知

F1000-AK系列使用IKEV2主模式建立IPSEC VPN典型配置

2018-11-24 发表

0关注
3收藏 4739浏览

zhiliao_8mkdB

zhiliao_8mkdB 九段

粉丝：10人关注：0人

组网及说明

V7防火墙使用IKEV2主模式建立IPSEC VPN典型配置（命令行）

1 配置需求及说明

1.1 适用的产品系列

本案例适用于如F1000-AK180、F1000-AK170等F1000-AK系列的防火墙。

1.2 配置需求及实现的效果

用户需求两台V7防火墙使用IKEV2协议对接IPSEC VPN，IP地址及接口规划如下表所示：

公司名称	外网接口	公网地址/掩码	公网网关	内网接口	内网地址/掩码
总部	0/0	1.1.1.1/24	1.1.1.2	0/1	9.9.9.0/24
分部	0/0	2.2.2.1/24	2.2.2.2	0/1	8.8.8.0/24

2 组网图

配置步骤

V7防火墙使用IKEV2主模式建立IPSEC VPN典型配置（命令行）

3 两端防火墙上网配置

防火墙上网配置略，本文只针对IPSEC VPN配置进行介绍。

3.1 总部侧创建IPSEC兴趣流匹配到分部的数据

创建IPSEC的感兴趣流，用于匹配IPSEC数据。

system

[H3C]acl advanced 3000

[H3C-acl-ipv4-adv-3000]rule permit ip source 9.9.9.0 0.0.0.255 destination 8.8.8.0 0.0.0.255

[H3C-acl-ipv4-adv-3000]quit

创建acl 3001调用在外网接口用于排除IPSEC兴趣流不做NAT。

[H3C]acl advanced 3001

[H3C-acl-ipv4-adv-3001]rule deny ip source 9.9.9.0 0.0.0.255 destination 8.8.8.0 0.0.0.255

