华为USG5300 采用IKE安全策略方式建立IPSec隧道

2024-04-13 05:38

本文主要是介绍华为USG5300 采用IKE安全策略方式建立IPSec隧道,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

组网需求:

如图所示,网络A和网络B分别通过USG5300 A和USG5300 B与Internet相连。网络环境描述如下:
网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/0与USG5300 A连接。
网络B属于10.1.3.0/24子网,通过接口GigabitEthernet 0/0/0与USG5300 B连接。
USG5300 A和USG5300 B路由可达。Network A 可以ping通Network B

网络拓扑

操作步骤:

1、配置USG5300A

  • 配置接口IP地址
[SRG]sysname USGA
[USGA]interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0]ip address  10.1.1.1 24
[USGA-GigabitEthernet0/0/0]quit
[USGA]interface  GigabitEthernet  0/0/1
[USGA-GigabitEthernet0/0/1]ip address  192.13.2.1 24
[USGA-GigabitEthernet0/0/1]quit
  • 配置接口加入相应安全区域
[USGA]firewall zone  trust
[USGA-zone-trust]add  interface  GigabitEthernet  0/0/0
[USGA-zone-trust]quit 
[USGA]firewall zone  untrust
[USGA-zone-untrust]add  interface  GigabitEthernet  0/0/1
[USGA-zone-untrust]quit
  • 配置域间包过滤规则
[USGA]firewall packet-filter default permit  interzone  trust  untrust
[USGA]firewall packet-filter default permit  interzone  untrust local

既可以打开Trust域和Untrust域的域间缺省包过滤规则,也可以通过ACL定义包过滤规则。
配置Local域和Untrust域的域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够进行隧道协商。

  • 配置到达分支机构的静态路由,下一跳192.13.2.2
[USGA]ip route-static 0.0.0.0 0.0.0.0 192.13.2.2
  • 定义被保护的数据流
[USGA-acl-adv-3000]rule  permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255

为了实现分支的互通,高级ACL的源地址(Source)定义为包括总部和分支的所有网段,目的地址(Destination)定义为各个分支的精确网段。

  • 配置名称为tran1的IPSec安全提议
[USGA]ipsec proposal tran1
[USGA-ipsec-proposal-tran1]encapsulation-mode tunnel
[USGA-ipsec-proposal-tran1]transform esp
[USGA-ipsec-proposal-tran1]esp authentication-algorithm  md5
[USGA-ipsec-proposal-tran1]esp encryption-algorithm des
[USGA-ipsec-proposal-tran1]quit

其中,ESP为默认的安全协议,Tunnel为默认的封装模式,可以不配置。MD5为ESP默认的认证算法,DES为ESP默认的加密算法,可以不配置。

  • 配置序号为10的IKE安全提议
[USGA]ike  proposal  10
[USGA-ike-proposal-10]authentication-method pre-share
[USGA-ike-proposal-10]authentication-algorithm sha1
[USGA-ike-proposal-10]quit

pre-shared-key验证方法为IKE默认的验证方法,SHA1为默认验证算法,可以不配置。

  • 配置IKE Peer
[USGA]ike  peer  b
[USGA-ike-peer-b]ike-proposal  10
[USGA-ike-peer-b]remote-address 131.108.5.2
[USGA-ike-peer-b]pre-shared-key abcde
[USGA-ike-peer-b]quit

USG5300同时开启IKEv1和IKEv2,缺省情况下采用IKEv2进行协商,若对端不支持IKEv2,请禁用IKEv2,采用IKEv1进行协商。请在IKE Peer视图下执行命令[ undo ] version { 1 | 2 }进行配置。
隧道对端IP地址分别为USG5300 B与Internet相连的接口的IP地址。
验证字的配置需要与对端设备相同

  • 配置IPSec安全策略组map1
[USGA]ipsec  policy map1 10 isakmp
[USGA-ipsec-policy-isakmp-map1-10]security  acl  3000
[USGA-ipsec-policy-isakmp-map1-10]proposal tran1
[USGA-ipsec-policy-isakmp-map1-10]ike-peer  b
[USGA-ipsec-policy-isakmp-map1-10]quit

在接口G0/0/1上应用安全策略组map1

[USGA]interface  GigabitEthernet  0/0/1
[USGA-GigabitEthernet0/0/1]ipsec  policy map1
[USGA-GigabitEthernet0/0/1]quit

