https://support.huawei.com/enterprise/zh/doc/EDOC1000154804/56da2dfa
组网需求
如图1所示,华为防火墙和H3C防火墙分别作为总部和分支的企业网关连接Internet。现企业需要在华为防火墙和H3C防火墙之间建立IPSec隧道,实现总部和分支内网安全互通。
由于华为防火墙与H3C防火墙的出口公网地址固定,可以采用策略方式建立IPSec隧道。此方式下,两端都可以主动发起协商建立IPSec隧道。
数据规划
配置项 | 华为防火墙 | H3C防火墙 | |
---|---|---|---|
IKE SA | 协商模式 | 主模式 | 主模式 |
加密算法 | 3des | 3des | |
认证算法 | sha1 | sha1 | |
预共享密钥 | Key@123 | Key@123 | |
身份类型 | 对端地址 | 对端地址 | |
IKE版本 | V1 | V1 | |
DH | Group2 | Group2 | |
IPSec SA | 封装模式 | 隧道模式 | 隧道模式 |
安全协议 | ESP | ESP | |
加密算法 | 3des | 3des | |
认证算法 | sha1 | sha1 |
配置思路
配置华为防火墙:
配置接口IP地址,并将接口加入安全区域;
配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙;
配置华为防火墙到Internet的缺省路由;
配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体;
在接口上应用IPSec策略。
配置H3C防火墙:
配置接口的IP地址,并将接口加入安全区域;
配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙;
配置H3C防火墙连接到Internet的缺省路由;
配置IPSec策略,包括定义需要保护的数据流、配置IKE安全提议、配置keychain、配置profile、配置IPSec安全提议;
在接口上应用IPSec策略。
配置注意事项
IPSec的对接关键在于通信双方所设置的参数必须完全一致,配置时两端不要采用默认值(基本不一致),必须按照数据规划表,保持两端参数一致。
H3C防火墙中配置profile时,match local address用来指定profile的使用范围,H3C防火墙的配置指导中该命令是可选的,但是跟华为防火墙对接时如果不配置该命令,H3C防火墙则找不到profile适用的接口,因此建议执行该命令,否则隧道协商失败。
华为防火墙缺省情况下,IPSec不支持MD5、SHA1、DES、3DES、DH-GROUP1、DH-GROUP2、DH-GROUP5等弱安全算法,如需使用,需要安装弱安全算法组件包,具体步骤如下:
请登录华为技术支持网站,在软件下载专区中搜索对应产品和版本,下载product_version_WEAKEA.mod。
上传模块文件到存储介质中(必须存放在$_install_mod目录下)。
使用命令install-module product_version_WEAKEA.mod配置在线加载模块文件。
操作步骤
配置华为防火墙。
华为防火墙发起协商请求时,将根据路由找到出接口,根据安全策略2判断流量是否可以透传,根据ACL判断是否是走IPSec的流量,根据安全策略3判断是否能够发起协商,如果判断结果都为“是”,华为防火墙才能正式发起协商。
华为防火墙接收协商请求时,将根据ACL判断对方的流量是否是受保护流量,根据安全策略4判断是否接受协商,如果判断结果都为“是”,则开始与对方协商,否则将丢弃协商报文。
配置IKE安全提议,指定加密算法、认证算法、DH。此举例中采用IKEv1,不需要配置完整性算法。
[HUAWEI] ike proposal 1 [HUAWEI-ike-proposal-1] encryption-algorithm 3des [HUAWEI-ike-proposal-1] authentication-algorithm sha1 [HUAWEI-ike-proposal-1] dh group2 [HUAWEI-ike-proposal-1] quit
配置IKE对等体,指定协商模式、IKE版本、预共享密钥,对端IP地址。
[HUAWEI] ike peer h3c [HUAWEI-ike-peer-h3c] exchange-mode main [HUAWEI-ike-peer-h3c] undo version 2 [HUAWEI-ike-peer-h3c] ike-proposal 1 [HUAWEI-ike-peer-h3c] pre-shared-key Key@123 [HUAWEI-ike-peer-h3c] remote-address 2.2.2.2 [HUAWEI-ike-peer-h3c] quit
配置untrust和trust之间的安全策略。
配置策略1,保证分支能够访问总部;配置策略2,保证总部能够访问分支。
[HUAWEI] security-policy [HUAWEI-policy-security] rule name 1 [HUAWEI-policy-security-rule-1] source-zone untrust [HUAWEI-policy-security-rule-1] destination-zone trust [HUAWEI-policy-security-rule-1] source-address 192.168.0.0 24 [HUAWEI-policy-security-rule-1] destination-address 192.168.10.0 24 [HUAWEI-policy-security-rule-1] action permit [HUAWEI-policy-security-rule-1] quit [HUAWEI-policy-security] rule name 2 [HUAWEI-policy-security-rule-2] source-zone trust [HUAWEI-policy-security-rule-2] destination-zone untrust [HUAWEI-policy-security-rule-2] source-address 192.168.10.0 24 [HUAWEI-policy-security-rule-2] destination-address 192.168.0.0 24 [HUAWEI-policy-security-rule-2] action permit [HUAWEI-policy-security-rule-2] quit
配置local与untrust之间的安全策略。
