網(wǎng)絡(luò)拓?fù)淙缦拢?/span>
網(wǎng)絡(luò)環(huán)境說(shuō)明:
?
愛(ài)快路由:
?????????愛(ài)快路由版本3.4.4
?????????Wan地址:1.1.8.1
?????????Lan地址:192.168.10.0/24
?
華為防火墻:
?????????Wan地址:1.1.15.1
?????????Lan地址:172.168.20.0/24
?
網(wǎng)絡(luò)需求:
?????????愛(ài)快路由和華為防火墻對(duì)接ipsec vpn對(duì)接成功并且能互訪。
?
?????????
?
華為防火墻具體配置如下:
型號(hào):USG6625E
第一步:
完成接口配置。選擇“網(wǎng)絡(luò)--接口”
?
配置華為防火墻的出接口。
?
?
第二步:
配置安全區(qū)域。
?
配置安全策略,允許私網(wǎng)指定網(wǎng)段進(jìn)行報(bào)文交互。
選擇“策略?>?安全策略?>?安全策略”。
單擊“新建”,按如下參數(shù)配置從Trust到Untrust的域間策略。源地址、目的地址填寫(xiě)兩端內(nèi)網(wǎng)ip地址段172.168.20.0和192.168.10.0網(wǎng)段。
?
從Untrust到Local和從Local到Untrust的域間策略,源地址、目的地址填寫(xiě)兩端外網(wǎng)ip地址段172.168.20.0和192.168.10.0網(wǎng)段。
?
安全策略中添加安全區(qū)域放行防火墻以及愛(ài)快路由的網(wǎng)段。
?
?
Untrust:非信任區(qū)域
Trust:信任區(qū)域
?
?
第三步:
配置到達(dá)對(duì)端的路由。假設(shè)華為防火墻通往愛(ài)快路由的下一跳設(shè)備的IP地址為1.1.8.1。
選擇“網(wǎng)絡(luò)?>?路由?>?靜態(tài)路由”
目的地址:填寫(xiě)去訪問(wèn)對(duì)端設(shè)備的內(nèi)網(wǎng)IP地址或缺省路由。
下一條網(wǎng)關(guān):華為防火墻通往愛(ài)快路由的下一跳設(shè)備的IP地址。
?
第四步:
按照下圖中配置ipsec規(guī)則,選用點(diǎn)對(duì)點(diǎn)模式
?
?
注意事項(xiàng):一般情況下,其他品牌路由的IPsec group 1對(duì)應(yīng)的為modp768,group 2對(duì)應(yīng)modp1024,group5對(duì)應(yīng)modp1536 ,
group14對(duì)應(yīng)modp2048,group15對(duì)應(yīng)modp3072,group16對(duì)應(yīng)modp4096,group17對(duì)應(yīng)modp6144,group18對(duì)應(yīng)modp8192。
?愛(ài)快ipsec vpn不支持PFS協(xié)議,如對(duì)端有這兩種協(xié)議一定要關(guān)閉這兩個(gè)協(xié)議才能完成對(duì)接。
?
?
愛(ài)快路由器具體配置如下:
型號(hào):全系列路由3.4.4版本及以上
愛(ài)快ipsec vpn配置教程
http://www.yxmc.net.cn/index.php?option=com_content&view=article&id=139&Itemid=242
?
?
IpsecVPN建立成功:
?
?
第五步:
在終端cmd中ping/tracert對(duì)端內(nèi)網(wǎng)ip地址,驗(yàn)證是否能夠互訪和追蹤。不要在路由上直接ping/tracert對(duì)端內(nèi)網(wǎng)ip地址。
華為命令行配置:
?
操作步驟
配置FW_A的基礎(chǔ)配置。包括配置接口IP地址、接口加入安全區(qū)域、域間安全策略和靜態(tài)路由。
配置接口IP地址。
配置接口GigabitEthernet 1/0/3的IP地址。
?
<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/3
[FW_A-GigabitEthernet1/0/3] ip address 192.168.10.1 24
[FW_A-GigabitEthernet1/0/3] quit
配置接口GigabitEthernet 1/0/1的IP地址。
?
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 1.1.8.1 24
[FW_A-GigabitEthernet1/0/1] quit
配置接口加入相應(yīng)安全區(qū)域。
將接口GigabitEthernet 1/0/3加入Trust區(qū)域。
?
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/3
[FW_A-zone-trust] quit
將接口GigabitEthernet 1/0/1加入U(xiǎn)ntrust區(qū)域。
?
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit
配置域間安全策略。
配置Trust域與Untrust域之間的域間安全策略。
?
[FW_A] security-policy
[FW_A-policy-security] rule name policy1
[FW_A-policy-security-rule-policy1] source-zone trust
[FW_A-policy-security-rule-policy1] destination-zone untrust
[FW_A-policy-security-rule-policy1] source-address 192.168.10.0 24
[FW_A-policy-security-rule-policy1] destination-address 172.168.20.0 24
[FW_A-policy-security-rule-policy1] action permit
[FW_A-policy-security-rule-policy1] quit
[FW_A-policy-security] rule name policy2
[FW_A-policy-security-rule-policy2] source-zone untrust
[FW_A-policy-security-rule-policy2] destination-zone trust
[FW_A-policy-security-rule-policy2] source-address 172.168.20.0 24
[FW_A-policy-security-rule-policy2] destination-address 192.168.10.0 24
[FW_A-policy-security-rule-policy2] action permit
[FW_A-policy-security-rule-policy2] quit
?
配置Local域與Untrust域之間的域間安全策略。
?
配置Local域和Untrust域的域間安全策略的目的為允許IPSec隧道兩端設(shè)備通信,使其能夠進(jìn)行隧道協(xié)商。
[FW_A-policy-security] rule name policy3
[FW_A-policy-security-rule-policy3] source-zone local
[FW_A-policy-security-rule-policy3] destination-zone untrust
[FW_A-policy-security-rule-policy3] source-address 1.1.8.1 32
[FW_A-policy-security-rule-policy3] destination-address 1.1.15.1 32
[FW_A-policy-security-rule-policy3] action permit
[FW_A-policy-security-rule-policy3] quit
[FW_A-policy-security] rule name policy4
[FW_A-policy-security-rule-policy4] source-zone untrust
[FW_A-policy-security-rule-policy4] destination-zone local
[FW_A-policy-security-rule-policy4] source-address 1.1.15.1 32
[FW_A-policy-security-rule-policy4] destination-address 1.1.8.1 32
[FW_A-policy-security-rule-policy4] action permit
[FW_A-policy-security-rule-policy4] quit
[FW_A-policy-security] quit
配置到達(dá)目的網(wǎng)絡(luò)B的靜態(tài)路由,此處假設(shè)到達(dá)網(wǎng)絡(luò)B的下一跳地址為1.1.8.1。
[FW_A] ip route-static 192.168.10.0 255.255.255.0 1.1.8.1
?
?
對(duì)接注意事項(xiàng):
1.華為防火墻安全規(guī)則需放行路由器lan口網(wǎng)段以及需互訪的對(duì)端子網(wǎng)網(wǎng)段,untrust中需要放行。
2.路由器中本地子網(wǎng)填寫(xiě)0.0.0.0/0即可
3.兩端Ipsec配置需按照?qǐng)D中嚴(yán)格配置,否則可能導(dǎo)致VPN不通,如需放行部分網(wǎng)段,需配合ACL規(guī)則使用。
4.愛(ài)快路由最好升級(jí)至最新版進(jìn)行VPN搭建
5.愛(ài)快ipsec vpn不支持PFS協(xié)議,如對(duì)端有這種協(xié)議一定要關(guān)閉這個(gè)協(xié)議才能完成對(duì)接。
6.確認(rèn)ipsec是否建立成功請(qǐng)?jiān)趦?nèi)網(wǎng)終端中ping以及追蹤,不要再路由上進(jìn)行。路由本身數(shù)據(jù)并不會(huì)直接走IPsecVPN隧道
?
?
