20 元
下载资源

策略模版方式

上传人:陆** 文档编号:172649318 上传时间:2022-12-05 格式:DOCX 页数:20 大小:61.04KB
返回 下载 相关 举报
策略模版方式_第1页
第1页 / 共20页
策略模版方式_第2页
第2页 / 共20页
策略模版方式_第3页
第3页 / 共20页
点击查看更多>>
资源描述
卜Huawei 1/ SymantecIPSEC 建立点到多点 SA 策略模版方式在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支 机构的组网,分支节点建立到总部的IPSEC VPN隧道,各个分支机构之间的通信 由总部节点转发和控制实现HUB-Spoke组网的配置有2种配置方式,子策略方 式与策略模版方式,其中子策略方式可以由双方主动发起IPSEC连接,适用于分 支固定IP,策略模版方式只能由下端发起IPSEC连接,适用于分支动态IP.组网图200.0.1.1E0/0/010.0.1200.0.0.1E1/0/010.0.1.0/24200.0.2.110.0.210.0.2.0/24E0/0/0FWCIPSEC IKE方式建立点到多点SA组网图组网需求 总部FWA为固定公网地址,FWB FWC为动态公网IP(实验环境配置 静态IP模拟动态IP,不影响IPSEC的配置,现网可能是通过ADSL或 PPPOE 获得的 IP) 分支机构PC2 PC3与能与总部PC1之间进行安全通信,在PC2 PC3 与PC1能够安全通信之后,PC2 PC3能够通过FWA进行安全通信,FWA与FWB FWC之间使用IKE野蛮模式建立安全通道,FWB FWC不直接建立任何IPSEC连接。 在 FWA A 和 FWB FWC 上均配置序列号为 10 的 IKE 提议。 为使用 pre-shared key 验证方法的提议配置验证字。适用产品、版本设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB/FWC Eudemon200 软件版本: V2R1 及以上 实验版本 Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036密配置思路和步骤1)防火墙基本配置,包括 IP 地址,安全域2)配置公网路由, 一般情况下,防火墙上配置静态路由3)定义用于包过滤和加密的数据流4)配置域间通信规则5)配置 IPSec 安全提议6) 配置 IKE 提议7)配置IKE Peer和野蛮模式8)配置安全策略模版9)配置和引用安全策略配置过程和解释(关键配置)配置总部 FWA:1)配置到达分支机构的静态路由FWAip route-static 0.0.0.0 0.0.0.0 200.0.0.22)定义用于包过滤和加密的数据流,ACL3000定义到所有分支机构FWB FWC 网段的数据流,为了实现分支的互通,Soure定义为包括总部和分支的所有网段,destination定义为各个分支的明细网段.FWAacl 3000FWA-acl-adv-3000 rule permit ip source 10.0.0.0 0.255.255.255 destination 10.0.1.0 0.0.0.255FWA-acl-adv-3000 rule permit ip source 10.0.0.0 0.255.255.255 destination 10.0.2.0 0.0.0.255FWA-acl-adv-3001quit3)配置trust与untrust域间包过滤规则FWAfirewall packet-filter default permit interzone trust untrust4)配置untrust与local域间包过滤规则FWAfirewall packet-filter default permit interzone local untrust说明Trust和untrust的域间规则可以配置默认放开,也可以配置用ACL来放开.配置 Local和Un trust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信, 使其能够协商SA。5)配置IPSec安全提议密# 创建名为 tran1 的 IPSec 提议。FWAipsec proposal tran1# 配置安全协议。FWA-ipsec-proposal-tran1transform espEsp 为默认安全协议,可以不配置# 配置报文封装类型。FWA-ipsec-proposal-tran1encapsulation-mode tunnelTunnel 为默认封装类型,可以不配置# 配置 ESP 协议的认证算法。FWA-ipsec-proposal-tran1esp authentication-algorithm md5md5为默认ESP协议的认证算法,可以不配置# 配置 ESP 协议的加密算法。FWA-ipsec-proposal-tran1esp encryption-algorithm desdes为默认ESP协议的加密算法,可以不配置# 退回系统视图FWA-ipsec-proposal-tran1quit6) 配置 IKE 提议。FWA ike proposal 10# 配置使用 pre-shared-key 验证方法。FWA-ike-proposal-10 authentication-method pre-sharepre-shared-key验证方法为默认验证方法,可以不配置#配置使用SHA1验证算法。FWA-ike-proposal-10 authentication-algorithm sha1Sha1 为默认验证算法,可以不配置#配置ISAKMP SA的生存周期为86400秒。FWA-ike-proposal-10 sa duration 8640086400秒为默认AKMP SA的生存周期# 退回系统视图。FWA-ike-proposal-10 quit黑i HuaweiJ ft/ Symante匚7)配置 IKE Peer# 创建名为 a 的 IKE peerFWA ike peer a# 引用 IKE 安全提议。FWA-ike-peer-a ike-proposal 10# 配置 IKE 的协商方式为野蛮模式。FWA-ike-peer-a exchange-mode aggressive#配置验证字为“huawei”。FWA-ike-peer-a pre-shared-key huaweiMl说明验证字的配置需要与对端设备相同。8) 配置安全策略模版# 创建安全策略模版 map1tmp。FWA ipsec policy-template map1tmp 10# 引用 ike-peer a。FWA-ipsec-policy-templet-map1tmp-10 ike-peer a# 引用名为 tran1 的安全提议。