配置策略3,保证华为防火墙能够发起IPSec隧道建立请求;配置策略4,保证华为防火墙能够接收IPSec隧道建立请求,源、目的IP地址为两端的出口公网地址。
[HUAWEI-policy-security] rule name 3 [HUAWEI-policy-security-rule-3] source-zone local [HUAWEI-policy-security-rule-3] destination-zone untrust [HUAWEI-policy-security-rule-3] source-address 1.1.1.1 24 [HUAWEI-policy-security-rule-3] destination-address 2.2.2.2 24 [HUAWEI-policy-security-rule-3] action permit [HUAWEI-policy-security-rule-3] quit [HUAWEI-policy-security] rule name 4 [HUAWEI-policy-security-rule-4] source-zone untrust [HUAWEI-policy-security-rule-4] destination-zone local [HUAWEI-policy-security-rule-4] source-address 2.2.2.2 24 [HUAWEI-policy-security-rule-4] destination-address 1.1.1.1 24 [HUAWEI-policy-security-rule-4] action permit [HUAWEI-policy-security-rule-4] quit
配置口GE1/0/9接口,并将接口加入untrust安全区域。
[HUAWEI] interface GigabitEthernet 1/0/9 [HUAWEI-GigabitEthernet1/0/9] ip address 1.1.1.1 24 [HUAWEI-GigabitEthernet1/0/9] quit [HUAWEI] firewall zone untrust [HUAWEI-zone-untrust] add interface GigabitEthernet 1/0/9 [HUAWEI-zone-untrust] quit
配置GE1/0/5接口,并将接口加入trust安全区域。
[HUAWEI] interface GigabitEthernet 1/0/5 [HUAWEI-GigabitEthernet1/0/5] ip address 192.168.10.1 24 [HUAWEI-GigabitEthernet1/0/5] quit [HUAWEI] firewall zone trust [HUAWEI-zone-trust] add interface GigabitEthernet 1/0/5 [HUAWEI-zone-trust] quit
安装WEAKEA特性包。
<HUAWEI> install feature-software WEAKEA
配置接口,并将接口加入安全区域。
配置安全策略。
配置路由。
配置连接到Internet的缺省路由,假设下一跳为1.1.1.2。
[HUAWEI] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
配置ACL,定义被保护的流量。
源地址为192.168.10.0/24,目的地址为192.168.0.0/24的报文,需要经过IPSec隧道传输。
[HUAWEI] acl 3000 [HUAWEI-acl-adv-3000] rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 [HUAWEI-acl-adv-3000] quit
[HUAWEI] ipsec proposal tran1 [HUAWEI-ipsec-proposal-tran1] transform esp [HUAWEI-ipsec-proposal-tran1] encapsulation-mode tunnel [HUAWEI-ipsec-proposal-tran1] esp encryption-algorithm 3des [HUAWEI-ipsec-proposal-tran1] esp authentication-algorithm sha1 [HUAWEI-ipsec-proposal-tran1] quit配置IPSec策略,绑定IKE对等体、IPSec安全提议、ACL。
[HUAWEI] ipsec policy map1 1 isakmp [HUAWEI-ipsec-policy-isakmp-map1-1] ike-peer h3c [HUAWEI-ipsec-policy-isakmp-map1-1] proposal tran1 [HUAWEI-ipsec-policy-isakmp-map1-1] security acl 3000 [HUAWEI-ipsec-policy-isakmp-map1-1] quit
在接口上应用IPSec策略。
[HUAWEI] interface GigabitEthernet 1/0/9 [HUAWEI-GigabitEthernet1/0/9] ipsec policy map1 [HUAWEI-GigabitEthernet1/0/9] quit
配置H3C防火墙。
配置profile相当于华为防火墙中的配置IKE对等体,引用了keychain1,IKE安全提议。
使用IKEv1时,match local address Ten-GigabitEthernet2/0/10用来指定profile的使用范围,必须要执行,否则协商失败。
当使用IKEv2时,配置IKE安全提议、keychain、profile需要依次执行ikev2 proposal、ikev2 keychain、ikev2 Profile。
match remote identity address 1.1.1.1 255.255.255.0用来指定对端身份,当对端身份与IKE profile中配置的规则匹配时,H3C防火墙使用此IKE profile中的信息与对端完成认证。
keychain用来配置双方使用的预共享密钥,配置时必须指定对端的IP地址或主机名。
一个keychain中可以配置多个对端及其使用的预共享密钥,每个对端使用的预共享密钥都是不同的。
当H3C防火墙作为总部出口网关,需要与多个分支建立IPSec隧道时,可以在H3C防火墙中配置IPSec策略模板,同时在keychain中配置不同的预共享密钥,这样每个分支可以使用不同的预共享密钥与总部H3C防火墙建立IPSec隧道。
配置总部网络、分支网络两个对象组。
