1-1] ike-peer h3c                       [HUAWEI-ipsec-policy-isakmp-map1-1] proposal tran1                          [HUAWEI-ipsec-policy-isakmp-map1-1] security acl 3000                  [HUAWEI-ipsec-policy-isakmp-map1-1] quit
    13. 在接口上应用IPSec策略。

      [HUAWEI] interface GigabitEthernet 1/0/9                             [HUAWEI-GigabitEthernet1/0/9] ipsec policy map1                       [HUAWEI-GigabitEthernet1/0/9] quit
    1. 配置H3C防火墙。



      • 配置profile相当于华为防火墙中的配置IKE对等体,引用了keychain1,IKE安全提议。

      • 使用IKEv1时,match local address Ten-GigabitEthernet2/0/10用来指定profile的使用范围,必须要执行,否则协商失败。

      • 当使用IKEv2时,配置IKE安全提议、keychain、profile需要依次执行ikev2 proposalikev2 keychainikev2 Profile

      • match remote identity address 1.1.1.1 255.255.255.0用来指定对端身份,当对端身份与IKE profile中配置的规则匹配时,H3C防火墙使用此IKE profile中的信息与对端完成认证。

      • keychain用来配置双方使用的预共享密钥,配置时必须指定对端的IP地址或主机名。

      • 一个keychain中可以配置多个对端及其使用的预共享密钥,每个对端使用的预共享密钥都是不同的。

      • 当H3C防火墙作为总部出口网关,需要与多个分支建立IPSec隧道时,可以在H3C防火墙中配置IPSec策略模板,同时在keychain中配置不同的预共享密钥,这样每个分支可以使用不同的预共享密钥与总部H3C防火墙建立IPSec隧道。

      1. 配置总部网络、分支网络两个对象组。

        [H3C] object-group ip address trust1                               [H3C-obj-grp-ip-trust1] network subnet 192.168.0.0 24            [H3C-obj-grp-ip-trust1] quit                                          [H3C] object-group ip address untrust1                       [H3C-obj-grp-ip-untrust1] network subnet 192.168.10.0 24             [H3C-obj-grp-ip-untrust1] quit
      2. 配置对象策略。

        [H3C] object-policy ip trust-untrust                             [H3C-object-policy-ip-trust-untrust] rule pass source-ip trust1 destination-ip untrust1  [H3C-object-policy-ip-trust-untrust] quit                           [H3C] object-policy ip untrust-trust                             [H3C-object-policy-ip-untrust-trust] rule pass source-ip untrust1 destination-ip trust1 [H3C-object-policy-ip-untrust-trust] quit
      3. 配置untrust和trust之间的安全策略,保证总部网络和分支网络能够互通。

        [H3C] zone-pair security source trust destination untrust                [H3C-zone-pair-security-Trust-Untrust] object-policy apply ip trust-untrust           [H3C-zone-pair-security-Trust-Untrust] quit                          [H3C] zone-pair security source untrust destination trust                              [H3C-zone-pair-security-Untrust-Trust] object-policy apply ip untrust-trust   [H3C-zone-pair-security-Untrust-Trust] quit
      4. 配置ACL,用于local与untrust间的安全策略。

        [H3C] acl advanced 3999                        [H3C-acl-ipv4-adv-3999] rule 0 permit ip                             [H3C-acl-ipv4-adv-3999] quit
      5. 配置local与untrust之间的安全策略。

        [H3C] zone-pair security source untrust destination local          [H3C-zone-pair-security-Untrust-Local] packet-filter 3999                [H3C-zone-pair-security-Untrust-Local] quit                          [H3C] zone-pair security source local destination untrust            [H3C-zone-pair-security-Local-Untrust] packet-filter 3999                     [H3C-zone-pair-security-Local-Untrust] quit
        [H3C] interface Ten-GigabitEthernet2/0/10                 [H3C-Ten-GigabitEthernet2/0/10] port link-mode route                    [H3C-Ten-GigabitEthernet2/0/10] ip address 2.2.2.2 255.255.255.0         [H3C-Ten-GigabitEthernet2/0/10] quit [H3C] security-zone name Untrust                            [H3C-security-zone-Untrust] import interface Ten-GigabitEthernet 2/0/10              [H3C-security-zone-Untrust] quit
      6. 配置接口GE2/0/9接口,并将接口加入trust安全区域。

        [H3C] interface Ten-GigabitEthernet2/0/9                 [H3C-Ten-GigabitEthernet2/0/9] ip address 192.168.0.1 24          [H3C-Ten-GigabitEthernet2/0/9] quit                                [H3C] security-zone name Trust                                       [H3C-security-zone-Trust] import interface Ten-GigabitEthernet 2/0/9           [H3C-security-zone-Trust] quit
      7. 配置接口,并将接口加入安全区域。

      8. 配置安全策略。

      9. 配置路由。

        配置连接到Internet的缺省路由,假设下一跳为2.2.2.3。

        [H3C] ip route-static 0.0.0.0 0.0.0.0 2.2.2.3
      10. 配置ACL,定义被保护的流量。

        源地址为192.168.0.0/24,目的地址为192.168.10.0/24的报文,需要经过IPSec隧道传输。定义的流量要与华为防火墙中定义的流量互为镜像,否则协商失败。

