F1000-AK防火牆IPsecVPN
- 0關注
- 0收藏,1585瀏覽
問題描述:
防火牆F1000-AK1150,外網口為撥號,Dia1,固定在物理口3號口,需要和阿裏雲做IPsecVPN對接,因為不是固定地址,在防火牆的本端地址配置這一項,可以選靜態,Dia1,3號口,請教各位,應該如何選擇以及整體的配置流程和注意要點。
- 2024-04-10提問
- 舉報
-
(0)
最佳答案
對端是固定地址嗎
參考案例:
1.2 配置需求及實現的效果
總部和分部各有一台防火牆部署在互聯網出口,因業務需要兩端內網需要通過VPN相互訪問。IP地址及接口規劃如下表所示:
公司名稱 | 外網接口 | 公網地址/掩碼 | 公網網關 | 內網接口 | 內網地址/掩碼 |
總部 | 1/0/3 | 101.88.26.34/30 | 101.88.26.33 | 1/0/4 | 192.168.10.0/24 |
分部 | 1/0/3 | PPPOE撥號 | 自動獲取網關 | 1/0/4 | 192.168.20.0/24 |
2 組網圖
配置步驟
3 配置步驟
3.1 兩端防火牆上網配置
防火牆上網配置請參考“2.3.2 防火牆外網使用固定IP地址上網配置方法”及“2.3.1 防火牆外網使用撥號上網配置方法”進行配置,本文隻針對IPSEC VPN配置進行介紹。
3.2 總部側排除IPSEC興趣流不做NAT
#創建acl 3888調用在外網接口用於排除IPSEC興趣流不做NAT。
[H3C]acl advanced 3888
[H3C-acl-ipv4-adv-3888]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[H3C-acl-ipv4-adv-3888]rule permit ip source any
[H3C-acl-ipv4-adv-3888]quit
3.3 總部側創建IPSEC安全提議
#加密類型設置為aes-cbc-128,認證類型設置為sha1。
[H3C]ipsec transform-set GE1/0/3_IPv4_1
[H3C-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128
[H3C-ipsec-transform-set-1] esp authentication-algorithm sha1
[H3C-ipsec-transform-set-1]quit
3.4 總部側創建IKE安全提議
#IKE安全提議默認的認證類型為sha1,加密類型為DES-CBC,DH組為DH1,所以不需要配置也存在這些參數。
[H3C]ike proposal 1
[H3C-ike-proposal-1]quit
3.5 總部側創建IKE安全密鑰
#創建IKE密鑰,地址填寫0.0.0.0/0,密碼設置為123456。
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[H3C-ike-keychain-1]quit
3.6 總部側創建IKE安全框架
#創建IKE安全框架,協商模式調整為野蠻模式。本端身份識別為center,分部身份識別為branch。
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1] exchange-mode aggressive
[H3C-ike-profile-1] local-identity fqdn center
[H3C-ike-profile-1]match remote identity address 0.0.0.0 0.0.0.0
[H3C-ike-profile-1]match remote identity fqdn branch
[H3C-ike-profile-1]proposal 1
[H3C-ike-profile-1]quit
3.7 總部側創建IPSEC安全策略模板
[H3C]ipsec policy-template GE1/0/3 1
[H3C-ipsec-policy- template-GE1/0/3-1]transform-set GE1/0/3_IPv4_1
[H3C-ipsec-policy- template-GE1/0/3-1]local-address 101.88.26.34
[H3C-ipsec-policy- template-GE1/0/3-1]ike-profile 1
[H3C-ipsec-policy- template-GE1/0/3-1]quit
3.8 總部側創建IPSEC安全策略
#創建IKE安全策略GE1/0/3將安全策略模板和安全策略綁定。
[H3C]ipsec policy GE1/0/3 1 isakmp template GE1/0/3
3.9 總部側外網接口調用IPSEC策略和NAT動態轉換策略
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]ipsec apply policy GE1/0/3
[H3C-GigabitEthernet1/0/3]nat outbound 3888
[H3C-GigabitEthernet1/0/3]quit
3.10 保存配置
[H3C]save force
3.11 分部側創建IPSEC興趣流匹配到總部的數據