2、配置USG5300B

  • 配置接口IP地址
[SRG]sysname USGB
[USGB]interface  GigabitEthernet  0/0/0
[USGB-GigabitEthernet0/0/0]ip address  10.1.3.1 24
[USGB-GigabitEthernet0/0/0]quit
[USGB]interface  GigabitEthernet  0/0/1
[USGB-GigabitEthernet0/0/1]ip address  131.108.5.2 24
[USGB-GigabitEthernet0/0/1]quit
  • 配置接口加入相应安全区域
[USGB]firewall zone  trust
[USGB-zone-trust]add  interface  GigabitEthernet  0/0/0
[USGB-zone-trust]quit
[USGB]firewall zone  untrust
[USGB-zone-untrust]add  interface  GigabitEthernet  0/0/1
[USGB-zone-untrust]quit
  • 配置域间包过滤规则
[USGB]firewall packet-filter  default  permit  interzone  trust  untrust
[USGB]firewall packet-filter  default  permit  interzone  untrust  local
  • 配置到达分支机构的静态路由,下一跳131.108.5.1
[USGB]ip route-static 0.0.0.0 0.0.0.0 131.108.5.1
  • 定义被保护的数据流
[USGB-acl-adv-3000]rule  permit  ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
  • 配置名称为tran1的IPSec安全提议
[USGB]ipsec  proposal tran1
[USGB-ipsec-proposal-tran1]encapsulation-mode tunnel
[USGB-ipsec-proposal-tran1]transform esp
[USGB-ipsec-proposal-tran1]esp authentication-algorithm md5
[USGB-ipsec-proposal-tran1]esp encryption-algorithm des
[USGB-ipsec-proposal-tran1]quit
  • 配置序号为10的IKE安全提议
[USGB]ike proposal 10
[USGB-ike-proposal-10]authentication-method pre-share
[USGB-ike-proposal-10]authentication-algorithm sha1
[USGB-ike-proposal-10]quit
  • 配置IKE Peer
[USGB]ike peer  a
[USGB-ike-peer-a]ike-proposal  10
[USGB-ike-peer-a]remote-address 192.13.2.1
[USGB-ike-peer-a]pre-shared-key abcde
[USGB-ike-peer-a]quit
  • 配置IPSec安全策略组map1
[USGB]ipsec  policy map1 10 isakmp
[USGB-ipsec-policy-isakmp-map1-10]security  acl  3000
[USGB-ipsec-policy-isakmp-map1-10]proposal tran1	
[USGB-ipsec-policy-isakmp-map1-10]ike-peer a	
[USGB-ipsec-policy-isakmp-map1-10]quit
  • 在接口G0/0/1上应用安全策略组map1
[USGB]interface  GigabitEthernet  0/0/1
[USGB-GigabitEthernet0/0/1]ipsec  policy map1
[USGB-GigabitEthernet0/0/1]quit

3、配置ISP

<Huawei>system-view
[Huawei]sysname ISP
[ISP]interface  GigabitEthernet  0/0/0
[ISP-GigabitEthernet0/0/0]ip address  192.13.2.2 24
[ISP-GigabitEthernet0/0/0]quit
[ISP]interface  GigabitEthernet  0/0/1
[ISP-GigabitEthernet0/0/1]ip address  131.108.5.1 24
[ISP-GigabitEthernet0/0/1]quit[ISP]ip route-static 10.1.1.0 24 192.13.2.1
[ISP]ip route-static 10.1.3.0 24 131.108.5.2 