        [H3C] acl advanced 3000                                [H3C-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 [H3C-acl-ipv4-adv-3000] quit
      11. 配置IKE安全提议。

        配置IKE安全提议,指定加密算法、认证算法、DH、认证方法,取值要与华为防火墙的配置值严格一致。配置认证算法时,设置为sha,H3C防火墙中sha也就是sha1。

        [H3C] ike proposal 1                                 [H3C-ike-proposal-1] encryption-algorithm 3des                  [H3C-ike-proposal-1] authentication-method pre-share                     [H3C-ike-proposal-1] authentication-algorithm sha                             [H3C-ike-proposal-1] dh group2                                             [H3C-ike-proposal-1] quit
      12. 配置keychain。

        [H3C] ike keychain keychain1                              [H3C-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple Key@123                [H3C-ike-keychain-keychain1] quit
        [H3C] ike profile profile1                                   [H3C-ike-profile-profile1] keychain keychain1                            [H3C-ike-profile-profile1] proposal 1                                      [H3C-ike-profile-profile1] exchange-mode main                                    [H3C-ike-profile-profile1] local-identity address 2.2.2.2                     [H3C-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0  [H3C-ike-profile-profile1] match local address Ten-GigabitEthernet2/0/10             [H3C-ike-profile-profile1] quit
        [H3C] ipsec transform-set tran1                           [H3C-ipsec-transform-set-tran1] encapsulation-mode tunnel               [H3C-ipsec-transform-set-tran1] protocol esp                             [H3C-ipsec-transform-set-tran1] esp encryption-algorithm 3des       [H3C-ipsec-transform-set-tran1] esp authentication-algorithm sha1     [H3C-ipsec-transform-set-tran1] quit
      13. 配置IPSec策略。

        [H3C] ipsec policy map1 1 isakmp                     [H3C-ipsec-policy-isakmp-map1-1] remote-address 1.1.1.1 [H3C-ipsec-policy-isakmp-map1-1] security acl 3000                     [H3C-ipsec-policy-isakmp-map1-1] transform-set tran1                     [H3C-ipsec-policy-isakmp-map1-1] ike-profile profile1                     [H3C-ipsec-policy-isakmp-map1-1] quit
      14. 在接口上应用IPSec策略。

        [H3C] interface Ten-GigabitEthernet2/0/10                           [H3C-Ten-GigabitEthernet2/0/10] ipsec apply policy map1                   [H3C-Ten-GigabitEthernet2/0/10] quit

      结果验证

      1. 验证总部是否可以主动与分支建立IPSec隧道。



        1. 在总部的PC1中Ping分支网路中的PC2。

          也可以直接在华为防火墙中执行Ping,此时需要使用-a带上源地址,否则Ping产生的流量不是ACL中定义的流量,无法触发IPSec协商。

        2. 在总部华为防火墙中,执行display ike sa命令,若显示如下信息,表明IKE SA建立成功。

          <HUAWEI> display ike sa current ike sa number: 2                             
          -----------------------------------------------------------------------------              
          conn-id    peer                                    flag          phase vpn                        
          -----------------------------------------------------------------------------                  
          926        2.2.2.2                                 RD|ST|A       v1:2  public                 
          925        2.2.2.2                                 RD|ST|A       v1:1  public                   
                                                                               
                                                                          
            flag meaning                                                   
            RD--READY      ST--STAYALIVE     RL--REPLACED    FD--FADING    TO--TIMEOUT                             
            TD--DELETING   NEG--NEGOTIATING  D--DPD          M--ACTIVE     S--STANDBY                     
            A--ALONE
        3. 在总部的华为防火墙中,执行display ipsec sa命令,若显示如下信息,表明IPSec SA建立成功。

          <HUAWEI> display ipsec sa ===============================                                  
          Interface: GigabitEthernet1/0/9                           
              path MTU: 1500                              
          ===============================                      
                                                
            -----------------------------                                
            IPSec policy name: "map1"                           
            sequence number: 1                                
            mode: isakmp                                 
            vpn: public                              
            -----------------------------                                  
              connection id: 926                                        
              rule number: 10                         
              encapsulation mode: tunnel                     
              holding time: 0d 0h 0m 24s                     
              tunnel local : 1.1.1.1    tunnel remote: 2.2.2.2                   
              flow      source: 192.168.10.0/255.255.255.0 0/0              
              flow destination: 192.168.0.0/255.255.255.0 0/0                
                                                         
              [inbound ESP SAs]                                    
                spi: 2885376008 (0xabfb5808)                        
                vpn: public  said: 164  cpuid: 0x0000                   
                proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1                            
                sa remaining key duration (kilobytes/sec): 1843200/3576               
                max received sequence-number: 4                                  
                udp encapsulation used for nat traversal: N                    
                                                              
