科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道SecPath系列:IPSEC配置主模式

SecPath系列:IPSEC配置主模式

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文描述的是SecPath系列防火墙的IPSEC配置中主模式。两边的VPN网关可以为路由器或Secpath专用VPN网关。

作者:51CTO.COM 2007年10月25日

关键字: 升级 防火墙 H3C SecPath IPSEC

  • 评论
  • 分享微博
  • 分享邮件

【拓扑图】

【配置环境参数】

如图。

【组网需求】

1. 实现武汉和北京两个私网地址(loopback地址)的互通。两个VPN网关必须有公网地址,且必须是静态地址。

2. 要求私网两个网段之间的数据流量采用IPSEC加密传输。

3. 采用隧道模式。

【说明】

1. 由于传输模式仅适用于两台主机之间的相连,实际使用意义不大,本处省略。使用中可参考隧道配置。

2. 两边的VPN网关可以为路由器或Secpath专用VPN网关。

【主要配置】

 

 

 

[Secpath1-beijing]

ike peer 1

配置IKE参数

 

 pre-shared-key 12345                          

配置预共享字。两端必须一致。

有些路由器版本需要加”extrange main”启动主模式。一般默认即为主模式。

 

remote-address 202.38.1.2

配置隧道对端地址。

 

#

 

 

ipsec proposal p1

创建安全提议,可采用默认安全提议内容。默认为:ESP隧道封装,DES加密,MD5验证。

通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改,则在安全提议模式下更改

 

#

 

 

ipsec policy policy1 1 isakmp

创建ipsec策略,其安全内容采用IKE自动协商。

 

security acl 3000

指定哪些数据流需要加密

 

ike-peer 1

引用IKE对等体

 

proposal p1

引用安全提议

 

#

 

 

interface Ethernet0/0/0

 

 

ip address 202.38.1.1 255.255.255.0

 

 

ipsec policy policy1

在外网接口上启用IPSEC策略,加密相关私网数据

 

#

 

 

acl number 3000

 

 

rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

指定去往对端私网的数据流

 

rule 1 deny ip

 

 

#

 

 

ip route-static 0.0.0.0 0.0.0.0 202.38.2.2 preference 60

注意:一定要有去往对端的路由,包括公网和私网地址。也就是说,设备需要知道去往10.1.2.0的路径,通过路由发到公网口上。

 

#

 

 

 

 

[Secpath2-wuhan]

ike peer 1

配置IKE参数

 

 pre-shared-key 12345                          

配置预共享字。两端必须一致。

有些路由器版本需要加”extrange main”启动主模式。

 

remote-address 202.38.1.1

配置隧道对端地址。

 

#

 

 

ipsec proposal p1

创建安全提议,可采用默认安全提议内容。通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改,则在安全提议模式下更改

 

#

 

 

ipsec policy policy1 1 isakmp

创建ipsec策略,其安全内容采用IKE自动协商。

 

security acl 3000

指定哪些数据需要加密

 

ike-peer 1

引用IKE对等体

 

proposal p1

引用安全提议

 

#

 

 

interface Ethernet0/0/0

 

 

ip address 202.38.1.2 255.255.255.0

 

 

ipsec policy policy1

在外网接口上启用IPSEC策略,加密相关私网数据

 

#

 

 

acl number 3000

 

 

rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

指定去往对端私网的数据流,注意与对端的ACL应为镜像,这样双方才能互相对数据加解密。

 

rule 1 deny ip

 

 

#

 

 

ip route-static 0.0.0.0 0.0.0.0 202.38.2.1 preference 60

注意:一定要有去往对端的路由

 

 

 


【备注】

1、 常见错误为路由设置问题。没有去往对端私网的路由。

2、 以武汉去往北京的报文为例,报文格式如下:

可见,在这种模式下由于无TCP/UDP端口号,无法穿越NAPT网关。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章