解决方案-防火墙天融信GT22100-详细白客笔记

解决方案-防火墙天融信GT22100-详细白客笔记

与天融信防火墙野蛮式对接IPSec典型配置

一、组网需求:

IPSec协议属于标准的安全协议,现在主流的防火墙和VPN设备基本均支持IPSec VPN,但各厂商在配置方面却差别较大。此文档对H3C系列防火墙同天融信防火墙以主模式进行对接IPSec VPN的典型配置。

二、组网图:

防火墙天融信GT22100_天融信防火墙常用命令_天融信防火墙

三、配置步骤:

H3C FW配置:

#//创建IPSec的感兴趣数据流

acl 3002 name

rule 0 ip 10.103.0.0 0.0.255.255

#//创建ike提议

ike 1

ike 10

- 3des-cbc

dh

- md5

#创建dpd策略

ike dpd dpd

-time 30

time-out 60

#//创建ike对等体,协商模式为野蛮模式,认证ID类型为NAME、验证方式为预共享密钥方式,同时指定对端名称以及对端地址,调用dpd策略

ike peer

-mode

pre--key $c$3$vAdEj/+==

id-type name

-name guot

- 60.247.28.34

nat

dpd dpd

#//创建IPSec提议

ipsec -set tjl

-mode

esp

esp - md5

esp - 3des

#//创建IPSec策略

ipsec tjl 20

acl 3002

ike-peer

-set tjl

sa time-based 28800

#//接口下调用IPSec策略

Vlan-

ip 192.168.111.1 255.255.255.248

tcp mss 1024

ipsec tjl

#//配置到公网的路由

ip route- 0.0.0.0 0.0.0.0 192.168.111.3

天融信防火墙配置:

一阶段ike相关参数配置:

天融信防火墙_天融信防火墙常用命令_防火墙天融信GT22100

二阶段IPSEC策略相关参数配置:

防火墙天融信GT22100_天融信防火墙_天融信防火墙常用命令

四、验证结果:

dis ike sa - 60.247.28.34

---------------------------------------------

id: 31614

vpn-:

:

---------------------------------------------

local ip: 192.168.111.1

local id type: FQDN

local id: whzx

ip: 60.247.28.34

id type: FQDN

id: guot

-:

-: MD5

-:

life (sec): 86400

key (sec): 69416

-mode:

- group:

nat : YES

dis ipsec sa 60.247.28.34

-----------------------------

IPsec name: "tjl"

: 20

acl : ACL4

mode:

-----------------------------

id: 103

mode:

:

:

local : 192.168.111.1

: 60.247.28.34

flow:

sour addr: 10.103.0.0/255.255.0.0 port: 0 : IP

dest addr: 0.0.0.0/0.0.0.0 port: 0 : IP

[ ESP SAs]

spi: ()

: ESP--3DES ESP-AUTH-MD5

sa (/sec): /28800

sa (/sec): /20267

max : 1

anti- check : Y

anti- size: 32

udp used for nat : Y

[ ESP SAs]

spi: ()

: ESP--3DES ESP-AUTH-MD5

sa (/sec): /28800

sa (/sec): /20267

max sent: 18

udp used for nat : Y

五、配置关键点:

1)与天融信防火墙对接,现在IPSec参数中的DPD配置可以不进行关闭

2)天融信侧默认协商时,不开启DES加密算法,如果要配置为DES,需要在其加密算法中进行勾选,否则及时添加成功也不能正常协商

3)我司IPSec 协商时与天融信侧不一致,天融信每一个二阶段都有一个一阶段与其对应,与我司进行双向对接时,建议简化配置,将多个二阶段合为一个二阶段进行协商,否则有可能会出现只能协商起一个二阶段的状况。

4)在天融信侧存在多条隧道,并且用统一的隧道名进行标识时,建议天融信侧在新协商的隧道进行本地标识的修改,便于其对于本地隧道的区分。

~

网络安全学习,我们一起交流

~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值