[H3C] object-group ip address trust1 [H3C-obj-grp-ip-trust1] network subnet 192.168.0.0 24 [H3C-obj-grp-ip-trust1] quit [H3C] object-group ip address untrust1 [H3C-obj-grp-ip-untrust1] network subnet 192.168.10.0 24 [H3C-obj-grp-ip-untrust1] quit
配置对象策略。
[H3C] object-policy ip trust-untrust [H3C-object-policy-ip-trust-untrust] rule pass source-ip trust1 destination-ip untrust1 [H3C-object-policy-ip-trust-untrust] quit [H3C] object-policy ip untrust-trust [H3C-object-policy-ip-untrust-trust] rule pass source-ip untrust1 destination-ip trust1 [H3C-object-policy-ip-untrust-trust] quit
配置untrust和trust之间的安全策略,保证总部网络和分支网络能够互通。
[H3C] zone-pair security source trust destination untrust [H3C-zone-pair-security-Trust-Untrust] object-policy apply ip trust-untrust [H3C-zone-pair-security-Trust-Untrust] quit [H3C] zone-pair security source untrust destination trust [H3C-zone-pair-security-Untrust-Trust] object-policy apply ip untrust-trust [H3C-zone-pair-security-Untrust-Trust] quit
配置ACL,用于local与untrust间的安全策略。
[H3C] acl advanced 3999 [H3C-acl-ipv4-adv-3999] rule 0 permit ip [H3C-acl-ipv4-adv-3999] quit
配置local与untrust之间的安全策略。
[H3C] zone-pair security source untrust destination local [H3C-zone-pair-security-Untrust-Local] packet-filter 3999 [H3C-zone-pair-security-Untrust-Local] quit [H3C] zone-pair security source local destination untrust [H3C-zone-pair-security-Local-Untrust] packet-filter 3999 [H3C-zone-pair-security-Local-Untrust] quit
[H3C] interface Ten-GigabitEthernet2/0/10 [H3C-Ten-GigabitEthernet2/0/10] port link-mode route [H3C-Ten-GigabitEthernet2/0/10] ip address 2.2.2.2 255.255.255.0 [H3C-Ten-GigabitEthernet2/0/10] quit [H3C] security-zone name Untrust [H3C-security-zone-Untrust] import interface Ten-GigabitEthernet 2/0/10 [H3C-security-zone-Untrust] quit配置接口GE2/0/9接口,并将接口加入trust安全区域。
[H3C] interface Ten-GigabitEthernet2/0/9 [H3C-Ten-GigabitEthernet2/0/9] ip address 192.168.0.1 24 [H3C-Ten-GigabitEthernet2/0/9] quit [H3C] security-zone name Trust [H3C-security-zone-Trust] import interface Ten-GigabitEthernet 2/0/9 [H3C-security-zone-Trust] quit
配置接口,并将接口加入安全区域。
配置安全策略。
配置路由。
配置连接到Internet的缺省路由,假设下一跳为2.2.2.3。
[H3C] ip route-static 0.0.0.0 0.0.0.0 2.2.2.3
配置ACL,定义被保护的流量。
源地址为192.168.0.0/24,目的地址为192.168.10.0/24的报文,需要经过IPSec隧道传输。定义的流量要与华为防火墙中定义的流量互为镜像,否则协商失败。
[H3C] acl advanced 3000 [H3C-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 [H3C-acl-ipv4-adv-3000] quit
配置IKE安全提议。
配置IKE安全提议,指定加密算法、认证算法、DH、认证方法,取值要与华为防火墙的配置值严格一致。配置认证算法时,设置为sha,H3C防火墙中sha也就是sha1。
[H3C] ike proposal 1 [H3C-ike-proposal-1] encryption-algorithm 3des [H3C-ike-proposal-1] authentication-method pre-share [H3C-ike-proposal-1] authentication-algorithm sha [H3C-ike-proposal-1] dh group2 [H3C-ike-proposal-1] quit
配置keychain。
[H3C] ike keychain keychain1 [H3C-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple Key@123 [H3C-ike-keychain-keychain1] quit
