華爲防火牆IPSEC虛擬專網基本配置

本文介紹一下華爲防火牆上IPSEC 虛擬專網的配置方法，本範文內沒有計劃NAT相關事項。

配置步驟：

1、 配置接口

2、 配置安全區域

3、 配置安全策略

4、 配置靜態路由

5、配置IPSEC

1. ike proposal

2. ike peer

3. ipsec proposal

4. ACL

5. ipsec policy

#調用ACL、IPSEC Proposal、ike peer

6. 在公網接口下調用IPSEC policy

詳細配置

1、 配置接口

#第一步是配置接口的IP地址，將公網、內網接口都配置上IP

interface GigabitEthernet1/0/1

ip address 1.1.3.1 255.255.255.0

#

#

interface GigabitEthernet1/0/3

ip address 10.1.1.1 255.255.255.0

2、 配置安全區域

# 將內網接口g1/0/3配置到Trust區域，外網接口G1/0/1配置到Untrust區域

firewall zone trust

add interface GigabitEthernet1/0/3

#

firewall zone untrust

add interface GigabitEthernet1/0/1

3、 配置安全策略

# 配置安全策略，這裏作了四個策略

# 第1個策略是本防火牆Tust到對端的內網IP網段的安全策略。

#第2個策略是對端的內網IP網段到本防火牆的Trust區域的安全策略。

#第3個策略是本端公網IP與對端公網IP之間的安全策略

#第4個策略是對端公網IP與本端公網IP之間的安全策略

security-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10.1.1.0 mask 255.255.255.0

destination-address 10.1.2.0 mask 255.255.255.0

action permit

rule name policy2

source-zone untrust

destination-zone trust

source-address 10.1.2.0 mask 255.255.255.0

destination-address 10.1.1.0 mask 255.255.255.0

action permit

rule name policy3

source-zone local

destination-zone untrust

source-address 1.1.3.1 mask 255.255.255.255

destination-address 1.1.5.1 mask 255.255.255.255

action permit

rule name policy4

source-zone untrust

destination-zone local

source-address 1.1.5.1 mask 255.255.255.255

destination-address 1.1.3.1 mask 255.255.255.255

action permit

# 華爲FW的IPSEC觸發是須要內網流量訪問進行觸發，當FW_1收到PC1去往PC2的流量時，10.1.1.0 ---> 10.1.2.0,因此安全策略須要本端內網去往對端內網的流量容許經過。

# 防火牆收到這個數據包之後，查路由表，發現它應該被送往公網的接口G1/0/1，而這個接口下應用了IPSEC的Policy，而且這個流量與Policy的感興趣流匹配，因此會引起×××的協商

4、 配置靜態路由

ip route-static 1.1.5.0 255.255.255.0 1.1.3.254 # 去往對端公網IP的路由

ip route-static 10.1.2.0 255.255.255.0 1.1.3.254 # 去往對端私網IP的路由

5、配置IPSEC

acl number 3000

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

# 配置感興趣流，兩端的感興趣流的ACL須要互爲鏡像，再強調一下，須要互爲鏡像，即對端的ACL與本端相比，只能將源目互換，而不能改變網段或者成爲子集什麼統統不行。

#

ike proposal 10

encryption-algorithm aes-256

dh group14

authentication-algorithm sha2-256

authentication-method pre-share

integrity-algorithm hmac-sha2-256

prf hmac-sha2-256

# 其實這個是默認的，已經很安全了，早年思科的路由器上，都是配置的DES和MD5

ike peer b

pre-shared-key Test!1234

ike-proposal 10

remote-address 1.1.5.1

#在這裏能夠配置IKE的版本，華爲默認發起的IKE v2的協商

[FW_A-ike-peer-b]version ?

