華為防火墻IPSEC虛擬專網(wǎng)基本配置

本文介紹一下華為防火墻上IPSEC 虛擬專網(wǎng)的配置方法，本范文內(nèi)沒有計劃NAT相關(guān)事項。

配置步驟：

一、 配置接口

二、 配置安全區(qū)域

三、 配置安全策略

四、 配置靜態(tài)路由

五、配置IPSEC

1. ike proposal

2. ike peer

3. ipsec proposal

4. ACL

5. ipsec policy

#調(diào)用ACL、IPSEC Proposal、ike peer

6. 在公網(wǎng)接口下調(diào)用IPSEC policy

詳細配置

一、 配置接口

#第一步是配置接口的IP地址，將公網(wǎng)、內(nèi)網(wǎng)接口都配置上IP

interface GigabitEthernet1/0/1

ip address 1.1.3.1 255.255.255.0

#

#

interface GigabitEthernet1/0/3

ip address 10.1.1.1 255.255.255.0

二、 配置安全區(qū)域

# 將內(nèi)網(wǎng)接口g1/0/3配置到Trust區(qū)域，外網(wǎng)接口G1/0/1配置到Untrust區(qū)域

firewall zone trust

add interface GigabitEthernet1/0/3

#

firewall zone untrust

add interface GigabitEthernet1/0/1

三、 配置安全策略

# 配置安全策略，這里做了四個策略

# 第1個策略是本防火墻Tust到對端的內(nèi)網(wǎng)IP網(wǎng)段的安全策略。

#第2個策略是對端的內(nèi)網(wǎng)IP網(wǎng)段到本防火墻的Trust區(qū)域的安全策略。

#第3個策略是本端公網(wǎng)IP與對端公網(wǎng)IP之間的安全策略

#第4個策略是對端公網(wǎng)IP與本端公網(wǎng)IP之間的安全策略

security-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10.1.1.0 mask 255.255.255.0

destination-address 10.1.2.0 mask 255.255.255.0

action permit

rule name policy2

source-zone untrust

destination-zone trust

source-address 10.1.2.0 mask 255.255.255.0

destination-address 10.1.1.0 mask 255.255.255.0

action permit

rule name policy3

source-zone local

destination-zone untrust

source-address 1.1.3.1 mask 255.255.255.255

destination-address 1.1.5.1 mask 255.255.255.255

action permit

rule name policy4

source-zone untrust

destination-zone local

source-address 1.1.5.1 mask 255.255.255.255

destination-address 1.1.3.1 mask 255.255.255.255

action permit

# 華為FW的IPSEC觸發(fā)是需要內(nèi)網(wǎng)流量訪問進行觸發(fā)，當FW_1收到PC1去往PC2的流量時，10.1.1.0 ---> 10.1.2.0,所以安全策略需要本端內(nèi)網(wǎng)去往對端內(nèi)網(wǎng)的流量允許通過。

# 防火墻收到這個數(shù)據(jù)包以后，查路由表，發(fā)現(xiàn)它應該被送往公網(wǎng)的接口G1/0/1，而這個接口下應用了IPSEC的Policy，并且這個流量與Policy的感興趣流匹配，所以會引發(fā)×××的協(xié)商

四、 配置靜態(tài)路由

ip route-static 1.1.5.0 255.255.255.0 1.1.3.254 # 去往對端公網(wǎng)IP的路由

ip route-static 10.1.2.0 255.255.255.0 1.1.3.254 # 去往對端私網(wǎng)IP的路由

五、配置IPSEC

acl number 3000

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

# 配置感興趣流，兩端的感興趣流的ACL需要互為鏡像，再強調(diào)一下，需要互為鏡像，即對端的ACL與本端相比，只能將源目互換，而不能改變網(wǎng)段或者成為子集什么通通不行。

#

ike proposal 10

encryption-algorithm aes-256

dh group14

authentication-algorithm sha2-256

authentication-method pre-share

integrity-algorithm hmac-sha2-256

prf hmac-sha2-256

# 其實這個是默認的，已經(jīng)很安全了，早年思科的路由器上，都是配置的DES和MD5

ike peer b

pre-shared-key Test!1234

ike-proposal 10

remote-address 1.1.5.1

#在這里可以配置IKE的版本，華為默認發(fā)起的IKE v2的協(xié)商

[FW_A-ike-peer-b]version ?