[H3C-acl-ipv4-adv-3001]rule permit ip source any

[H3C-acl-ipv4-adv-3001]quit

3.2 总部侧创建IPSEC安全提议

加密类型设置为3des-cbc，认证类型设置为md5。

[H3C]ipsec transform-set 1

[H3C-ipsec-transform-set-1] esp encryption-algorithm 3des-cbc

[H3C-ipsec-transform-set-1] esp authentication-algorithm md5

[H3C-ipsec-transform-set-1] quit

3.3 总部侧创建IKEV2安全提议

设备存在默认的IKE V2安全提议,所以不需要配置也存在参数。

[H3C]ikev2 proposal 1

[H3C-ikev2-proposal-1]quit

以下为IKE V2默认的加密及认证算法。

display ikev2 proposal

IKEv2 proposal : default

Encryption: AES-CBC-128 3DES-CBC

Integrity: SHA1 MD5

PRF: SHA1 MD5

DH Group: MODP1536/Group5 MODP1024/Group2

3.4 总部侧创建IKE V2安全密钥

创建IKE V2密钥，地址填写分部侧设备的公网IP，密码设置为123。

[H3C]ike keychain 1

[H3C-ike-keychain-1-peer2]peer 2

[H3C-ike-keychain-1-peer2] address 2.2.2.1 255.255.255.255

[H3C-ike-keychain-1-peer2] identity address 2.2.2.1

[H3C-ike-keychain-1-peer2] pre-shared-key plaintext 123

[H3C-ike-keychain-1-peer2]quit

3.5 总部侧创建IKE安全框架

创建IKE安全框架，将对端地址、keychain、proposal关联起来。

[H3C]ikev2 profile 1

[H3C-ikev2-profile-1]keychain 1

[H3C-ikev2-profile-1] authentication-method local pre-share

[H3C-ikev2-profile-1] authentication-method remote pre-share

[H3C-ikev2-profile-1] match remote identity address 2.2.2.1 255.255.255.255

[H3C-ikev2-profile-1]quit

3.6 总部侧创建IPSEC安全策略

创建IKE安全策略GE0/0将transform-set、acl、ikev2-profile、对端地址关联起来。

[H3C]ipsec policy GE0/0 1 isakmp

[H3C-ipsec-policy-isakmp- GE0/0-1]transform-set 1

[H3C-ipsec-policy-isakmp- GE0/0-1]security acl 3000

[H3C-ipsec-policy-isakmp- GE0/0-1]remote-address 2.2.2.1

[H3C-ipsec-policy-isakmp- GE0/0-1]ikev2-profile 1

[H3C-ipsec-policy-isakmp- GE0/0-1]quit

3.7 总部侧在外网接口调用NAT及IPSEC策略

[H3C]interface GigabitEthernet 0/0

[H3C-GigabitEthernet 0/0]ipsec apply policy GE0/0

[H3C-GigabitEthernet 0/0]nat outbound 3001

[H3C-GigabitEthernet 0/0]quit

3.8 分部侧创建IPSEC兴趣流匹配到分部的数据

创建IPSEC的感兴趣流，用于匹配IPSEC数据。

system

[H3C]acl advanced 3000

[H3C-acl-ipv4-adv-3000]rule permit ip source 8.8.8.0 0.0.0.255 destination 9.9.9.0 0.0.0.255

[H3C-acl-ipv4-adv-3000]quit

创建acl 3001调用在外网接口用于排除IPSEC兴趣流不做NAT。

[H3C]acl advanced 3001

[H3C-acl-ipv4-adv-3001]rule deny ip source 8.8.8.0 0.0.0.255 destination 9.9.9.0 0.0.0.255

