本文介紹一下華爲防火牆上IPSEC 虛擬專網的配置方法,本範文內沒有計劃NAT相關事項。
配置步驟:
一、 配置接口
二、 配置安全區域
三、 配置安全策略
四、 配置靜態路由
五、配置IPSEC
1. ike proposal
2. ike peer
3. ipsec proposal
4. ACL
5. ipsec policy
#調用ACL、IPSEC Proposal、ike peer
6. 在公網接口下調用IPSEC policy
詳細配置
一、 配置接口
#第一步是配置接口的IP地址,將公網、內網接口都配置上IP
interface GigabitEthernet1/0/1
ip address 1.1.3.1 255.255.255.0
#
#
interface GigabitEthernet1/0/3
ip address 10.1.1.1 255.255.255.0
二、 配置安全區域
# 將內網接口g1/0/3配置到Trust區域,外網接口G1/0/1配置到Untrust區域
firewall zone trust
add interface GigabitEthernet1/0/3
#
firewall zone untrust
add interface GigabitEthernet1/0/1
三、 配置安全策略
# 配置安全策略,這裏做了四個策略
# 第1個策略是本防火牆Tust到對端的內網IP網段的安全策略。
#第2個策略是對端的內網IP網段到本防火牆的Trust區域的安全策略。
#第3個策略是本端公網IP與對端公網IP之間的安全策略
#第4個策略是對端公網IP與本端公網IP之間的安全策略
security-policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
destination-address 10.1.2.0 mask 255.255.255.0
action permit
rule name policy2
source-zone untrust
destination-zone trust
source-address 10.1.2.0 mask 255.255.255.0
destination-address 10.1.1.0 mask 255.255.255.0
action permit
rule name policy3
source-zone local
destination-zone untrust
source-address 1.1.3.1 mask 255.255.255.255
destination-address 1.1.5.1 mask 255.255.255.255
action permit
rule name policy4
source-zone untrust
destination-zone local
source-address 1.1.5.1 mask 255.255.255.255
destination-address 1.1.3.1 mask 255.255.255.255
action permit
# 華爲FW的IPSEC觸發是需要內網流量訪問進行觸發,當FW_1收到PC1去往PC2的流量時,10.1.1.0 ---> 10.1.2.0,所以安全策略需要本端內網去往對端內網的流量允許通過。
# 防火牆收到這個數據包以後,查路由表,發現它應該被送往公網的接口G1/0/1,而這個接口下應用了IPSEC的Policy,並且這個流量與Policy的感興趣流匹配,所以會引發×××的協商
四、 配置靜態路由
ip route-static 1.1.5.0 255.255.255.0 1.1.3.254 # 去往對端公網IP的路由
ip route-static 10.1.2.0 255.255.255.0 1.1.3.254 # 去往對端私網IP的路由
五、配置IPSEC
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
# 配置感興趣流,兩端的感興趣流的ACL需要互爲鏡像,再強調一下,需要互爲鏡像,即對端的ACL與本端相比,只能將源目互換,而不能改變網段或者成爲子集什麼通通不行。
#
ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
# 其實這個是默認的,已經很安全了,早年思科的路由器上,都是配置的DES和MD5
ike peer b
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.5.1
#在這裏可以配置IKE的版本,華爲默認發起的IKE v2的協商
[FW_A-ike-peer-b]version ?