4、验证结果

  • USGA
<USGA>display  ike  sa
11:14:05  2019/03/17
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id    peer                    flag          phase vpn
-----------------------------------------------------------------------------
40001      131.108.5.2             RD|ST         v2:2  public
1          131.108.5.2             RD|ST         v2:1  publicflag meaningRD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADINGTO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD<USGA>display  ipsec sa 
11:14:12  2019/03/17
===============================
Interface: GigabitEthernet0/0/1path MTU: 1500
===============================-----------------------------IPsec policy name: "map1"sequence number: 10mode: isakmpvpn: public-----------------------------connection id: 40001rule number: 5encapsulation mode: tunnelholding time: 0d 0h 0m 16stunnel local : 192.13.2.1    tunnel remote: 131.108.5.2flow      source: 10.1.1.0-10.1.1.255 0-65535 0flow destination: 10.1.3.0-10.1.3.255 0-65535 0[inbound ESP SAs] spi: 2200317640 (0x83262ec8)vpn: public  said: 0  cpuid: 0x0000proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 1887436680/3584max received sequence-number: 2udp encapsulation used for nat traversal: N[outbound ESP SAs] spi: 2376952271 (0x8dad69cf)vpn: public  said: 1  cpuid: 0x0000proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 1887436620/3584max sent sequence-number: 4udp encapsulation used for nat traversal: N
  • USGB
[USGB]display  ike sa 
11:15:32  2019/03/17
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id    peer                    flag          phase vpn
-----------------------------------------------------------------------------
40001      192.13.2.1              RD            v2:2  public
1          192.13.2.1              RD            v2:1  publicflag meaningRD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADINGTO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD[USGB]display  ipsec  sa 
11:15:37  2019/03/17
===============================
Interface: GigabitEthernet0/0/1path MTU: 1500
===============================-----------------------------IPsec policy name: "map1"sequence number: 10mode: isakmpvpn: public-----------------------------connection id: 40001rule number: 5encapsulation mode: tunnelholding time: 0d 0h 1m 40stunnel local : 131.108.5.2    tunnel remote: 192.13.2.1flow      source: 10.1.3.0-10.1.3.255 0-65535 0flow destination: 10.1.1.0-10.1.1.255 0-65535 0[inbound ESP SAs] spi: 2376952271 (0x8dad69cf)vpn: public  said: 0  cpuid: 0x0000proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 1887436620/3500max received sequence-number: 3udp encapsulation used for nat traversal: N[outbound ESP SAs] spi: 2200317640 (0x83262ec8)vpn: public  said: 1  cpuid: 0x0000proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 1887436680/3500max sent sequence-number: 3udp encapsulation used for nat traversal: N

 

这篇关于华为USG5300 采用IKE安全策略方式建立IPSec隧道的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/899270

相关文章

Java对象转换的实现方式汇总

《Java对象转换的实现方式汇总》:本文主要介绍Java对象转换的多种实现方式,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录Java对象转换的多种实现方式1. 手动映射(Manual Mapping)2. Builder模式3. 工具类辅助映

Spring Boot读取配置文件的五种方式小结

《SpringBoot读取配置文件的五种方式小结》SpringBoot提供了灵活多样的方式来读取配置文件,这篇文章为大家介绍了5种常见的读取方式,文中的示例代码简洁易懂,大家可以根据自己的需要进... 目录1. 配置文件位置与加载顺序2. 读取配置文件的方式汇总方式一:使用 @Value 注解读取配置方式二

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren

C# foreach 循环中获取索引的实现方式

《C#foreach循环中获取索引的实现方式》:本文主要介绍C#foreach循环中获取索引的实现方式,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录一、手动维护索引变量二、LINQ Select + 元组解构三、扩展方法封装索引四、使用 for 循环替代

将Java程序打包成EXE文件的实现方式

《将Java程序打包成EXE文件的实现方式》:本文主要介绍将Java程序打包成EXE文件的实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录如何将Java程序编程打包成EXE文件1.准备Java程序2.生成JAR包3.选择并安装打包工具4.配置Launch4

springboot上传zip包并解压至服务器nginx目录方式

《springboot上传zip包并解压至服务器nginx目录方式》:本文主要介绍springboot上传zip包并解压至服务器nginx目录方式,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录springboot上传zip包并解压至服务器nginx目录1.首先需要引入zip相关jar包2.然

Java数组初始化的五种方式

《Java数组初始化的五种方式》数组是Java中最基础且常用的数据结构之一,其初始化方式多样且各具特点,本文详细讲解Java数组初始化的五种方式,分析其适用场景、优劣势对比及注意事项,帮助避免常见陷阱... 目录1. 静态初始化:简洁但固定代码示例核心特点适用场景注意事项2. 动态初始化:灵活但需手动管理代

python logging模块详解及其日志定时清理方式

《pythonlogging模块详解及其日志定时清理方式》:本文主要介绍pythonlogging模块详解及其日志定时清理方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录python logging模块及日志定时清理1.创建logger对象2.logging.basicCo

售价599元起! 华为路由器X1/Pro发布 配置与区别一览

《售价599元起!华为路由器X1/Pro发布配置与区别一览》华为路由器X1/Pro发布,有朋友留言问华为路由X1和X1Pro怎么选择,关于这个问题,本期图文将对这二款路由器做了期参数对比,大家看... 华为路由 X1 系列已经正式发布并开启预售,将在 4 月 25 日 10:08 正式开售,两款产品分别为华

C#TextBox设置提示文本方式(SetHintText)

《C#TextBox设置提示文本方式(SetHintText)》:本文主要介绍C#TextBox设置提示文本方式(SetHintText),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑... 目录C#TextBox设置提示文本效果展示核心代码总结C#TextBox设置提示文本效果展示核心代