[H3C-acl-ipv4-adv-3001]rule permit ip source any

[H3C-acl-ipv4-adv-3001]quit

3.9 分部侧创建IPSEC安全提议

加密类型设置为3des-cbc，认证类型设置为md5。

[H3C]ipsec transform-set 1

[H3C-ipsec-transform-set-1] esp encryption-algorithm 3des-cbc

[H3C-ipsec-transform-set-1] esp authentication-algorithm md5

[H3C-ipsec-transform-set-1] quit

3.10 分部侧创建IKEV2安全提议

设备存在默认的IKE V2安全提议,所以不需要配置也存在参数。

[H3C]ikev2 proposal 1

[H3C-ikev2-proposal-1]quit

以下为IKE V2默认的加密及认证算法。

display ikev2 proposal

IKEv2 proposal : default

Encryption: AES-CBC-128 3DES-CBC

Integrity: SHA1 MD5

PRF: SHA1 MD5

DH Group: MODP1536/Group5 MODP1024/Group2

3.11 分部侧创建IKE V2安全密钥

创建IKE V2密钥，地址填写分部侧设备的公网IP，密码设置为123。

[H3C]ike keychain 1

[H3C-ike-keychain-1-peer1]peer 1

[H3C-ike-keychain-1-peer1] address 1.1.1.1 255.255.255.255

[H3C-ike-keychain-1-peer1] identity address 1.1.1.1

[H3C-ike-keychain-1-peer1] pre-shared-key plaintext 123

[H3C-ike-keychain-1-peer1]quit

3.12 分部侧创建IKE安全框架

创建IKE安全框架，将本端地址、对端地址、keychain、proposal关联起来。

[H3C]ikev2 profile 1

[H3C-ikev2-profile-1]keychain 1

[H3C-ikev2-profile-1] authentication-method local pre-share

[H3C-ikev2-profile-1] authentication-method remote pre-share

[H3C-ikev2-profile-1] match remote identity address 1.1.1.1 255.255.255.255

[H3C-ikev2-profile-1]quit

3.13 分部创建IPSEC安全策略

创建IKE安全策略GE0/0将transform-set、acl、ikev2-profile、对端地址关联起来。

[H3C]ipsec policy GE0/0 1 isakmp

[H3C-ipsec-policy-isakmp- GE0/0-1]transform-set 1

[H3C-ipsec-policy-isakmp- GE0/0-1]security acl 3000

[H3C-ipsec-policy-isakmp- GE0/0-1]remote-address 1.1.1.1

[H3C-ipsec-policy-isakmp- GE0/0-1]ikev2-profile 1

[H3C-ipsec-policy-isakmp- GE0/0-1]quit

3.14 分部侧在外网接口调用NAT及IPSEC策略

[H3C]interface GigabitEthernet 0/0

[H3C-GigabitEthernet 0/0]ipsec apply policy GE0/0

[H3C-GigabitEthernet 0/0]nat outbound 3001

[H3C-GigabitEthernet 0/0]quit

4 保存配置

[H3C]quit

save force

5 隧道验证

通过如下显示信息查看到总部上IKEv2协商成功后生成的IKEv2 SA。

[H3C] display ikev2 sa

Tunnel ID Local Remote Status

--------------------------------------------------------------

1 1.1.1.1/500 2.2.2.1/500 EST

通过命令行查看dis ipsec sa可以看到隧道状态已经建立完成。

dis ipsec sa

-------------------------------

Interface: GigabitEthernet0/0

-------------------------------

-----------------------------

IPsec policy: 1

Sequence number: 1

Mode: ISAKMP

-----------------------------

Tunnel id: 0

Encapsulation mode: tunnel

Perfect Forward Secrecy:

Inside VPN:

Extended Sequence Numbers enable: N

Traffic Flow Confidentiality enable: N

Path MTU: 1444

Tunnel:

local address: 1.1.1.1

remote address: 2.2.2.1

Flow:

sour addr: 9.9.9.9/255.255.255.255 port: 0 protocol: ip

dest addr: 8.8.8.8/255.255.255.255 port: 0 protocol: ip

[Inbound ESP SAs]

SPI: 2831964167 (0xa8cc5807)

Connection ID: 12884901889

Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843199/1475

Max received sequence-number: 4

Anti-replay check enable: Y

Anti-replay window size: 64

UDP encapsulation used for NAT traversal: N

Status: Active

[Outbound ESP SAs]

SPI: 662015886 (0x27758f8e)

Connection ID: 55834574848

Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843199/1475

Max sent sequence-number: 4

UDP encapsulation used for NAT traversal: N

Status: Active

通过如下显示信息查看到分部上IKEv2协商成功后生成的IKEv2 SA。

[H3C] display ikev2 sa

Tunnel ID Local Remote Status

--------------------------------------------------------------

1 2.2.2.1/500 1.1.1.1/500 EST

通过命令行查看dis ipsec sa可以看到隧道状态已经建立完成。

dis ipse sa

-------------------------------

Interface: GigabitEthernet0/0

-------------------------------

-----------------------------

IPsec policy: 1

Sequence number: 1

Mode: ISAKMP

-----------------------------

Tunnel id: 0

Encapsulation mode: tunnel

Perfect Forward Secrecy:

Inside VPN:

Extended Sequence Numbers enable: N

Traffic Flow Confidentiality enable: N

Path MTU: 1444

Tunnel:

local address: 2.2.2.1

remote address: 1.1.1.1

Flow:

sour addr: 8.8.8.8/255.255.255.255 port: 0 protocol: ip

dest addr: 9.9.9.9/255.255.255.255 port: 0 protocol: ip

[Inbound ESP SAs]

SPI: 662015886 (0x27758f8e)

Connection ID: 12884901889

Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843199/1431

Max received sequence-number: 4

Anti-replay check enable: Y

Anti-replay window size: 64

UDP encapsulation used for NAT traversal: N

Status: Active

[Outbound ESP SAs]

SPI: 2831964167 (0xa8cc5807)

Connection ID: 12884901888

Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843199/1431

Max sent sequence-number: 4

UDP encapsulation used for NAT traversal: N

Status: Active

配置关键点

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在2019-06-12对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

F1000-AK系列使用IKEV2主模式建立IPSEC VPN典型配置

组网及说明

1 配置需求及说明

1.1 适用的产品系列

1.2 配置需求及实现的效果

2 组网图

配置步骤

3 两端防火墙上网配置

3.1 总部侧创建IPSEC兴趣流匹配到分部的数据

3.2 总部侧创建IPSEC安全提议

3.3 总部侧创建IKEV2安全提议

3.4 总部侧创建IKE V2安全密钥

3.5 总部侧创建IKE安全框架

3.6 总部侧创建IPSEC安全策略

3.7 总部侧在外网接口调用NAT及IPSEC策略

3.8 分部侧创建IPSEC兴趣流匹配到分部的数据

3.9 分部侧创建IPSEC安全提议

3.10 分部侧创建IKEV2安全提议

3.11 分部侧创建IKE V2安全密钥

3.12 分部侧创建IKE安全框架

3.13 分部创建IPSEC安全策略

3.14 分部侧在外网接口调用NAT及IPSEC策略

4 保存配置

5 隧道验证

配置关键点

编辑评论

提出建议