1 Only V1 SA's can be created
2 Only V2 SA's can be created
# 在這裏也可以選擇Pashe 1的模式是主模式還是野蠻模式,默認是主模式,雙方都有固定公網IP,並且中間沒有穿越NAT設備時,可以使用主模式。如果一端是PPPOE撥號,使用野蠻模式。
[FW_A-ike-peer-b]exchange-mode ?
aggressive Aggressive mode
auto Auto mode
main Main mode
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#默認的封裝模式是隧道模式,當兩個通訊點之間路由可達時,使用傳輸模式,路由不可達時,需要使用隧道模式
[FW_A-ipsec-proposal-tran1]encapsulation-mode ?
auto Specify automatic mode. The responder can accept negotiations in
transport or tunnel mode. The initiator initiates negotiations in
tunnel mode
transport Only the payload of IP packet is protected(transport mode)
tunnel The entire IP packet is protected(tunnel mode)
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal tran1
#Policy需要調用三個參數,也可以說是把前面配置的信息進行關聯,1. 感興趣流 2. ike-peer 3. IPSEC協商時的轉換集。
interface GigabitEthernet1/0/1
ipsec policy map1
#在公網接口下調用ipsec policy
本文只列出了第一臺防火牆的配置信息,第二臺防火牆的配置信息可以參照第一臺防火牆的配置。
如果配置不通,恭喜你,很正常。在配置IKE和IPSEC時的隨便一個參數不匹配就會導致不通。那麼我們可以通過以下方法排障
1. [FW_A]display ike sa
#正常情況下是有兩個ike的關聯的,每階段各一個,然後標誌信息是一端爲:
RD--READY:表示此SA已建立成功。
ST--STAYALIVE:表示此端是通道協商發起方。
# 標誌信息的另一端沒有ST信息,只有RD|A
2019-07-16 12:13:03.740
IKE SA information :
Conn-ID Peer ××× Flag(s) Phase RemoteType RemoteID
------------------------------------------------------------------------------------------------------------------------------------
2 1.1.5.1:500 RD|ST|A v2:2 IP 1.1.5.1
1 1.1.5.1:500 RD|ST|A v2:1 IP 1.1.5.1
Number of IKE SA : 2
------------------------------------------------------------------------------------------------------------------------------------
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
<FW-B>display ipsec sa
#第二階段的SA,
2019-07-16 12:15:39.990
ipsec sa information:
===============================
Interface: GigabitEthernet1/0/1
===============================
-----------------------------
IPSec policy name: "map1"
Sequence number : 10
Acl group : 3000
Acl rule : 5
Mode : ISAKMP
-----------------------------
Connection ID : 2
Encapsulation mode: Tunnel
Holding time : 0d 0h 27m 45s
Tunnel local : 1.1.5.1:500
Tunnel remote : 1.1.3.1:500
Flow source : 10.1.2.0/255.255.255.0 0/0-65535
Flow destination : 10.1.1.0/255.255.255.0 0/0-65535
[Outbound ESP SAs]
SPI: 197382210 (0xbc3d042)
Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485666/1935
Max sent sequence-number: 1606
UDP encapsulation used for NAT traversal: N
SA encrypted packets (number/bytes): 1605/96300
[Inbound ESP SAs]
SPI: 196813874 (0xbbb2432)
Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485666/1935
Max received sequence-number: 1600
UDP encapsulation used for NAT traversal: N
SA decrypted packets (number/bytes): 1619/97140
Anti-replay : Enable
Anti-replay window size: 1024
以上兩個方法只能查看錯誤,想動態的排障,在實驗環境推薦3 種做法
一、 debug的方法,這種方法可以查看到有哪些地方會報錯,需要一定的功底
termial monitor
terminal debugging
debugging ikev2 [error|all]
二、 抓包:在ENSP環境中去抓包,看看數據的狀態
三、每天敲一遍實驗,連續十天,前幾次敲實驗,一定會出問題,一個一個地方對照着去排查。
在進行實驗以前,有一些知識需要提前準備好:
加密學原理:對稱加密、非對稱加密
散列算法
ISAKMP與IKE的關係
DH算法,可以去維基百科看看,有個文檔非常不錯。
Pashe1和Pahase2各自的作用
AH和ESP的特徵
預共享密鑰:我們配置的這個pre-share-key並不是用於加密的密鑰,它只是用於做身份驗證的一個參數;加密的密鑰是DH算法通過交換密鑰素材計算出的兩邊一致的對稱加密的密鑰