[H3C] ike profile profile1 [H3C-ike-profile-profile1] keychain keychain1 [H3C-ike-profile-profile1] proposal 1 [H3C-ike-profile-profile1] exchange-mode main [H3C-ike-profile-profile1] local-identity address 2.2.2.2 [H3C-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0 [H3C-ike-profile-profile1] match local address Ten-GigabitEthernet2/0/10 [H3C-ike-profile-profile1] quit[H3C] ipsec transform-set tran1 [H3C-ipsec-transform-set-tran1] encapsulation-mode tunnel [H3C-ipsec-transform-set-tran1] protocol esp [H3C-ipsec-transform-set-tran1] esp encryption-algorithm 3des [H3C-ipsec-transform-set-tran1] esp authentication-algorithm sha1 [H3C-ipsec-transform-set-tran1] quit配置IPSec策略。
[H3C] ipsec policy map1 1 isakmp [H3C-ipsec-policy-isakmp-map1-1] remote-address 1.1.1.1 [H3C-ipsec-policy-isakmp-map1-1] security acl 3000 [H3C-ipsec-policy-isakmp-map1-1] transform-set tran1 [H3C-ipsec-policy-isakmp-map1-1] ike-profile profile1 [H3C-ipsec-policy-isakmp-map1-1] quit
在接口上应用IPSec策略。
[H3C] interface Ten-GigabitEthernet2/0/10 [H3C-Ten-GigabitEthernet2/0/10] ipsec apply policy map1 [H3C-Ten-GigabitEthernet2/0/10] quit
结果验证
验证总部是否可以主动与分支建立IPSec隧道。
在总部的PC1中Ping分支网路中的PC2。
也可以直接在华为防火墙中执行Ping,此时需要使用-a带上源地址,否则Ping产生的流量不是ACL中定义的流量,无法触发IPSec协商。
在总部华为防火墙中,执行display ike sa命令,若显示如下信息,表明IKE SA建立成功。
<HUAWEI> display ike sa current ike sa number: 2 ----------------------------------------------------------------------------- conn-id peer flag phase vpn ----------------------------------------------------------------------------- 926 2.2.2.2 RD|ST|A v1:2 public 925 2.2.2.2 RD|ST|A v1:1 public flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY A--ALONE
在总部的华为防火墙中,执行display ipsec sa命令,若显示如下信息,表明IPSec SA建立成功。
<HUAWEI> display ipsec sa =============================== Interface: GigabitEthernet1/0/9 path MTU: 1500 =============================== ----------------------------- IPSec policy name: "map1" sequence number: 1 mode: isakmp vpn: public ----------------------------- connection id: 926 rule number: 10 encapsulation mode: tunnel holding time: 0d 0h 0m 24s tunnel local : 1.1.1.1 tunnel remote: 2.2.2.2 flow source: 192.168.10.0/255.255.255.0 0/0 flow destination: 192.168.0.0/255.255.255.0 0/0 [inbound ESP SAs] spi: 2885376008 (0xabfb5808) vpn: public said: 164 cpuid: 0x0000 proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1 sa remaining key duration (kilobytes/sec): 1843200/3576 max received sequence-number: 4 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 565355390 (0x21b2a37e) vpn: public said: 165 cpuid: 0x0000 proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1 sa remaining key duration (kilobytes/sec): 1843200/3576 max sent sequence-number: 5 udp encapsulation used for nat traversal: N
登录到分支H3C防火墙中执行display ike sa命令查看IKE建立情况,若显示如下信息,表明IKE SA建立成功。
[H3C] display ike sa Connection-ID Remote Flag DOI ------------------------------------------------------------------ 801 1.1.1.1 RD IPSec Flags: RD--READY RL--REPLACED FD-FADING RK-REKEY
登录到分支H3C防火墙中执行display ipsec sa命令查看IPSec建立情况,若显示如下信息,表明IPSec SA建立成功。
