出口部署一台H3C路由器,负责代理内网用户上网流量;下联核心交换机,核心交换机负责整网业务网关,DHCP等功能。
二、实施内容
客户要求网络变动小,且要实现IPsec VPN功能,所以沟通后,将防火墙部署在出口路由器与核心交换机之间,设备两两三层互联。(透明模式不支持IPsec VPN功能)
AF设备接入,IP地址规划及配置,策略放通及配置路由不再赘述。
规划设备互联地址及接口如下表:
| 设备名称 | 接口 | 区域 | IP地址 | 对端设备 | IP地址 |
| NGAF | ETH4 | L3-untrust-A | 192.168.5.2/24 | 出口路由器 | 192.168.5.1/24 |
| | ETH5 | L3-trust-A | 192.168.9.1/24 | 核心交换机 | 192.168.9.2/24 |
2.1 总部出口设备映射端口
AF设备二级路由模式部署在客户总部,AF设备要实现IPSec VPN,需要总部出口设备将UDP:4500及UDP:500映射至防火墙上联口(ETH4:192.168.5.2/24);
客户实际环境为H3C路由器MSR3610,进入互联网接口配置如下(仅供参考):
[H3C-GigabitEthernet0/1]nat server protocol udp global xxx.xxx.xxx.xxx(公网地址) 500 inside 192.168.5.2 500
[H3C-GigabitEthernet0/1]nat server protocol udp global xxx.xxx.xxx.xxx(公网地址) 4500 inside 192.168.5.2 4500
2.2 IPsec VPN相关配置
本次防火墙版本为:AF8.0.26
2.2.1 AF接口配置
【网络】-【接口/区域】-【ETH4】-【勾选与IPSec VPN出口线路匹配】
2.2.2 IPSec VPN内网接口配置
【网络】-【IPSec VPN】-【VPN接口设备】-【添加内网设备】-【选择内网接口】
2.2.3 IPSec VPN第三方对接配置
【网络】-【IPSec VPN】-【第三方对接配置】-【新增第三方设备】-填写相关配置
主要包括:基础配置、IKE配置、IPSec配置三块;
第一块:【基础配置】
【设备名称】:配置可识别的名称即可;
【对端设备地址类型】:有3种,固定IP/动态域名/动态IP;
固定IP:对端有固定IP地址
动态域名:对端使用域名;
动态IP:对端网关设备通过拨号上网;
本次分支结构为固定IP;
【认证方式】:预共享密钥
【共享密钥】:总部与分支此密钥要一致;
【本端连接线路】:默认即可;与WAN接口保持一致;
配置如下:
【加密数据流】-此配置内容与分支机构要保持一致;
【本段地址】:本端允许分支机构访问总部的业务地址或者业务地址段(与分支机构配置保持一致)
本次总部配置172.24.14.3/32这一个业务地址;
【本端内网服务】:允许哪些内网服务,根据安全规范进行选择(所有服务/所有TCP服务/所有UDP服务/所有ICMP服务)
本次选择所有TCP服务(没有为什么,懒省事~~~~~~~
)
【对端地址】:分支机构有哪些内网地址要访问总部(与分支机构配置保持一致)
本次分支机构需要访问总部的业务地址为:172.16.40.0/24
【对端内网服务】:允许哪些内网服务,根据业务规范进行选择(所有服务/所有TCP服务/所有UDP服务/所有ICMP服务)
【阶段二安全提议(即SA参数)】某公司默认预置了很多,可能想表达总有一款适合你的意思~~~~~~~
【协议】选择【ESP】(没有为什么选他就行!!!!!),与分支机构要保持一致;
【加密算法】-【AES256】(没有为什么,就选最高的!!!!),与分支机构要保持一致
【认证算法】-【SHA2-512】(没有为什么,就选最高的!!!!),与分支机构要保持一致
【密钥完美向前保密(PFS)】-None(没有为什么,就选他就行!!!!),与分支机构保持一致;
配置完成后点击【提交】
配置如下:
第二块:【IKE配置】
【IKE版本】:有两个版本,IKEv1和IKEv2
本次选择IKEv2(IKEv1也测试了,可以建立隧道。但是还是选择了IKEv2,没啥就是觉得IKEv2高级(懒不想费鼠标)~~~~~
)
IKEv1截图
IKEv2截图
以IKEv2版本为例
【本段身份类型】:选择IP地址
【本端身份ID】:填写总部的公网IP地址即可;
【对端身份类型】:选择IP地址
【对端身份ID】:填写分支的公网IP地址即可;
【IKE SA超时时间】:默认即可;
【D-H群】:group16(没有为什么,就选最高的!!!!),与分支机构要保持一致
【DPD】:默认启用;
阶段一安全提议
【加密算法】:AES256(没有为什么,就选最高的!!!!),与分支机构要保持一致
【认证算法】:SHA2-256(没有为什么,看着顺眼!!!!),与分支机构要保持一致
【伪随机数生成函数(PRF)】:SHA2-256(这个是自动的,确实不知道为什么),与分支机构要保持一致
【IPsec配置】保持默认即可
至此,总部某公司AF的IPsec VPN相关配置完成。
2.3 分支机构USG华为配置IPsec VPN
本次华为防火墙型号为:USG6306 版本为:USG6300 V100R001C30SPCa00
【网络】-【IPSec】-【IPsec】-【新建】
场景:点到点
基本配置
【策略名称】:可识别的名称即可
【本段接口】:选择分支机构出接口;
【本端接口IP地址】:分支结构公网IP地址;
【对端地址】:总部公网IP地址;
【认证方式】:预共享密钥(与总部保持一致)
【预共享密钥】:与总部填写的密钥一样
【本端ID】选择IP地址即可 自动填写本端的公网IP;
【对端ID】选择IP地址即可;填写总部公网IP地址;
待加密的数据流
【地址类型】:IPv4
【源地址】:填写本端有哪些地址访问总部业务;
【目的地址】:填写本端要访问总部的哪些地址;
【协议】:any
【动作】:加密(符合以上定义流量时候,通过IPsec VPN隧道加密)
【反向路由注入】勾选;
安全提议(关键点-分支机构配置要与总部侧配置保持一致,否则会导致建立不起来隧道)
IKE参数
IKE版本:v2
加密算法:AES256(与总部保持一致)
认证算法:SHA2-256(与总部保持一致)
完整性算法:SHA2-256(与总部保持一致)
DH组:16(与总部保持一致)
其余默认即可;
IPsec参数
封装模式:隧道模式(敲黑板,重点,必选)
安全协议:ESP(敲黑板,重点,必选)
ESP加密算法:AES256(与总部保持一致)
ESP认证算法:SHA2-256(与总部保持一致)
PFS:NONE(与总部保持一致)
其余默认;
勾选NAT穿越;
至此,分支机构配置完毕~~~~~~~~~~~~
查看隧道是否建立成功;
通过系统故障日志查看建立日志,如果IPsec VPN建立有问题,也可以在这查看哪块出现问题;
如果建立IPSec VPN后,依然访问不了,可以排插一下数据是否走了IPsec VPN隧道。
华为查看命令参考一下:
最终业务测试
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-3-13 19:08
技术员1级 