FWA-ipsec-policy-templet-map1tmp-10 proposal tran1# 引用组号为 3000 的 ACL。security acl 3000FWA-ipsec-policy-templet-map1tmp-10# 退回系统视图。FWA-ipsec-policy-templet-map1tmp-10 quit# 创建 IPSEC 安全策略 map1FWA ipsec policy map1 10 isakmp template map1tmp9) 引用安全策略# 进入以太网接口视图。FWA interface Ethernet 1/0/0# 引用 IPSec 策略。FWA-Ethernet1/0/0 ipsec policy map1密FWB 的配置:1)配置到达总部和其他私网的静态路由FWBip route-static 0.0.0.0 0.0.0.0 200.0.1.22)定义用于包过滤和加密的数据流,为了实现和总部及分支的通信,source定义 为分支节点的明细网段,destination定义为总部和分支的所有网段.FWBacl 3000FWB-acl-adv-3000 rule permit ip source 10.0.1.0 0.0.0.255 destination10.0.0.0 0.255.255.255FWB-acl-adv-3000quit3)配置trust与untrust域间包过滤规则FWBfirewall packet-filter default permit interzone trust untrust4)配置untrust与local域间包过滤规则FWBfirewall packet-filter default permit interzone local untrust说明配置Local和Un trust域间缺省包过滤规则的目的为允许IPSec隧道两端设备 通信,使其能够协商 SA。5)配置IPSec安全提议#创建名为tran1的IPSec提议。FWBipsec proposal tran1# 配置安全协议。FWB-ipsec-proposal-tran1transform espEsp 为默认安全协议,可以不配置# 配置报文封装类型。FWB-ipsec-proposal-tran1encapsulation-mode tunnelTunnel 为默认封装类型,可以不配置# 配置 ESP 协议的认证算法。FWB-ipsec-proposal-tran1esp authentication-algorithm md5md5为默认ESP协议的认证算法,可以不配置# 配置 ESP 协议的加密算法。FWB-ipsec-proposal-tran1esp encryption-algorithm desdes为默认ESP协议的加密算法,可以不配置# 退回系统视图密FWB-ipsec-proposal-tran1quit6) 配置 IKE 提议。FWB ike proposal 10# 配置使用 pre-shared-key 验证方法。FWB-ike-proposal-10 authentication-method pre-sharepre-shared-key 验证方法为默认验证方法,可以不配置# 配置使用 SHA1 验证算法。FWB-ike-proposal-10 authentication-algorithm sha1Sha1 为默认验证算法,可以不配置# 配置 ISAKMP SA 的生存周期为 86400 秒。FWB-ike-proposal-10 sa duration 8640086400秒为默认IAKMP SA的生存周期# 退回系统视图。FWB-ike-proposal-10 quit7) 配置 IKE Peer# 创建名为 b 的 IKE peerFWB ike peer b# 引用 IKE 安全提议。FWB-ike-peer-b ike-proposal 10# 配置 IKE 的协商模式为野蛮模式FWB-ike-peer-b exchange-mode aggressive#配置隧道对端IP地址。FWB-ike-peer-b remote-address 200.0.0.1#配置验证字为“huawei”。FWB-ike-peer-b pre-shared-key huaweiMl说明验证字的配置需要与对端设备相同。8) 配置安全策略# 创建安全策略。FWB ipsec policy map1 10 isakmp# 引用 ike-peer b。ike-peerFWB-ipsec-policy-isakmp-map1-10# 引用名为 tran1 的安全提议。FWB-ipsec-policy-isakmp-map1-10proposaltran1# 引用组号为 3000 的 ACL。FWB-ipsec-policy-isakmp-map1-10securityacl 3000# 退回系统视图。quitFWB-ipsec-policy-isakmp-map1-109) 引用安全策略# 进入以太网接口视图。FWB interface Ethernet 1/0/0# 引用 IPSec 策略。FWB-Ethernet1/0/0 ipsec policy map1FWC的配置与FWB的配置相同完整配置FWA的配置:FWAdisplay current-configuration#acl number 3000rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.1.0 0.0.0.255rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.2.0 0.0.0.255#sysname FWA#firewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outbound#bypass switch-back auto#firewall statistic system enable#ike proposal 10#ike peer aexchange-mode aggressivepre-shared-key huaweiike-proposal 10#ipsec proposal tran1#ipsec policy-template map1tmp 10security acl 3000ike-peer aproposal tran1#ipsec policy map1 10 isakmp template map1tmp#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0#interface Ethernet0/0/1#interface