              [outbound ESP SAs]                                    
                spi: 565355390 (0x21b2a37e)                      
                vpn: public  said: 165  cpuid: 0x0000               
                proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1                                   
                sa remaining key duration (kilobytes/sec): 1843200/3576                
                max sent sequence-number: 5                                       
                udp encapsulation used for nat traversal: N
        4. 登录到分支H3C防火墙中执行display ike sa命令查看IKE建立情况,若显示如下信息,表明IKE SA建立成功。

          [H3C] display ike sa                                                  
              Connection-ID   Remote                Flag         DOI                  
          ------------------------------------------------------------------                          
              801             1.1.1.1               RD           IPSec                 
          Flags:                                                           
          RD--READY RL--REPLACED FD-FADING RK-REKEY
        5. 登录到分支H3C防火墙中执行display ipsec sa命令查看IPSec建立情况,若显示如下信息,表明IPSec SA建立成功。

          [H3C] display ipsec sa                     -------------------------------                          
          Interface: Ten-GigabitEthernet2/0/10                     
          -------------------------------                           
                                                            
            -----------------------------                            
            IPSec policy: map1                      
            Sequence number: 1                        
            Mode: ISAKMP                       
            Flow table status: Active                    
            -----------------------------                        
              Tunnel id: 0                      
              Encapsulation mode: tunnel                    
              Perfect Forward Secrecy:             
              Inside VPN:                    
              Extended Sequence Numbers enable: N             
              Traffic Flow Confidentiality enable: N            
              Path MTU: 1444                 
              Tunnel:                   
                  local  address: 2.2.2.2                 
                  remote address: 1.1.1.1                 
              Flow:                                     
                  sour addr: 192.168.0.0/255.255.255.0  port: 0  protocol: ip            
                  dest addr: 192.168.10.0/255.255.255.0  port: 0  protocol: ip         
                                                                      
              [Inbound ESP SAs]                               
                SPI: 565355390 (0x21b2a37e)                   
                Connection ID: 416611827712                   
                Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1                
                SA duration (kilobytes/sec): 1843200/3600                           
                SA remaining duration (kilobytes/sec): 1843199/3470              
                Max received sequence-number: 4                 
                Anti-replay check enable: Y              
                Anti-replay window size: 64              
                UDP encapsulation used for NAT traversal: N              
                Status: Active                
                                               
              [Outbound ESP SAs]                    
                SPI: 2885376008 (0xabfb5808)                
                Connection ID: 416611827713              
                Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1               
                SA duration (kilobytes/sec): 1843200/3600            
                SA remaining duration (kilobytes/sec): 1843199/3470             
                Max sent sequence-number: 4                   
                UDP encapsulation used for NAT traversal: N             
                Status: Active
      2. 验证分支是否可以主动与总部建立IPSec隧道。



        1. 在总部的华为防火墙中执行reset ike sa命令,断开IPSec隧道。

        2. 在分支的PC2中Ping总部网路中的PC1,参照上述方法验证是否可以建立IPSec隧道。

      配置文件

      #
       sysname HUAWEI
      #
      interface GigabitEthernet 1/0/9    
       ip address 1.1.1.1 24
       ipsec policy map1      
      #
      interface GigabitEthernet 1/0/5               
       ip address 192.168.10.1 24         
      #
      firewall zone untrust           
       add interface GigabitEthernet 1/0/9   
      #
      firewall zone trust                
       add interface GigabitEthernet 1/0/5          
      #
      security-policy          
       rule name 1        
        source-zone untrust                 
        destination-zone trust                      
        source-address 192.168.0.0 24               
        destination-address 192.168.10.0 24           
        action permit      
       rule name 2             
        source-zone trust 
        destination-zone untrust                    
        source-address 192.168.10.0 24               
        destination-address 192.168.0.0 24                    
        action permit                   
       rule name 3                 
        source-zone local                 
        destination-zone untrust                     
        source-address 1.1.1.1 24                    
        destination-address 2.2.2.2 24                
        action permit                     
       rule name 4                   
        source-zone untrust            
        destination-zone local                     
        source-address 2.2.2.2 24               
        destination-address 1.1.1.1 24              
        action permit            
      #
      ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
      #
      acl 3000             
       rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.0.255         
      #
      ike proposal 1           
       encryption-algorithm 3des              
       authentication-algorithm sha1         
       dh group2            
      #
      ike peer h3c               
       exchange-mode main           
       undo version 2           
       ike-proposal 1                 
       pre-shared-key Key@123          
       remote-address 2.2.2.2        
      #
      ipsec proposal tran1                 
       transform esp              
       encapsulation-mode tunnel           
       esp encryption-algorithm 3des        
       esp authentication-algorithm sha1      
      #
      ipsec policy map1 1 isakmp               
       ike-peer h3c          
       proposal tran1               
       security acl 3000               
      #
      return




      推荐本站淘宝优惠价购买喜欢的宝贝:

      image.png

      本文链接:https://hqyman.cn/post/5794.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

      分享到:
      打赏





      休息一下~~


      « 上一篇 下一篇 »

      发表评论:

      ◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

      请先 登录 再评论,若不是会员请先 注册

      您的IP地址是: