H3C F100-M-G 和 MSR930 VPN 组网方案

376215348 贡献于2014-11-28

作者 DADI  创建于2014-11-10 06:44:00   修改者DADI  修改于2014-11-10 06:57:00字数14321

文档摘要: IPSEC建立点到多点SA策略模版方式在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSECVPN隧道,各个分支机构之间的通信由总部节点转发和控制.实现HUB-Spoke组网的配置有2种配置方式,子策略方式与策略模版方式,其中子策略方式可以由双方主动发起IPSEC连接.
关键词:

H3C F100-M-G 和 MSR930 VPN组网方案 1.1 IPSEC 建立点到多点SA策略模版方式 在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSEC VPN隧道,各个分支机构之间的通信由总部节点转发和控制.实现HUB-Spoke组网的配置有2种配置方式,子策略方式与策略模版方式,其中子策略方式可以由双方主动发起IPSEC连接,适用于分支固定IP,策略模版方式只能由下端发起IPSEC连接,适用于分支动态IP. 1.1.1 组网图 IPSEC IKE方式建立点到多点SA组网图 1.1.2 组网需求 1) 总部FWA为固定公网地址, FWB FWC为动态公网IP(实验环境配置静态IP模拟动态IP,不影响IPSEC的配置,现网可能是通过ADSL或PPPOE获得的IP) 2) 分支机构PC2 PC3与能与总部PC1之间进行安全通信,在PC2 PC3与PC1能够安全通信之后,PC2 PC3能够通过FWA进行安全通信,FWA与FWB FWC之间使用IKE野蛮模式建立安全通道, FWB FWC不直接建立任何IPSEC连接。 3) 在FWA A和FWB FWC上均配置序列号为10的IKE提议。 4) 为使用pre-shared key验证方法的提议配置验证字。 1.1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB/FWC Eudemon200 软件版本: V2R1及以上 实验版本 Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4)配置域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer和野蛮模式 8) 配置安全策略模版 9) 配置和引用安全策略 1.1.5 配置过程和解释(关键配置) 配置总部FWA: 1)配置到达分支机构的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流, ACL3000定义到所有分支机构FWB FWC网段的数据流,为了实现分支的互通,Soure定义为包括总部和分支的所有网段,destination定义为各个分支的明细网段. [FWA]acl 3000 [FWA-acl-adv-3000] rule permit ip source 10.0.0.0 0.255.255.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000] rule permit ip source 10.0.0.0 0.255.255.255 destination 10.0.2.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall packet-filter default permit interzone trust untrust 4)配置untrust与local域间包过滤规则 [FWA]firewall packet-filter default permit interzone local untrust Trust和untrust的域间规则可以配置默认放开,也可以配置用ACL来放开. 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。 5) 配置IPSec安全提议 # 创建名为tran1的IPSec提议。 [FWA]ipsec proposal tran1 # 配置安全协议。 [FWA-ipsec-proposal-tran1]transform esp Esp为默认安全协议,可以不配置 # 配置报文封装类型。 [FWA-ipsec-proposal-tran1]encapsulation-mode tunnel Tunnel为默认封装类型,可以不配置 # 配置ESP协议的认证算法。 [FWA-ipsec-proposal-tran1]esp authentication-algorithm md5 md5为默认ESP协议的认证算法, 可以不配置 # 配置ESP协议的加密算法。 [FWA-ipsec-proposal-tran1]esp encryption-algorithm des des为默认ESP协议的加密算法, 可以不配置 # 退回系统视图 [FWA-ipsec-proposal-tran1]quit 6) 配置IKE提议。 [FWA] ike proposal 10 # 配置使用pre-shared-key验证方法。 [FWA-ike-proposal-10] authentication-method pre-share pre-shared-key验证方法为默认验证方法,可以不配置 # 配置使用SHA1验证算法。 [FWA-ike-proposal-10] authentication-algorithm sha1 Sha1为默认验证算法,可以不配置 # 配置ISAKMP SA的生存周期为86400秒。 [FWA-ike-proposal-10] sa duration 86400 86400秒为默认AKMP SA的生存周期 # 退回系统视图。 [FWA-ike-proposal-10] quit 7) 配置IKE Peer # 创建名为a的IKE peer [FWA] ike peer a # 引用IKE安全提议。 [FWA-ike-peer-a] ike-proposal 10 # 配置IKE的协商方式为野蛮模式。 [FWA-ike-peer-a] exchange-mode aggressive # 配置验证字为“huawei”。 [FWA-ike-peer-a] pre-shared-key huawei 验证字的配置需要与对端设备相同。 8) 配置安全策略模版 # 创建安全策略模版map1tmp。 [FWA] ipsec policy-template map1tmp 10 # 引用ike-peer a。 [FWA-ipsec-policy-templet-map1tmp-10] ike-peer a # 引用名为tran1的安全提议。 [FWA-ipsec-policy-templet-map1tmp-10] proposal tran1 # 引用组号为3000的ACL。 [FWA-ipsec-policy-templet-map1tmp-10] security acl 3000 # 退回系统视图。 [FWA-ipsec-policy-templet-map1tmp-10] quit # 创建IPSEC安全策略map1 [FWA] ipsec policy map1 10 isakmp template map1tmp 9) 引用安全策略 # 进入以太网接口视图。 [FWA] interface Ethernet 1/0/0 # 引用IPSec策略。 [FWA-Ethernet1/0/0] ipsec policy map1 # 内网接口关闭快速转发 [Center-Vlanif1]undo ip fast-forwarding qff FWB的配置: 1)配置到达总部和其他私网的静态路由 [FWB]ip route-static 0.0.0.0 0.0.0.0 200.0.1.2 2)定义用于包过滤和加密的数据流,为了实现和总部及分支的通信,source定义为分支节点的明细网段,destination定义为总部和分支的所有网段. [FWB]acl 3000 [FWB-acl-adv-3000] rule permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 [FWB-acl-adv-3000]quit 3)配置trust与untrust域间包过滤规则 [FWB]firewall packet-filter default permit interzone trust untrust 4)配置untrust与local域间包过滤规则 [FWB]firewall packet-filter default permit interzone local untrust 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。 5) 配置IPSec安全提议 # 创建名为tran1的IPSec提议。 [FWB]ipsec proposal tran1 # 配置安全协议。 [FWB-ipsec-proposal-tran1]transform esp Esp为默认安全协议,可以不配置 # 配置报文封装类型。 [FWB-ipsec-proposal-tran1]encapsulation-mode tunnel Tunnel为默认封装类型,可以不配置 # 配置ESP协议的认证算法。 [FWB-ipsec-proposal-tran1]esp authentication-algorithm md5 md5为默认ESP协议的认证算法, 可以不配置 # 配置ESP协议的加密算法。 [FWB-ipsec-proposal-tran1]esp encryption-algorithm des des为默认ESP协议的加密算法, 可以不配置 # 退回系统视图 [FWB-ipsec-proposal-tran1]quit 6) 配置IKE提议。 [FWB] ike proposal 10 # 配置使用pre-shared-key验证方法。 [FWB-ike-proposal-10] authentication-method pre-share pre-shared-key验证方法为默认验证方法,可以不配置 # 配置使用SHA1验证算法。 [FWB-ike-proposal-10] authentication-algorithm sha1 Sha1为默认验证算法,可以不配置 # 配置ISAKMP SA的生存周期为86400秒。 [FWB-ike-proposal-10] sa duration 86400 86400秒为默认IAKMP SA的生存周期 # 退回系统视图。 [FWB-ike-proposal-10] quit 7) 配置IKE Peer # 创建名为b的IKE peer [FWB] ike peer b # 引用IKE安全提议。 [FWB-ike-peer-b] ike-proposal 10 # 配置IKE的协商模式为野蛮模式 [FWB-ike-peer-b] exchange-mode aggressive # 配置隧道对端IP地址。 [FWB-ike-peer-b] remote-address 200.0.0.1 # 配置验证字为“huawei”。 [FWB-ike-peer-b] pre-shared-key huawei 验证字的配置需要与对端设备相同。 8) 配置安全策略 # 创建安全策略。 [FWB] ipsec policy map1 10 isakmp # 引用ike-peer b。 [FWB-ipsec-policy-isakmp-map1-10] ike-peer b # 引用名为tran1的安全提议。 [FWB-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。 [FWB-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。 [FWB-ipsec-policy-isakmp-map1-10] quit 9) 引用安全策略 # 进入以太网接口视图。 [FWB] interface Ethernet 1/0/0 # 引用IPSec策略。 [FWB-Ethernet1/0/0] ipsec policy map1 FWC的配置与FWB的配置相同 # 内网接口关闭快速转发 [Center-Vlanif1]undo ip fast-forwarding qff 1.1.6 完整配置 FWA的配置: [FWA]display current-configuration # acl number 3000 rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.1.0 0.0.0.255 rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.2.0 0.0.0.255 # sysname FWA # firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound # bypass switch-back auto # firewall statistic system enable # ike proposal 10 # ike peer a exchange-mode aggressive pre-shared-key huawei ike-proposal 10 # ipsec proposal tran1 # ipsec policy-template map1tmp 10 security acl 3000 ike-peer a proposal tran1 # ipsec policy map1 10 isakmp template map1tmp # interface Aux0 async mode flow link-protocol ppp # interface Ethernet0/0/0 # interface Ethernet0/0/1 # interface Ethernet1/0/0 ip address 200.0.0.1 255.255.255.0 ipsec policy map1 # interface Ethernet1/0/1 ip address 10.0.0.1 255.255.255.0 # interface Ethernet1/0/2 # interface Ethernet1/0/3 # interface Ethernet1/0/4 # interface Ethernet1/0/5 # interface Ethernet1/0/6 # interface Ethernet1/0/7 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface Ethernet1/0/1 # firewall zone untrust set priority 5 add interface Ethernet1/0/0 # firewall zone dmz set priority 50 # firewall zone vzone set priority 0 # aaa authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # slb # ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 # user-interface con 0 user-interface aux 0 authentication-mode none user-interface vty 0 4 # return FWB的配置: display current-configuration # sysname FWB # firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound # nat alg enable ftp nat alg enable dns nat alg enable icmp nat alg enable netbios undo nat alg enable h323 undo nat alg enable hwcc undo nat alg enable ils undo nat alg enable pptp undo nat alg enable qq undo nat alg enable msn undo nat alg enable user-define undo nat alg enable rtsp firewall permit sub-ip # firewall statistic system enable # ike proposal 10 # ike peer b exchange-mode aggressive pre-shared-key huawei ike-proposal 10 remote-address 200.0.0.1 # ipsec proposal tran1 # ipsec policy map1 10 isakmp security acl 3000 ike-peer b proposal tran1 # interface Aux0 async mode flow link-protocol ppp # interface Ethernet0/0/0 ip address 200.0.1.1 255.255.255.0 ipsec policy map1 # interface Ethernet0/0/1 ip address 10.0.1.1 255.255.255.0 undo ip fast-forwarding qff # interface Ethernet1/0/0 # interface Ethernet1/0/1 # interface NULL0 # acl number 3000 rule 5 permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface Ethernet0/0/1 # firewall zone untrust set priority 5 add interface Ethernet0/0/0 # firewall zone dmz set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local dmz # firewall interzone trust untrust # firewall interzone trust dmz # firewall interzone dmz untrust # aaa authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # ip route-static 0.0.0.0 0.0.0.0 200.0.1.2 # user-interface con 0 user-interface aux 0 user-interface vty 0 4 # return FWC的配置: display current-configuration # sysname FWC # firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound # nat alg enable ftp nat alg enable dns nat alg enable icmp nat alg enable netbios undo nat alg enable h323 undo nat alg enable hwcc undo nat alg enable ils undo nat alg enable pptp undo nat alg enable qq undo nat alg enable msn undo nat alg enable user-define undo nat alg enable rtsp firewall permit sub-ip # firewall statistic system enable # ike proposal 10 # ike peer c exchange-mode aggressive pre-shared-key huawei ike-proposal 10 remote-address 200.0.0.1 # ipsec proposal tran1 # ipsec policy map1 10 isakmp security acl 3000 ike-peer c proposal tran1 # interface Aux0 async mode flow link-protocol ppp # interface Ethernet0/0/0 ip address 200.0.2.1 255.255.255.0 ipsec policy map1 # interface Ethernet0/0/1 ip address 10.0.2.1 255.255.255.0 undo ip fast-forwarding qff # interface Ethernet1/0/0 # interface Ethernet1/0/1 # interface NULL0 # acl number 3000 rule 5 permit ip source 10.0.2.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface Ethernet0/0/1 # firewall zone untrust set priority 5 add interface Ethernet0/0/0 # firewall zone dmz set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local dmz # firewall interzone trust untrust # firewall interzone trust dmz # firewall interzone dmz untrust # aaa authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # ip route-static 0.0.0.0 0.0.0.0 200.0.2.2 # user-interface con 0 user-interface aux 0 user-interface vty 0 4 # return 1.1.7 结果验证 1) PC2 PC3可以访问PC1,之后PC1能够访问到PC2 PC3, PC2 PC3在访问到PC1之后能后互访.注意在IPSEC SA建立之前, PC1不能主动访问PC2 PC3, PC2 PC3也不能互访.IPSEC SA只能由分支节点触发. 2) 总部防火墙FWA上可以查看到两对IKE SA, phase 1表示IKE协商, phase2表示IPSEC SA协商.. [FWA]display ike sa connection-id peer vpn flag phase doi -------------------------------------------------------------- 10 200.0.2.1 0 RD 1 IPSEC 8 200.0.1.1 0 RD 1 IPSEC 11 200.0.2.1 0 RD 2 IPSEC 9 200.0.1.1 0 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 分支上FWB可以查看到总部peer的IKE phase 1和phase 2 display ike sa connection-id peer flag phase doi ---------------------------------------------------------- 13 200.0.0.1 RD|ST 1 IPSEC 14 200.0.0.1 RD|ST 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTdisplay ike sa secp命令显示信息含义 字段 含义 Encrypto card 高速加密卡槽位信息。 connection-id 安全通道的标识符。 Peer 此安全联盟的对端的IP地址。 Flag 显示此安全联盟的状态: l RD(READY):表示此SA已建立成功。 l ST(STAYALIVE):表示此端是通道协商发起方。 l RL(REPLACED):表示此通道已经被新的通道代替,一段时间后将被删除。 l FD(FADING):表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。 l TO(TIMEOUT):表示此SA在上次keepalive超时发生后还没有收到keepalive报文,如果在下次keepalive超时发生时仍没有收到keepalive报文,此SA将被删除。 Phase 此SA所属阶段: l Phase 1:建立安全通道进行通信的阶段,此阶段建立ISAKMP SA。 l Phase 2:协商安全服务的阶段,此阶段建立IPSec SA。 Doi SA所属解释域。 3) 总部防火墙FWA上可以查看到两对双向的IPSEC SA,分别是对应两个分支FWB FWC [FWA]display ipsec sa brief current ipsec sa number: 4 -------------------------------------------------------------- Src Address Dst Address SPI VPN Protocol Algorithm ------------------------------------------------------------------- 200.0.2.1 200.0.0.1 1052397000 0 ESP E:DES;A:HMAC-MD5-96; 200.0.1.1 200.0.0.1 3144388096 0 ESP E:DES;A:HMAC-MD5-96; 200.0.0.1 200.0.1.1 2374958476 0 ESP E:DES;A:HMAC-MD5-96; 200.0.0.1 200.0.2.1 294016701 0 ESP E:DES;A:HMAC-MD5-96; 分支节点FWB FWC上可以查看到FWA的一对反向IPSEC SA dis ipsec sa brief current ipsec sa number: 2 -------------------------------------------------------------- Src Address Dst Address SPI Protocol Algorithm -------------------------------------------------------------- 200.0.1.1 200.0.0.1 3144388096 ESP E:DES;A:HMAC-MD5-96; 200.0.0.1 200.0.1.1 2374958476 ESP E:DES;A:HMAC-MD5-96; 1.1.8 配置注意事项 5) 防火墙上必须有到达对方私网网段的正确路由(尽管该路由可能是不可达的,可以是明细路由,可以是默认路由等),正确是指配置路由的出接口一定是使能IPSEC policy的接口,该路由的作用是将需要IPSEC加密的报文送到使能IPSEC policy的接口进行处理. 6) USG50/3000, E100/100S/200/200S连接内网的接口需要取消接口快转功能,否则IPSEC SA不会触发建立,命令为undo ip fast-forwarding qff, 出接口无需配置该命令, E300/500/1000转发由NP处理,无此命令. 7) 注意总部和分支节点的ACL配置, 主动触发IPSEC VPN的防火墙(在策略模版方式下只能是分支机构的防火墙)ACL中必须定义Source字段,一般推荐同时定义Source和Destination字段, 如果ACL中只定义了destination字段,该防火墙不能主动触发IPSEC SA建立,但可以被动响应对端的IPSEC SA请求,建立IPSEC SA. 8) 本例中各分支节点通过总部节点互通,通过如下ACL实现: FWA的源为总部和分支的所有网段地址范围,目的是明细的某分支网段: acl number 3000 rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.1.0 0.0.0.255 rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.2.0 0.0.0.255 FWB的源为分支的明细网段, 目的是总部和分支的所有网段地址范围 acl number 3000 rule 5 permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 FWC的源为分支的明细网段, 目的是总部和分支的所有网段地址范围 acl number 3000 rule 5 permit ip source 10.0.2.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 可以看到总部与分支ACL的source与destination是匹配的. 如果各个分支之间不需要互通,只需要和总部互通,参考普通点到点IPSEC中ACL的配置,定义明细的ACL source和destination.注意各个分支机构是不可以直接互通的,必须在和总部通信之后才可以通过总部防火墙互通 9) 在总部防火墙上只需要配置一个IKE peer, 该IKE peer不需要指定remote-address,因为其他分支机构的公网IP不固定.注意V2R6在一个IPSEC policy-template中只能使用一个remote-address的peer, 否则报错: Only one template ike-peer's remote addresses is null in a templete group. 注意如果在E200上配置策略模版,无此限制,E200在策略模版+野蛮模式下可以动态匹配对端的ACL,security ACL 也不需要配置. 10) IPSEC Proposal 和IKE Proposal的默认配置在display current-configuration中不会显示,需要display ike proposal和display ipsec proposal显示.如: display ipsec proposal IPsec proposal name: tran1 encapsulation mode: tunnel transform: esp-new ESP protocol: authentication md5-hmac-96, encryption des display ike proposal priority authentication authentication encryption Diffie-Hellman duration method algorithm algorithm group (seconds) ----------------------------------------------------------------------- 10 PRE_SHARED SHA DES_CBC MODP_768 86400 default PRE_SHARED SHA DES_CBC MODP_768 86400 ike proposal提供一个默认的proposal default, 如果在ike的peer中没有配置ike proposal,IPSEC会使用默认的proposal default. 1.1.9 常见问题及解决思路 1) IPSEC SA不触发建立, debugging ipsec all 无任何信息, 1. console上未配置terminal debugging, telnet或SSH下未配置terminal debugging和terminal monitor 2. 到达对方网段的路由配置不正确, 下一跳出接口不是IPSEC Policy接口 3. 对于USG50/3000, E100/100S/200/200S需要去掉防火墙内网口的快转 2) 对于两端IPSEC proposal, IKE proposal, IKE peer配置不一致问题,通过debugging ipsec all, debugging ike all查看报错信息 3) IPSEC SA不能建立,查看IKE SA只有Phase 1建立, Phase 2无法建立, 可以查看双方的ACL配置, 发起方必须配置source,且必须和对端保持一致. 4) 不能使用E300/500/1000的管理口E0/0/0 E0/0/1作为业务口, 如果在管理口配置IPSEC Policy, 会出现IPSEC报文能够解密,不能加密的现象. 5) 策略模版方式下, 总部不能和分支机构通信, 查看IPSEC SA是否建立,总部节点是不能触发建立IPSEC SA的,只有分支节点触发建立了IPSEC SA之后,总部才可以访问分支. 6) 部分网络在应用了IPSEC之后,会出现大于1472的大包不能通过,网页不能打开等问题,该问题均为MTU问题,请注意修改MTU. 7) Eudemon300/500/1000在路由模式下支持硬件IPSEC加密卡,如果是低速IPSEC卡,不需要再进行设置,即插即用,如果是高速IPSEC卡则需要设置为 firewall mode route hipsec,否则IPSEC卡不生效,设置后需要重启.

下载文档到电脑,查找使用更方便

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 5 金币 [ 分享文档获得金币 ] 0 人已下载

下载文档