1 Only V1 SA's can be created

2 Only V2 SA's can be created

# 在這里也可以選擇Pashe 1的模式是主模式還是野蠻模式，默認是主模式，雙方都有固定公網(wǎng)IP，并且中間沒有穿越NAT設備時，可以使用主模式。如果一端是PPPOE撥號，使用野蠻模式。

[FW_A-ike-peer-b]exchange-mode ?

aggressive Aggressive mode

auto Auto mode

main Main mode

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

#默認的封裝模式是隧道模式，當兩個通訊點之間路由可達時，使用傳輸模式，路由不可達時，需要使用隧道模式

[FW_A-ipsec-proposal-tran1]encapsulation-mode ?

auto Specify automatic mode. The responder can accept negotiations in

transport or tunnel mode. The initiator initiates negotiations in

tunnel mode

transport Only the payload of IP packet is protected(transport mode)

tunnel The entire IP packet is protected(tunnel mode)

ipsec policy map1 10 isakmp

security acl 3000

ike-peer b

proposal tran1

#Policy需要調(diào)用三個參數(shù)，也可以說是把前面配置的信息進行關(guān)聯(lián)，1. 感興趣流 2. ike-peer 3. IPSEC協(xié)商時的轉(zhuǎn)換集。

interface GigabitEthernet1/0/1

ipsec policy map1

#在公網(wǎng)接口下調(diào)用ipsec policy

本文只列出了第一臺防火墻的配置信息，第二臺防火墻的配置信息可以參照第一臺防火墻的配置。

如果配置不通，恭喜你，很正常。在配置IKE和IPSEC時的隨便一個參數(shù)不匹配就會導致不通。那么我們可以通過以下方法排障

1. [FW_A]display ike sa

#正常情況下是有兩個ike的關(guān)聯(lián)的，每階段各一個，然后標志信息是一端為：

• RD--READY：表示此SA已建立成功。

• ST--STAYALIVE：表示此端是通道協(xié)商發(fā)起方。

# 標志信息的另一端沒有ST信息，只有RD|A

2019-07-16 12:13:03.740

IKE SA information :

Conn-ID Peer ××× Flag(s) Phase RemoteType RemoteID

------------------------------------------------------------------------------------------------------------------------------------

2 1.1.5.1:500 RD|ST|A v2:2 IP 1.1.5.1

1 1.1.5.1:500 RD|ST|A v2:1 IP 1.1.5.1

Number of IKE SA : 2

------------------------------------------------------------------------------------------------------------------------------------

Flag Description:

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT

HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING

<FW-B>display ipsec sa

#第二階段的SA，

2019-07-16 12:15:39.990

ipsec sa information:

===============================

Interface: GigabitEthernet1/0/1

===============================

-----------------------------

IPSec policy name: "map1"

Sequence number : 10

Acl group : 3000

Acl rule : 5

Mode : ISAKMP

-----------------------------

Connection ID : 2

Encapsulation mode: Tunnel

Holding time : 0d 0h 27m 45s

Tunnel local : 1.1.5.1:500

Tunnel remote : 1.1.3.1:500

Flow source : 10.1.2.0/255.255.255.0 0/0-65535

Flow destination : 10.1.1.0/255.255.255.0 0/0-65535

[Outbound ESP SAs]

SPI: 197382210 (0xbc3d042)

Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128

SA remaining key duration (kilobytes/sec): 10485666/1935

Max sent sequence-number: 1606

UDP encapsulation used for NAT traversal: N

SA encrypted packets (number/bytes): 1605/96300

[Inbound ESP SAs]

SPI: 196813874 (0xbbb2432)

Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128

SA remaining key duration (kilobytes/sec): 10485666/1935

Max received sequence-number: 1600

UDP encapsulation used for NAT traversal: N

SA decrypted packets (number/bytes): 1619/97140

Anti-replay : Enable

Anti-replay window size: 1024

以上兩個方法只能查看錯誤，想動態(tài)的排障，在實驗環(huán)境推薦3 種做法

一、 debug的方法，這種方法可以查看到有哪些地方會報錯，需要一定的功底

termial monitor

terminal debugging

debugging ikev2 [error|all]

二、 抓包：在ENSP環(huán)境中去抓包，看看數(shù)據(jù)的狀態(tài)

三、每天敲一遍實驗，連續(xù)十天，前幾次敲實驗，一定會出問題，一個一個地方對照著去排查。

在進行實驗以前，有一些知識需要提前準備好：

1. ?加密學原理：對稱加密、非對稱加密

2. ?散列算法

3. ?ISAKMP與IKE的關(guān)系

4. DH算法，可以去維基百科看看，有個文檔非常不錯。

5. Pashe1和Pahase2各自的作用

6. AH和ESP的特征
   

7. ?預共享密鑰：我們配置的這個pre-share-key并不是用于加密的密鑰，它只是用于做身份驗證的一個參數(shù)；加密的密鑰是DH算法通過交換密鑰素材計算出的兩邊一致的對稱加密的密鑰