网络拓扑图
总部是一台某公司 WOC设备,单臂部署 分支是一台华三的防火墙,网关模式部署 总部和分支建立标准的IPSEC VPN
注意事项,首先要检查WOC是否有第三方授权,在控制台->维护->序列号中查看
单臂部署需要在出口设备做好UDP500、4500端口映射
一、华三防火墙配置步骤 1、配置安全选项 # 创建 IPsec 安全提议为transform-gxdx
[GLDX_Master_FW]ipsec transform-set transform-gxdx
# 配置采用的安全协议为 ESP。
[GLDX_Master_FW-ipsec-transform-set-transform-gxdx]protocol esp
# 配置 ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5。
[DeviceA-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceA-ipsec-transform-set-transform1] esp authentication-algorithm md5
2、配置IKE SA参数 #创建IKE proposal 为1 [GLDX_Master_FW]ike proposal 1 # 配置D-H群为group2 [GLDX_Master_FW-ike-proposal-1]dh group2 # 配置 ISAKMP加密算法为 3DES, ISAKMP认证算法为 HMAC-MD5。 [GLDX_Master_FW-ike-proposal-1]encryption-algorithm 3des-cbc [GLDX_Master_FW-ike-proposal-1]authentication-algorithm md5 #配置ISAKMP存活时间 [GLDX_Master_FW-ike-proposal-1]sa duration 3600
3、配置共享密钥 # 创建 IKE keychain,名称为 keychain-gxdx [GLDX_Master_FW]ike keychain keychain-gxdx # 配置对端主机名为 gxdx 对端使用的预共享密钥为明文 密钥:sangfor
[GLDX_Master_FW-ike-keychain-keychain-gxdx]pre-shared-key hostname gxdx key simple sangfor
4、配置协商模式、身份ID类型和身份ID #创建 IKE profile,名称为 profile-gxdx [GLDX_Master_FW]ike profile profile-gxdx # 指定引用的 IKE keychain 为 keychain-gxdx
[GLDX_Master_FW-ike-profile-profile-gxdx]keychain keychain-gxdx #启用DPD 配置检测间隔为5秒 [GLDX_Master_FW-ike-profile-profile-gxdx]dpd interval 5 on-demand # 配置协商模式为野蛮模式 [GLDX_Master_FW-ike-profile-profile-gxdx]exchange-mode aggressive # 配置本端身份为 user-fqdn 名称 gldx
[GLDX_Master_FW-ike-profile-profile-gxdx]local-identity user-fqdn gldx # 配置对端身份为 user-fqdn 名称 gxdx [GLDX_Master_FW-ike-profile-profile-gxdx]match remote identity user-fqdn gxdx #指定引用用IKE SA参数 为proposal 1 [GLDX_Master_FW-ike-profile-profile-gxdx]proposal 1
5、配置出入站策略 #创建acl advanced 3600 [GLDX_Master_FW]acl advanced 3600 #配置允许源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的数据流 [GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source 10.88.0.0 0.0.255.255 destination 10.145.1.0 0.0.0.255 #配置允许源IP 10.145.1.0/24 去往目的IP10.88.0.0/16的数据流 [GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source 10.145.1.0 0.0.0.255 destination 10.88.0.0 0.0.255.255
6、配置IPsec vpn策略以及引用相关配置 # 创建一条 IKE 协商方式的 IPsec 安全策略,名称为 policy-gxdx,顺序号为 1
[GLDX_Master_FW]ipsec policy policy-gxdx 1 isakmp #指定应用IPsec 安全提议为transform-gxdx [GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]transform-set transform-gxdx #指定应用出入站策略规则为acl 3600 [GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]security acl 3600 #配置 IPsec 隧道的本端 IP 地址为 116.1.3.91 [GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]local-address 116.1.3.91 #配置 IPsec 隧道的对端 IP 地址为 58.59.136.46 [GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]remote-address 58.59.136.46 #配置第二阶段出站的SA保活时间为3600 [GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]sa duration time-based 3600
7、在设备的互联网互联接口引用ipsec vpn策略 #进入互联网互联接口 [GLDX_Master_FW]interface GigabitEthernet 1/0/1 #配置互联网互联接口引用ipsec vpn策略 [GLDX_Master_FW-GigabitEthernet1/0/1]ipsec apply policy policy-gxdx
8、添加去往总部的VPN路由 目的地址写总部的服务器网段,下一跳交给总部的公网IP [GLDX_Master_FW] ip route-static 10.145.1.0 255.255.255.0 58.59.136.46
9、配置分支去往总部的数据不被NAT #进入NAT的配置规则 [GLDX_Master_FW]acl advanced 3000 #配置拒绝源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的数据流(ACL规则是从上往下匹配的,需要把deny的放在permit的上面) [GLDX_Master_FW-acl-ipv4-adv-3000]rule deny ip source 10.88.0.0 0.0.255.255 destination 10.145.0.0 0.0.0.255
注意事项,华三防火墙的NAT优先级比ipsec vpn的优先高,需要到NAT配置deny 把源内网IP去往总部IP的数据包拒绝NAT,这样数据包就不会被NAT了
二、总部WOC配置 1、配置IPsec VPN第一阶段 使用野蛮模式,远程ip是对端的公网IP,IKE SA参数需要配置两端一致,启用DPD需要两端启用,有NAT环境需要启用NAT-T(NAT穿透),NAT-T对端无需配置会自动协商启用
2、配置IPsec VPN 第二阶段入站策略 服务和时间自定义,如果没有要求选择所有服务和全部生效,远程IP中填写分支的内网网段和掩码,选择对应的对端设备,启用该策略即可
5、配置IPsec VPN第二阶段出站策略 服务和时间自定义,如果没有要求选择所有服务和全部生效,本地IP中填写本地服务器的网段和掩码,选择对应的对端设备,SA保活时间 3600秒,启用该策略,需要把密钥完美向前保密的勾去掉,不启用这个功能
6、查看IPsec VPN状态 可以通过日志和VPN状态查看VPN隧道是否建立成功
注意事项:如果两端内网都有多个IP段需要访问,建议先使用一个网段把VPN隧道建立正常后再添加其他子网
|