1 Only V1 SA's can be created

2 Only V2 SA's can be created

# 在這裏也能夠選擇Pashe 1的模式是主模式仍是野蠻模式，默認是主模式，雙方都有固定公網IP，而且中間沒有穿越NAT設備時，可使用主模式。若是一端是PPPOE撥號，使用野蠻模式。

[FW_A-ike-peer-b]exchange-mode ?

aggressive Aggressive mode

auto Auto mode

main Main mode

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

#默認的封裝模式是隧道模式，當兩個通信點之間路由可達時，使用傳輸模式，路由不可達時，須要使用隧道模式

[FW_A-ipsec-proposal-tran1]encapsulation-mode ?

auto Specify automatic mode. The responder can accept negotiations in

transport or tunnel mode. The initiator initiates negotiations in

tunnel mode

transport Only the payload of IP packet is protected(transport mode)

tunnel The entire IP packet is protected(tunnel mode)

ipsec policy map1 10 isakmp

security acl 3000

ike-peer b

proposal tran1

#Policy須要調用三個參數，也能夠說是把前面配置的信息進行關聯，1. 感興趣流 2. ike-peer 3. IPSEC協商時的轉換集。

interface GigabitEthernet1/0/1

ipsec policy map1

#在公網接口下調用ipsec policy

本文只列出了第一臺防火牆的配置信息，第二臺防火牆的配置信息能夠參照第一臺防火牆的配置。

若是配置不通，恭喜你，很正常。在配置IKE和IPSEC時的隨便一個參數不匹配就會致使不通。那麼咱們能夠經過如下方法排障

1. [FW_A]display ike sa

#正常狀況下是有兩個ike的關聯的，每階段各一個，而後標誌信息是一端爲：

• RD--READY：表示此SA已創建成功。

• ST--STAYALIVE：表示此端是通道協商發起方。

# 標誌信息的另外一端沒有ST信息，只有RD|A

2019-07-16 12:13:03.740

IKE SA information :

Conn-ID Peer ××× Flag(s) Phase RemoteType RemoteID

------------------------------------------------------------------------------------------------------------------------------------

2 1.1.5.1:500 RD|ST|A v2:2 IP 1.1.5.1

1 1.1.5.1:500 RD|ST|A v2:1 IP 1.1.5.1

Number of IKE SA : 2

------------------------------------------------------------------------------------------------------------------------------------

Flag Description:

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT

HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING

<FW-B>display ipsec sa

#第二階段的SA，

2019-07-16 12:15:39.990

ipsec sa information:

===============================

Interface: GigabitEthernet1/0/1

===============================

-----------------------------

IPSec policy name: "map1"

Sequence number : 10

Acl group : 3000

Acl rule : 5

Mode : ISAKMP

-----------------------------

Connection ID : 2

Encapsulation mode: Tunnel

Holding time : 0d 0h 27m 45s

Tunnel local : 1.1.5.1:500

Tunnel remote : 1.1.3.1:500

Flow source : 10.1.2.0/255.255.255.0 0/0-65535

Flow destination : 10.1.1.0/255.255.255.0 0/0-65535

[Outbound ESP SAs]

SPI: 197382210 (0xbc3d042)

Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128

SA remaining key duration (kilobytes/sec): 10485666/1935

Max sent sequence-number: 1606

UDP encapsulation used for NAT traversal: N

SA encrypted packets (number/bytes): 1605/96300

[Inbound ESP SAs]

SPI: 196813874 (0xbbb2432)

Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128

SA remaining key duration (kilobytes/sec): 10485666/1935

Max received sequence-number: 1600

UDP encapsulation used for NAT traversal: N

SA decrypted packets (number/bytes): 1619/97140

Anti-replay : Enable

Anti-replay window size: 1024

以上兩個方法只能查看錯誤，想動態的排障，在實驗環境推薦3 種作法

1、 debug的方法，這種方法能夠查看到有哪些地方會報錯，須要必定的功底

termial monitor

terminal debugging

debugging ikev2 [error|all]

2、 抓包：在ENSP環境中去抓包，看看數據的狀態

3、天天敲一遍實驗，連續十天，前幾回敲實驗，必定會出問題，一個一個地方對照着去排查。

在進行實驗之前，有一些知識須要提早準備好：

1.  加密學原理：對稱加密、非對稱加密

2.  散列算法

3.  ISAKMP與IKE的關係

4. DH算法，能夠去維基百科看看，有個文檔很是不錯。

5. Pashe1和Pahase2各自的做用

6. AH和ESP的特徵
   

7.  預共享密鑰：咱們配置的這個pre-share-key並非用於加密的密鑰，它只是用於作身份驗證的一個參數；加密的密鑰是DH算法經過交換密鑰素材計算出的兩邊一致的對稱加密的密鑰