Ethernet1/0/0ip address 200.0.0.1 255.255.255.0ipsec policy map1#interface Ethernet1/0/1ip address 10.0.0.1 255.255.255.0#interface Ethernet1/0/2# interface Ethernet1/0/3# interface Ethernet1/0/4# interface Ethernet1/0/5# interface Ethernet1/0/6# interface Ethernet1/0/7#interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Ethernet1/0/1#firewall zone untrustset priority 5add interface Ethernet1/0/0#firewall zone dmzset priority 50#firewall zone vzoneset priority 0#aaaauthentication-scheme default#authorization-scheme default#accounting-scheme default#domain default#slb#ip route-static 0.0.0.0 0.0.0.0 200.0.0.2#user-interface con 0user-interface aux 0 authentication-mode noneuser-interface vty 0 4#returnFWB 的配置:display current-configurationsysname FWBfirewall packet-filter default permitinterzone local untrust directioninboundfirewall packet-filter default permitinterzone local untrust directionoutboundfirewall packet-filter default permitinterzone trust untrust directioninboundfirewall packet-filter default permitinterzone trust untrust directionoutboundfirewallstatistic system enablenat alg enable ftpnat alg enable dnsnat alg enable icmpnat alg enable netbiosundo nat alg enable h323undo nat alg enable hwccundo nat alg enable ilsundo nat alg enable pptpundo nat alg enable qqundo nat alg enable msnundo nat alg enable user-defineundo nat alg enable rtspfirewall permit sub-ipike proposal 10#ike peer bexchange-mode aggressivepre-shared-key huaweiike-proposal 10remote-address 200.0.0.1#ipsec proposal tran1#ipsec policy map1 10 isakmpsecurity acl 3000ike-peer bproposal tran1#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0ip address 200.0.1.1 255.255.255.0ipsec policy map1#interface Ethernet0/0/1ip address 10.0.1.1 255.255.255.0undo ip fast-forwarding qff#interface Ethernet1/0/0#interface Ethernet1/0/1#interface NULL0#acl number 3000rule 5 permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.00.255.255.255#firewall zone localset priority 100#firewall zone trustset priority 85add interface Ethernet0/0/1#firewall zone untrustset priority 5add interface Ethernet0/0/0#firewall zone dmzset priority 50#firewall interzone local trust#firewall interzone local untrust# firewall interzone local dmz#firewall interzone trust untrust# firewall interzone trust dmz#firewall interzone dmz untrust#aaa authentication-scheme default# authorization-scheme default#accounting-scheme default#domain default#ip route-static 0.0.0.0 0.0.0.0 200.0.1.2#user-interface con 0user-interface aux 0user-interface vty 0 4#returnFWC 的配置:display current-configurationsysname FWCfirewall packet-filter default permitinterzone local untrust directioninboundfirewall packet-filter default permitinterzone local untrust directionoutboundfirewall packet-filter default permitinterzone trust untrust directioninboundfirewall packet-filter default permitinterzone trust untrust directionoutboundfirewallstatistic system enablenat alg enable