#創建IPSEC的感興趣流,用於匹配IPSEC數據。
<H3C>system
[H3C]acl advanced 3999
[H3C-acl-ipv4-adv-3999]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3999]quit
#創建acl 3888調用在外網接口用於排除IPSEC興趣流不做NAT。
[H3C]acl advanced 3888
[H3C-acl-ipv4-adv-3888]rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3888]rule permit ip source any
[H3C-acl-ipv4-adv-3888]quit
3.12 分部側創建IPSEC安全提議
#加密類型設置為aes-cbc-128,認證類型設置為sha1。
[H3C]ipsec transform-set GE1/0/3_IPv4_1
[H3C-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128
[H3C-ipsec-transform-set-1] esp authentication-algorithm sha1
[H3C-ipsec-transform-set-1]quit
3.13 分部側創建IKE安全提議
#IKE安全提議默認的認證類型為sha1,加密類型為DES-CBC,DH組為DH1,所以不需要配置也存在這些參數。
[H3C]ike proposal 1
[H3C-ike-proposal-1]quit
3.14 分部側創建IKE安全密鑰
#創建IKE密鑰,地址填寫總部側設備的公網IP,密碼設置為123456。
[H3C]ike keychain 1
[H3C-ike-keychain-1] pre-shared-key address 101.88.26.34 255.255.255.255 key simple 123456
[H3C-ike-keychain-1]quit
3.15 分部側創建IKE安全框架
#創建IKE安全框架,匹配keychain 1安全密匙,協商模式調整為野蠻模式。本端身份識別為branch,分部身份識別為center,並製定對端地址為總部側公網地址。
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1]exchange-mode aggressive
[H3C-ike-profile-1] local-identity fqdn branch
[H3C-ike-profile-1] match remote identity fqdn center
[H3C-ike-profile-1] match remote identity address 101.88.26.34 255.255.255.255
[H3C-ike-profile-1]proposal 1
[H3C-ike-profile-1]quit
3.16 分部側創建IPSEC安全策略
#創建IKE安全策略GE1/0/3將transform-set、acl、ike-profile、本端地址、對端地址關聯起來。
[H3C]ipsec policy GE1/0/3 1 isakmp
[H3C-ipsec-policy-isakmp-GE1/0/3-1] transform-set GE1/0/3_IPv4_1
[H3C-ipsec-policy-isakmp-GE1/0/3-1]security acl 3999
[H3C-ipsec-policy-isakmp-GE1/0/3-1] remote-address 101.88.26.34
[H3C-ipsec-policy-isakmp-GE1/0/3-1]ike-profile 1
[H3C-ipsec-policy-isakmp-GE1/0/3-1]quit
3.17 分部側外網接口調用IPSEC策略和NAT動態轉換策略
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]ipsec apply policy GE1/0/3
[H3C-GigabitEthernet1/0/3]nat outbound 3888
[H3C-GigabitEthernet1/0/3]quit
3.18 保存配置
[H3C]save force
3.19 隧道驗證
#分部通過命令行查看display ike sa可以看到隧道狀態為RD狀態表示ike建立完成。
分支通過display ipsec sa可以看到IPSEC SA基本狀態。
#總部通過命令行查看display ike sa可以看到隧道狀態為RD狀態表示ike建立完成。
#分支通過display ipsec sa可以看到IPSEC SA基本狀態。
- 2024-04-10回答
- 評論(3)
- 舉報
-
(0)
對端阿裏雲是固定地址的
可以到,相關案例加答案裏了,
問過阿裏雲,回複說他那邊好像是不支持作為總部側這種方式來建立IPsec
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
問過阿裏雲,回複說他那邊好像是不支持作為總部側這種方式來建立IPsec