华为防火墙基础自学系列 | Site to Site IPSec VdPdNd

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为防火墙基础自学系列 | Site to Site IPSec VdPdNd相关的知识,希望对你有一定的参考价值。

视频来源:B站《乾颐堂HCIP-HCIE-security安全 2019年录制》

一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客


Site to Site IPSec VPN组网

这个一个典型的站点到站点(Site to Site)IPSec VPN拓扑

IPSec VPN组网的通信网络为10.1.1.0/24和10.1.2.0/24(感兴趣流),加密点为两个防火墙的外部接口地址。

交换机底层桥接

防火墙网络配置

IPSec VPN安全策略配置流程图

FW1配置IPsec策略-1(Web)

新建IPsec策略

FW1配置IPsec策略-2(Web)

填写IPsec基本配置

FW1配置IPsec策略-3(Web)

新建感兴趣流

FW1配置IPsec策略-4(Web)

配置安全提议,保持默认即可。

FW1配置安全策略-1(Web)

新建服务【isakmp】,UDP协议,目的端口为500。

FW1配置安全策略-2(Web)

新建安全策略,放行两个防火墙的esp和isakmp流量。

放行本端感兴趣流,去往对端的流量。

FW1配置IPsec-1(CLI)

FW1配置ACL

FW1配置IKE Proposal

FW1配置IKE Peer

FW1配置IPsec-2(CLI)

FW1配置IPsec proposal

FW1配置IPsec policy

FW1调用IPsec policy

FW1配置安全策略(CLI)

FW2配置IPsec策略-1(Web)

新建IPsec策略,填写IPsec基本配置。

FW2配置IPsec策略-2(Web)

配置安全提议,保持默认即可。

FW2配置安全策略-1(Web)

新建服务【isakmp】,UDP协议,目的端口为500。

新建安全策略,放行两个防火墙的esp和isakmp流量。

放行本端感兴趣流,去往对端的流量。

FW2配置IPsec-1(CLI)

FW2配置ACL

FW2配置IKE Proposal

FW2配置IKE Peer

FW2配置IPsec-2(CLI)

FW2配置IPsec proposal

FW1配置IPsec policy

FW1调用IPsec policy

FW2配置安全策略(CLI)

FW1查看IPsec状态(Web)

点击【监控】,查看IPsec协商状态。

IPsec通信网络测试

在PC1上ping测试到PC2的地址,测试感兴趣流的连通性。

FW1查看IKE SA

FW1查看IPsec SA

FW1查看加解密数量

实验

SW1

interface Ethernet0/0/4
  description Link_FW1_G0/0/0
  port link-type access
  port default vlan 16
interface Ethernet0/0/8
  description Link_FW2_G0/0/0
  port link-type access
  port default vlan 16
interface Ethernet0/0/21
  description Link_HCNP_MGMT
  port link-type access
  port default vlan 16
interface Ethernet0/0/1
  description Link_FW1_G0/0/1
  port link-type access
  port default vlan 10
interface Ethernet0/0/9
  description Link_HCNP_Dot1x(PC1)
  port link-type access
  port default vlan 10
interface Ethernet0/0/5
  description Link_FW2_G0/0/1
  port link-type access
  port default vlan 20
interface Ethernet0/0/24
  description Link_HCNP_VPN_Client(PC2)
  port link-type access
  port default vlan 20
interface Ethernet0/0/2
  description Link_FW1_G0/0/2
  port link-type access
  port default vlan 40
interface Ethernet0/0/23
  description Link_HCNP_Untrust
  port link-type access
  port default vlan 40
interface Ethernet0/0/6
  description Link_FW2_G0/0/2
  port link-type access
  port default vlan 40
复制代码

FW1

int g0/0/0
  ip address 192.168.0.10 24
int g0/0/1
  ip address 10.1.1.10 24
int g0/0/2
  ip address 202.100.1.10 24
firewall zone trust
  add int g0/0/1
firewall zone untrust
  add int g0/0/2
ip route-static 0.0.0.0 0.0.0.0 202.100.1.11
ike proposal 10
  encryption-algorithm aes-192
  authentication-algorithm md5
ike peer fw2
  exchange-mode main
  pre-shared-key Huawei@123
  ike-proposal 10
  remote-address 202.100.1.11
  undo version 2
acl 3000
  rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
ipsec proposal 10
  encapsulation-mode tunnel
  esp encryption-algorithm des
  esp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmp
  security acl 3000
  ike-peer fw2
  proposal 10
int g0/0/2
  ipsec policy ipsec_policy
  
复制代码

FW2

int g0/0/0
  ip addres 192.168.0.11 24
int g0/0/1
  ip address 10.1.2.10 24
int g0/0/2
  ip address 202.100.1.11 24
  service-manage ping permit
firewall zone untrust
  add int g0/0/2
firewall zone trust
  add int g0/0/1
ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
ike proposal 10
  encryption-algorithm aes-192
  authentication-algorithm md5
ike peer fw1
  exchange-mode main
  pre-shared-key Huawei@123
  ike-proposal 10
  remote-address 202.100.1.10
  undo version 2
acl 3000
  rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
ipsec proposal 10
  encapsulation-mode tunnel
  esp encryption-algorithm des
  esp authentication-algorithm sha1
ipsec policy ipsec_policy 10 isakmp
  security acl 3000
  ike-peer fw1
  proposal 10
int g0/0/2
  ipsec policy ipsec_policy
复制代码

查看

在ipsec policy没有配置auto-neg下,需要先在PC上通过PING触发IPSec隧道建立。(前提是防火墙策略已经配置完成,如local<->untrust,需放通ISKAMP和ESP,trust<->unstrust,需放通地址间所有流量)

以上是关于华为防火墙基础自学系列 | Site to Site IPSec VdPdNd的主要内容,如果未能解决你的问题,请参考以下文章

华为防火墙基础自学系列 | IKE介绍

华为防火墙基础自学系列 | IPsec技术详解

华为防火墙基础自学系列 | VdPdNd概述

华为防火墙基础自学系列 | 证书申请方式

华为防火墙基础自学系列 | 证书申请步骤

华为防火墙基础自学系列 | PKI基本架构