解决方案-防火墙天融信GT22100-详细白客笔记
与天融信防火墙野蛮式对接IPSec典型配置
一、组网需求:
IPSec协议属于标准的安全协议,现在主流的防火墙和VPN设备基本均支持IPSec VPN,但各厂商在配置方面却差别较大。此文档对H3C系列防火墙同天融信防火墙以主模式进行对接IPSec VPN的典型配置。
二、组网图:
三、配置步骤:
H3C FW配置:
#//创建IPSec的感兴趣数据流
acl 3002 name
rule 0 ip 10.103.0.0 0.0.255.255
#//创建ike提议
ike 1
ike 10
- 3des-cbc
dh
- md5
#创建dpd策略
ike dpd dpd
-time 30
time-out 60
#//创建ike对等体,协商模式为野蛮模式,认证ID类型为NAME、验证方式为预共享密钥方式,同时指定对端名称以及对端地址,调用dpd策略
ike peer
-mode
pre--key $c$3$vAdEj/+==
id-type name
-name guot
- 60.247.28.34
nat
dpd dpd
#//创建IPSec提议
ipsec -set tjl
-mode
esp
esp - md5
esp - 3des
#//创建IPSec策略
ipsec tjl 20
acl 3002
ike-peer
-set tjl
sa time-based 28800
#//接口下调用IPSec策略
Vlan-
ip 192.168.111.1 255.255.255.248
tcp mss 1024
ipsec tjl
#//配置到公网的路由
ip route- 0.0.0.0 0.0.0.0 192.168.111.3
天融信防火墙配置:
一阶段ike相关参数配置:
二阶段IPSEC策略相关参数配置:
四、验证结果:
dis ike sa - 60.247.28.34
---------------------------------------------
id: 31614
vpn-:
:
---------------------------------------------
local ip: 192.168.111.1
local id type: FQDN
local id: whzx
ip: 60.247.28.34
id type: FQDN
id: guot
-:
-: MD5
-:
life (sec): 86400
key (sec): 69416
-mode:
- group:
nat : YES
dis ipsec sa 60.247.28.34
-----------------------------
IPsec name: "tjl"
: 20
acl : ACL4
mode:
-----------------------------
id: 103
mode:
:
:
local : 192.168.111.1
: 60.247.28.34
flow:
sour addr: 10.103.0.0/255.255.0.0 port: 0 : IP
dest addr: 0.0.0.0/0.0.0.0 port: 0 : IP
[ ESP SAs]
spi: ()
: ESP--3DES ESP-AUTH-MD5
sa (/sec): /28800
sa (/sec): /20267
max : 1
anti- check : Y
anti- size: 32
udp used for nat : Y
[ ESP SAs]
spi: ()
: ESP--3DES ESP-AUTH-MD5
sa (/sec): /28800
sa (/sec): /20267
max sent: 18
udp used for nat : Y
五、配置关键点:
1)与天融信防火墙对接,现在IPSec参数中的DPD配置可以不进行关闭
2)天融信侧默认协商时,不开启DES加密算法,如果要配置为DES,需要在其加密算法中进行勾选,否则及时添加成功也不能正常协商
3)我司IPSec 协商时与天融信侧不一致,天融信每一个二阶段都有一个一阶段与其对应,与我司进行双向对接时,建议简化配置,将多个二阶段合为一个二阶段进行协商,否则有可能会出现只能协商起一个二阶段的状况。
4)在天融信侧存在多条隧道,并且用统一的隧道名进行标识时,建议天融信侧在新协商的隧道进行本地标识的修改,便于其对于本地隧道的区分。
~
网络安全学习,我们一起交流
~
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