[H3C] display ipsec sa ------------------------------- Interface: Ten-GigabitEthernet2/0/10 ------------------------------- ----------------------------- IPSec policy: map1 Sequence number: 1 Mode: ISAKMP Flow table status: Active ----------------------------- Tunnel id: 0 Encapsulation mode: tunnel Perfect Forward Secrecy: Inside VPN: Extended Sequence Numbers enable: N Traffic Flow Confidentiality enable: N Path MTU: 1444 Tunnel: local address: 2.2.2.2 remote address: 1.1.1.1 Flow: sour addr: 192.168.0.0/255.255.255.0 port: 0 protocol: ip dest addr: 192.168.10.0/255.255.255.0 port: 0 protocol: ip [Inbound ESP SAs] SPI: 565355390 (0x21b2a37e) Connection ID: 416611827712 Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1 SA duration (kilobytes/sec): 1843200/3600 SA remaining duration (kilobytes/sec): 1843199/3470 Max received sequence-number: 4 Anti-replay check enable: Y Anti-replay window size: 64 UDP encapsulation used for NAT traversal: N Status: Active [Outbound ESP SAs] SPI: 2885376008 (0xabfb5808) Connection ID: 416611827713 Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1 SA duration (kilobytes/sec): 1843200/3600 SA remaining duration (kilobytes/sec): 1843199/3470 Max sent sequence-number: 4 UDP encapsulation used for NAT traversal: N Status: Active
验证分支是否可以主动与总部建立IPSec隧道。
在总部的华为防火墙中执行reset ike sa命令,断开IPSec隧道。
在分支的PC2中Ping总部网路中的PC1,参照上述方法验证是否可以建立IPSec隧道。
配置文件
# sysname HUAWEI # interface GigabitEthernet 1/0/9 ip address 1.1.1.1 24 ipsec policy map1 # interface GigabitEthernet 1/0/5 ip address 192.168.10.1 24 # firewall zone untrust add interface GigabitEthernet 1/0/9 # firewall zone trust add interface GigabitEthernet 1/0/5 # security-policy rule name 1 source-zone untrust destination-zone trust source-address 192.168.0.0 24 destination-address 192.168.10.0 24 action permit rule name 2 source-zone trust destination-zone untrust source-address 192.168.10.0 24 destination-address 192.168.0.0 24 action permit rule name 3 source-zone local destination-zone untrust source-address 1.1.1.1 24 destination-address 2.2.2.2 24 action permit rule name 4 source-zone untrust destination-zone local source-address 2.2.2.2 24 destination-address 1.1.1.1 24 action permit # ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 # acl 3000 rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 # ike proposal 1 encryption-algorithm 3des authentication-algorithm sha1 dh group2 # ike peer h3c exchange-mode main undo version 2 ike-proposal 1 pre-shared-key Key@123 remote-address 2.2.2.2 # ipsec proposal tran1 transform esp encapsulation-mode tunnel esp encryption-algorithm 3des esp authentication-algorithm sha1 # ipsec policy map1 1 isakmp ike-peer h3c proposal tran1 security acl 3000 # return
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5794.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~
作者:hqy | 分类:Network | 浏览:303 | 评论:0发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。