總部基礎配置及準備工作:
三線固定IP出口,基礎配置略;
策略綁定的出口配置中不要啓用NAT,做源NAT配置,同時讓到分部內網的數據流排除在NAT之外,因爲NAT與IPSEC v.p.n是衝突的;
配置Trust域與Untrust域的域間包過濾規則:
policy interzone trust untrust inbound
policy 23
action permit
policy source 172.17.1.0 0.0.0.255
policy destination 192.168.113.0 0.0.0.255
policy destination 172.16.9.0 0.0.0.255
配置Untrust域與Local域的域間包過濾規則:
policy interzone local untrust inbound
policy 4
action permit
policy service service-set esp
policy 5
action permit
policy service service-set udp
一、總部網關的設置(USG5530):
1.定義被保護的數據流。
acl number 3004
rule 5 permit ip source 192.168.113.0 0.0.0.255 destination 172.17.1.0 0.0.0.255
rule 10 permit ip source 172.16.9.0 0.0.0.255 destination 172.17.1.0 0.0.0.255
2.配置序號爲10的IKE安全提議
ike proposal 10
encryption-algorithm aes-128
dh group2
3.配置名稱爲hywl的IKE Peer
ike peer hywl
pre-shared-key 999999
ike-proposal 10
remote-id-type none
4.配置名稱爲hywl的IPSec安全提議。
ipsec proposal hywl
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
5.配置名稱爲hywl序號爲1的IPSec安全策略模板。
ipsec policy-template hywl 1
security acl 3004
ike-peer hywl
proposal hywl
6.在IPSec安全策略hyjt中引用安全策略模板hywl,安全策略模板的名稱不能與安全策略的名稱相同。
ipsec policy hyjt 10 isakmp template hywl
7.在接口GigabitEthernet 0/0/1上應用安全策略hyjt。
interface GigabitEthernet0/0/1
ipsec policy hyjt
二、分部網關的設置(USG6100):PPPOE撥號上網,基礎配置略,注意排除到總部數據的NAT,以及域間包過濾規則
1.定義被保護的數據流。
acl number 3000
rule 5 permit ip source 172.17.1.0 0.0.0.255 destination 172.16.9.0 0.0.0.255
rule 10 permit ip source 172.17.1.0 0.0.0.255 destination 192.168.113.0 0.0.0.255
2.配置序號爲10的IKE安全提議
ike proposal 10
encryption-algorithm aes-128
dh group2
authentication-algorithm sha1
authentication-method pre-share
integrity-algorithm hmac-sha1-96
prf hmac-sha1
3.配置名稱爲lvyuan的IKE Peer
ike peer lvyuan
pre-shared-key 999999
ike-proposal 10
remote-address *.*.*.* //總部IP
4.配置名稱爲lvyuan的IPSec安全提議。
ipsec proposal lvyuan
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
5.配置名稱爲lvyuan序號爲10的IPSec安全策略。
ipsec policy lvyuan 10 isakmp
security acl 3000
ike-peer lvyuan
proposal lvyuan
tunnel local applied-interface
sa trigger-mode auto
6.在接口Dialer1上應用安全策略lvyuan。
interface Dialer1
ipsec policy lvyuan
三、出現的問題及解決
分部能PPPOE撥號成功,但不能上網:默認路由指向有誤,默認指向虛擬端口dialer0,但實際的撥號端口爲dialer1,更換即可。
ip router 0.0.0.0 0.0.0.0 dialer1
***第一階段協商不成功:兩端的IKE安全提議配置中加密算法或認證算法不一至、不匹配。
***連接建立之後,總部ping不通分部網關的內網口172.17.1.254:原因是撥號虛擬端口上沒有開啓PING權限。
interface Dialer 1 //進入撥號虛擬接口
service-manage ping permit //開啓PING
四、問題診斷分析方法
1.流量統計分析過程:首先開啓從源端到目的端的長ping
acl 3999 //建立診斷ACL
rule 5 permit ip source 源ip 0 destination 目的ip 0
rule 10 permit ip source 目的ip 0 destination 源ip 0
diagnose //進入診斷模式
firewall statistics acl 3999 enable //關聯ACL
display firewall statistics acl //顯示流量狀態
undo firewell statistics acl 3999 //要記得關閉流量統計,以免消耗資源。
2.ACL命中分析:首先開啓從源端到目的端的長ping
只有IPSec隧道未建立時,發起協商的報文會命中ACL,導致命中次數增長,而接受協商一端的ACL不會增長。當IPSec隧道建立成功後,匹配ACL的數據流不會導致ACL命中次數增長。
display acl 3010 //查看ACL
******* //省略
(14 times matched) //顯示出來的命中次數
ACL的匹配次數增長了14次,說明本端的ACL配置與需保護的數據流一致,即本端ACL配置無誤。