ftpnat alg enable dnsnat alg enable icmpnat alg enable netbiosundo nat alg enable h323undo nat alg enable hwccundo nat alg enable ilsundo nat alg enable pptpundo nat alg enable qqundo nat alg enable msnundo nat alg enable user-defineundo nat alg enable rtspfirewall permit sub-ipike proposal 10 ike peer cexchange-mode aggressive pre-shared-key huawei ike-proposal 10remote-address 200.0.0.1 #ipsec proposal tran1#ipsec policy map1 10 isakmpsecurity acl 3000ike-peer cproposal tran1#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0ip address 200.0.2.1 255.255.255.0ipsec policy map1#interface Ethernet0/0/1ip address 10.0.2.1 255.255.255.0undo ip fast-forwarding qff#interface Ethernet1/0/0#interface Ethernet1/0/1#interface NULL0#acl number 3000rule 5 permit ip source 10.0.2.0 0.0.0.255 destination 10.0.0.0 0.255.255.255#firewall zone localset priority 100#firewall zone trustset priority 85add interface Ethernet0/0/1#firewall zone untrustset priority 5add interface Ethernet0/0/0#firewall zone dmzset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local dmz#firewall interzone trust untrust#firewall interzone trust dmz#firewall interzone dmz untrust#aaaauthentication-scheme default#authorization-scheme default#accounting-scheme default#domain default#ip route-static 0.0.0.0 0.0.0.0 200.0.2.2#user-interface con 0user-interface aux 0user-interface vty 0 4#return结果验证1) PC2 PC3可以访问PC1,之后PC1能够访问到PC2 PC3, PC2 PC3 在访问到PC1之后能后互访注意在IPSEC SA建立之前,PC1不能主 动访问PC2 PC3, PC2 PC3也不能互访.IPSEC SA只能由分支节点触 发.2) 总部防火墙FWA上可以查看到两对IKE SA, phase 1表示IKE协商, phase2 表示 IPSEC SA 协商.FWAdisplay ike saconnection-idpeervpnflagphasedoi10200.0.2.10RD1IPSEC8200.0.1.10RD1IPSEC11200.0.2.10RD2IPSEC9200.0.1.10RD2IPSECflag meaningRD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUT分支上 FWB 可以查看到总部 peer 的 IKE phase 1 和 phase 2 display ike saconnection-idpeerflagphasedoi13200.0.0.1RD|ST1IPSEC14200.0.0.1RD|ST2IPSECflag meaningRD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUTdisplay ike sa secp 命令显示信息含义字段含义Encrypto card高速加密卡槽位信息。connection-id安全通道的标识符。Peer此安全联盟的对端的IP地址。Flag显示此安全联盟的状态: RD(READY):表示此SA已建立成功。 ST (STAYALIVE):表示此端是通道协商发起方。 RL(REPLACED):表示此通道已经被新的通道代替,一段时间后将被删除。 FD(FADING):表示此通道已发生过一次软超时,目前还在使用,在硬超 时时会删除此通道。 TO(TIMEOUT):表示此SA在上次keepalive超时发生后还没有收到 keepalive报文,如果在下次keepalive超时发生时仍没有收到keepalive报 文,此SA将被删除。Phase此SA所属阶段: Phase 1:建立安全通道进行通信的阶段,此阶段建立ISAKMP SA。 Phase 2:协商安全服务的阶段,此阶段建立IPSec SA。DoiSA所属解释域。3)总部防火墙FWA上可以查看到两对双向的IPSEC SA,分别是对应两个分支FWB FWCFWAdisplay ipsec sa briefcurrent ipsec sa number: 4Src AddressDst AddressSPIVPN Protocol Algorithm200.0.2.1200.0.0.110523970000ESPE:DES;A:HMAC-MD5-96;200.0.1.1200.0.0.131443880960ESPE:DES;A:HMAC-MD5-96;200.0.0.1200.0.1.123749584760ESPE:DES;A:HMAC-MD5-96;200.0.0.1 200.0.2.1 294016701 0 ESP E:DES;A:HMAC-MD5-96;分支节点FWB FWC上可以查看到FWA的一对反向IPSEC SAdis ipsec sa briefcurrent ipsec sa number: 2Src Address Dst Address SPI Protocol Algorithm3144388096 ESP2374958476 