集團總部與分部的IPsec鏈接

總部基礎配置及準備工做：

1. 三線固定IP出口，基礎配置略; 由於是多線出口，因此要配置到分部內網段的路由，不然會出現單通的問題（分部內網到總部內網是通的，而總部到分部不通）

2. IPSEC策略綁定的出口配置中不要啓用NAT,作源NAT配置，同時讓總部內網到分部內網的數據流排除在NAT以外，由於NAT與IPSEC是不兼容的;

3. 配置Trust域與Untrust域的域間包過濾規則：

   policy interzone trust untrust inbound

   policy 23

   action permit 

   policy source 172.17.1.0 0.0.0.255

   policy destination 192.168.113.0 0.0.0.255

   policy destination 172.16.9.0 0.0.0.255

4. 放行ike的安全策略（到自身的安全策略和從自身發送的安全策略），在nat場景下須要放行UDP 500和4500 端口的報文：

   [HUAWEI] ip service-set isakmp type object 
   [HUAWEI-object-service-set-isakmp] service 0 protocol udp destination-port 500
   [HUAWEI-object-service-set-isakmp] service 1 protocol udp destination-port 4500 
   [HUAWEI] security-policy 
   [HUAWEI-policy-security] rule name isakmp
   [HUAWEI-policy-security-isakmp] service isakmp
   [HUAWEI-policy-security-isakmp] action permit

   
   

1、總部網關的設置(USG5530)：

1.定義被保護的數據流。

acl number 3004

 rule 5 permit ip source 192.168.113.0 0.0.0.255 destination 172.17.1.0 0.0.0.255 

 rule 10 permit ip source 172.16.9.0 0.0.0.255 destination 172.17.1.0 0.0.0.255 

2.配置序號爲10的IKE安全提議

ike proposal 10

 encryption-algorithm aes-128 

 dh group2 

3.配置名稱爲hywl的IKE Peer

ike peer hywl

 pre-shared-key 999999

 ike-proposal 10

 remote-id-type none 

4.配置名稱爲hywl的IPSec安全提議。

ipsec proposal hywl

 esp authentication-algorithm sha1 

 esp encryption-algorithm aes-128  

5.配置名稱爲hywl序號爲1的IPSec安全策略模板。

ipsec policy-template hywl 1

 security acl 3004

 ike-peer hywl

  proposal hywl

6.在IPSec安全策略hyjt中引用安全策略模板hywl，安全策略模板的名稱不能與安全策略的名稱相同。

ipsec policy hyjt 10 isakmp template hywl

7.在接口GigabitEthernet 0/0/1上應用安全策略hyjt。

interface GigabitEthernet0/0/1

ipsec policy hyjt 

2、分部網關的設置(USG6100)：PPPOE撥號上網,基礎配置略，注意排除到總部數據的NAT,以及域間包過濾規則

1.定義被保護的數據流。

acl number 3000

 rule 5 permit ip source 172.17.1.0 0.0.0.255 destination 172.16.9.0 0.0.0.255 

 rule 10 permit ip source 172.17.1.0 0.0.0.255 destination 192.168.113.0 0.0.0.255

2.配置序號爲10的IKE安全提議

ike proposal 10

 encryption-algorithm aes-128 

 dh group2 

 authentication-algorithm sha1 

 authentication-method pre-share

 integrity-algorithm hmac-sha1-96 

 prf hmac-sha1 

3.配置名稱爲lvyuan的IKE Peer

ike peer lvyuan

 pre-shared-key 999999

 ike-proposal 10

 remote-address *.*.*.*    //總部IP

4.配置名稱爲lvyuan的IPSec安全提議。

ipsec proposal lvyuan

 esp authentication-algorithm sha1 

 esp encryption-algorithm aes-128

5.配置名稱爲lvyuan序號爲10的IPSec安全策略。

ipsec policy lvyuan 10 isakmp

 security acl 3000

 ike-peer lvyuan

 proposal lvyuan

 tunnel local applied-interface

 sa trigger-mode auto

6.在接口Dialer1上應用安全策略lvyuan。

interface Dialer1

ipsec policy lvyuan

3、出現的問題及解決

1. 分部能PPPOE撥號成功,但不能上網：默認路由指向有誤，默認指向虛擬端口dialer0，但實際的撥號端口爲dialer1,更換便可。

   ip router 0.0.0.0 0.0.0.0 dialer1

2. ***第一階段協商不成功：兩端的IKE安全提議配置中加密算法或認證算法不一至、不匹配。
   

3. ***鏈接創建以後，總部ping不通分部網關的內網口172.17.1.254：緣由是撥號虛擬端口上沒有開啓PING權限。

   interface Dialer 1  //進入撥號虛擬接口

   service-manage ping permit //開啓PING

4、問題診斷分析方法

1.流量統計分析過程：首先開啓從源端到目的端的長ping

acl 3999   //創建診斷ACL

rule 5 permit ip source 源ip 0 destination 目的ip 0 

 rule 10 permit ip source 目的ip 0 destination 源ip 0 

diagnose  //進入診斷模式

firewall statistics acl 3999 enable  //關聯ACL

display firewall statistics acl  //顯示流量狀態

undo firewell statistics acl 3999    //要記得關閉流量統計，以避免消耗資源。

2.ACL命中分析：首先開啓從源端到目的端的長ping

只有IPSec隧道未創建時，發起協商的報文會命中ACL，致使命中次數增加，而接受協商一端的ACL不會增加。當IPSec隧道創建成功後，匹配ACL的數據流不會致使ACL命中次數增加。

display acl 3010  //查看ACL

*******                 //省略

(14 times matched)       //顯示出來的命中次數

 ACL的匹配次數增加了14次，說明本端的ACL配置與需保護的數據流一致，即本端ACL配置無誤。