目录
Ⅰ 锐捷-H3C互连实例
一、组网需求
如图所示,通过在NGFW与H3C路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
二、网络拓扑
三、配置要点
1、配置NGFW1
1)基本上网配置
2)IKE阶段1
3)IKE阶段2
4)配置路由
5)配置策略
2、配置H3C路由器
四、配置步骤
1、配置NGFW1
1)基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP配置如下:
路由配置如下
2)IKE阶段1
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段1”
配置阶段一的相关参数:如下图
名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字
远程网关: 静态IP
IP地址: 对端防火墙的外网接口的IP地址200.1.1.2
本地接口: 防火墙与对端设备建立VPN所使用的接口,通常为外网接口.
认证方式: 与共享秘钥
与共享秘钥: 秘钥,两端设备相同即可。
启动IPsec接口模式:勾选,
其他参数适用默认参数,参数细节请参考"阶段1参数"一节
3)IKE阶段2
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段12”
配置阶段2基本参数
名称:阶段2 的名字, vpn2
阶段1: 该阶段2 关联的阶段1,选择vpn1.
点击高级选项, 弹出高级参数选项。
勾选弹出选项中的“保持存活” 其他默认。
配置快速模式选择器:源地址192.168.0/24, 目标地址192.168.1.0/24
4)配置vpn路由
菜单:路由--静态--静态路由,点击“新建”
按如下方式,添加对端保护网段的vpn静态路由
目的IP/子网掩码: 对方防火墙所保护的子网,192.168.1.0 ,
设备: 配置VPN所生成的接口,选择vpn1。
5)配置策略
菜单: 防火墙--策略--策略, 点击 “新建”
按如下方式创建两条策略,通过该策略对两端2个子网之间的访问进行控制,NAT,UTM防护等,
第1条策略: 允许本地的192.168.0.0网段,访问对端的192.168.1.0网段
第2条策略: 允许对端的192.168.1.0网段,访问本端的192.168.0.0网段
2、配置H3C路由器
acl number 3001 //定义acl,与RGW的快速选择器相对应,定义IPsec加密流。
rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
#
ike peer xzxfj //定义阶段1
exchange-mode aggressive //野蛮模式
pre-shared-key simple xzfgw@123 //预共享密钥
id-type name
remote-name xzxfj1
remote-address 100.1.1.2 //远程网管地址,RGW的外网口地址
local-address 202.1.1.2 // 本地地址
dpd 1 //是否开启dpd
nat traversal //是否开启nat穿越
#
ipsec proposal xzxfj //定义阶段2
transform esp //定义阶段2使用的封装模式,RGW默认使用ESP
esp authentication-algorithm sha1
#
ipsec policy test 1 isakmp //定义ipsec 策略, acl 3001的数据流会匹配相应的阶段1和阶段2
security acl 3001
ike-peer xzxfj
proposal xzxfj
#
interface GigabitEthernet0/0 //内网接口
port link-mode route
description Link_To_NE40-E1/1/15
ip address 192.168.1.0 255.255.255.0
tcp mss 1300
#
interface GigabitEthernet0/1 //互联网接口
port link-mode route
description Link_To_Internet
ip address 202.1.1.2 255.255.255.192
tcp mss 1300
ipsec policy test //ipsec 策略应用到外网接口上
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 //配置默认网关
#
五、检查配置结果
查看VPN监视器,观察状态: 进入“虚拟专网”--“监视器”--"IPsec监测”
两个网络采用 ping测试方式,192.168.1.0/24和192.168.0.0/24两个内网可以相互访问。
h3c路由器参考命令:
(1)display ipsec sa
<H3C>dis ipsec sa
Interface: Ethernet3/0
path MTU: 1500
-----------------------------
IPsec policy name: "ipsec"
sequence number: 10
mode: isakmp
-----------------------------
connection id: 3
encapsulation mode: tunnel
perfect forward secrecy: None
tunnel:
local address: 10.0.0.1
remote address: 10.0.0.2
flow: (0 times matched)
sour addr: 192.168.0.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.0.0.2/255.255.255.255 port: 0 protocol: IP
[inbound ESP SAs]
spi: 198902729 (0xbdb03c9)
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
sa key duration (bytes/sec): 1887436800/3600
sa remaining key duration (bytes/sec): 1887436800/3595
max received sequence-number: 1
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 1513366915 (0x5a342583)
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
sa key duration (bytes/sec): 1887436800/3600
sa remaining key duration (bytes/sec): 1887436800/3595
max sent sequence-number: 1
udp encapsulation used for nat traversal: N
(2)display ipsec sa brief
<H3C>dis ipsec sa br
total phase-2 SAs: 2
Src Address Dst Address SPI Protocol Algorithm
-------------------------------------------------------------------------------------
10.0.0.1 10.0.0.2 1513366915 ESP E:DES;
A:HMAC-MD5-96;
10.0.0.2 10.0.0.1 198902729 ESP E:DES;
A:HMAC-MD5-96;
(3)display ike sa
<H3C>dis ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
------------------------------------------------------------------------------------------------------
3 10.0.0.2 RD|ST 2 IPSEC
2 10.0.0.2 RD|ST 1 IPSEC
(4)display ipsec statistics all
<H3C>dis ipsec statistics all
the security packet statistics:
input/output security packets: 10/10
input/output security bytes: 840/840
input/output dropped security packets: 0/1
dropped security packet detail:
no enough memory: 0
can't find SA: 1
queue is full: 0
authentication is failed: 0
wrong length: 0
replay packet: 0
too long packet: 0
wrong SA: 0
如果想清空数据以便重新统计,可运行命令:reset ipsec statistics。
Ⅱ 锐捷-CISCO PIX实例
一、组网需求
如图所示,通过在NGFW与ciscoc PIX 路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
二、网络拓扑
三、配置要点
1、配置NGFW1
1)基本上网配置
2)IKE阶段1
3)IKE阶段2
4)配置路由
5)配置策略
2、配置pix
四、配置步骤
1、配置NGFW1
1)基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP配置如下:
路由配置如下
2)IKE阶段1
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段1”
配置阶段一的相关参数:如下图
名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字
远程网关: 静态IP
IP地址: 对端防火墙的外网接口的IP地址200.1.1.2
本地接口: 防火墙与对端设备建立VPN所使用的接口,通常为外网接口.
认证方式: 与共享秘钥
与共享秘钥: 秘钥,两端设备相同即可。
启动IPsec接口模式:勾选,
其他参数适用默认参数,参数细节请参考"阶段1参数"一节
3)IKE阶段2
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段12”
配置阶段2基本参数
名称:阶段2 的名字, vpn2
阶段1: 该阶段2 关联的阶段1,选择vpn1.
点击高级选项, 弹出高级参数选项。
勾选弹出选项中的“保持存活” 其他默认。
配置快速模式选择器:源地址192.168.0/24, 目标地址192.168.1.0/24
4)配置vpn路由
菜单:路由--静态--静态路由,点击“新建”
按如下方式,添加对端保护网段的vpn静态路由
目的IP/子网掩码: 对方防火墙所保护的子网,192.168.1.0 ,
设备: 配置VPN所生成的接口,选择vpn1。
5)配置策略
菜单: 防火墙--策略--策略, 点击 “新建”
按如下方式创建两条策略,通过该策略对两端2个子网之间的访问进行控制,NAT,UTM防护等,
第1条策略: 允许本地的192.168.0.0网段,访问对端的192.168.1.0网段
第2条策略: 允许对端的192.168.1.0网段,访问本端的192.168.0.0网段
2、配置pix
vpn相关配置
isakmp enable outside
isakmp key ******* address 100.1.1.2 netmask 255.255.255.255 //配置预共享密钥
isakmp policy 1 authentication pre-share //认证方式为与共享密钥
isakmp policy 1 encryption 3des //加密算法
isakmp policy 1 hash sha //认证算法
isakmp policy 1 group 2 //dh组2
isakmp policy 1 lifetime 1800 //阶段1存活时间
crypto ipsec transform-set ruijie esp-3des esp-sha-hmac //阶段2加密算法组合
crypto map test 10 ipsec-isakmp //定义ipsec加密策略
crypto map test 10 match address BGLR
crypto map test 10 set peer 100.1.1.2
crypto map test 10 set transform-set ruiije
crypto map test interface outside
crypto map test 10 set security-association lifetime seconds 1800
access-list BGLR permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 //定义加密感兴趣流
nat (inside) 0 access-list BGLR
sysopt connection permit-ipsec
五、检查配置结果
查看VPN监视器,观察状态: 进入“虚拟专网”--“监视器”--"IPsec监测”
两个网络采用 ping测试方式,192.168.1.0/24和192.168.0.0/24两个内网可以相互访问。