ESP200.0.1.1200.0.0.1E:DES;A:HMAC-MD5-96;200.0.0.1200.0.1.1E:DES;A:HMAC-MD5-96;配置注意事项1)防火墙上必须有到达对方私网网段的正确路由 (尽管该路由可能是不可达的 , 可以是明细路由 ,可以是默认路由等 ),正确是指配置路由的出接口一定是使能 IPSEC policy的接口,该路由的作用是将需要IPSEC加密的报文送到使能IPSEC policy的接口 进行处理.2)USG50/3000, E100/100S/200/200S连接内网的接口需要取消接口快转功能, 否则IPSEC SA不会触发建立,命令为undo ip fast-forwarding qff,出接口无需配置该命 令,E300/500/1000转发由NP处理,无此命令.3)注意总部和分支节点的ACL配置,主动触发IPSEC VPN的防火墙(在策略模 版方式下只能是分支机构的防火墙)ACL中必须定义Source字段,一般推荐同时定义密Source 和 Destination 字段, 如果 ACL 中只定义了 destination 字段,该防火墙不能主动 触发IPSEC SA建立,但可以被动响应对端的IPSEC SA请求,建立IPSEC SA.4) 本例中各分支节点通过总部节点互通,通过如下ACL实现:FWA的源为总部和分支的所有网段地址范围,目的是明细的某分支网段:acl number 3000rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.1.00.0.0.255rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.2.00.0.0.255FWB的源为分支的明细网段,目的是总部和分支的所有网段地址范围acl number 3000rule 5 permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.00.255.255.255FWC的源为分支的明细网段,目的是总部和分支的所有网段地址范围acl number 3000rule 5 permit ip source 10.0.2.0 0.0.0.255 destination 10.0.0.00.255.255.255可以看到总部与分支ACL的source与destination是匹配的.如果各个分支之间不需要互通,只需要和总部互通,参考普通点到点 IPSEC 中 ACL 的配置,定义明细的ACL source和destination.注意各个分支机构是不可以直接互 通的,必须在和总部通信之后才可以通过总部防火墙互通5) 在总部防火墙上只需要配置一个 IKE peer, 该 IKE peer 不需要指定 remote-address,因为其他分支机构的公网 IP不固定.注意V2R6在一个IPSEC policy-template 中只能使用一个 remote-address 的 peer,否则报错:Only one template ike-peers remote addresses is null in a templete group.注意如果在E200上配置策略模版,无此限制,E200在策略模版+野蛮模式下可 以动态匹配对端的ACL,security ACL也不需要配置.6) IPSEC Proposal 和 IKE Proposal 的默认配置在display current-configuration 中不会显示,需要 display ike proposal 和 display ipsec proposal 显示.如:display ipsec proposalIPsec proposal name: tran1encapsulation mode: tunneltransform: esp-newESP protocol: authentication md5-hmac-96, encryption desdisplay ike proposalpriority authentication authentication encryption Diffie-Hellman durationmethod(seconds)algorithmalgorithmgroup10PRE_SHAREDSHADES_CBCMODP_76886400defaultPRE_SHAREDSHADES_CBCMODP_76886400ike proposal 提供一个默认的 proposal default, 如果在 ike 的 peer 中没有配置 ike proposal,IPSEC 会使用默认的 proposal default.常见问题及解决思路1) IPSEC SA 不触发建立, debugging ipsec all 无任何信息,1. con sole 上未配置 term inal debugg ing, telnet 或 SSH 下未配置 term inal debugging 和 terminal monitor2. 到达对方网段的路由配置不正确, 下一跳出接口不是 IPSEC Policy 接 口3. 对于 USG50/3000, E100/100S/200/200S 需要去掉防火墙内网口的快 转2) 对于两端 IPSEC proposal, IKE proposal, IKE peer配置不一致问题,通过 debugging ipsec all, debugging ike all 查看报错信息3) IPSEC SA不能建立,查看IKE SA只有Phase 1建立,Phase 2无法建立,可以查看双方的ACL配置,发起方必须配置source,且必须和对端保持一致.4) 不能使用E300/500/1000的管理口 E0/0/0 E0/0/1作为业务口,如果在管 理口配置IPSEC Policy,会出现IPSEC报文能够解密,不能加密的现象.5) 策略模版方式下, 总部不能和分支机构通信, 查看 IPSEC SA 是否建立, 总部节点是不能触发建立IPSEC SA的,只有分支节点触发建立了 IPSEC SA之后,总部 才可以访问分支.6) 部分网络在应用了 IPSEC之后,会出现大于1472的大包不能通过,网页不 能打开等问题,该问题均为MTU问题,请注意修改MTU.7) Eudemon300/500/1000在路由模式下支持硬件IPSEC加密卡,如果是 低速IPSEC卡,不需要再进行设置,即插即用,如果是高速IPSEC卡则需要设置为 firewall mode route hipsec,否则IPSEC卡不生效,设置后需要重启.
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸设计 > 毕设全套


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!