两台防火墙F1000-C8120
- 0关注
- 0收藏,138浏览
您好,参考
两台防火墙采用公网固定地址方式搭建IPSEC VPN配置案例(主模式WEB配置)
1 配置需求及说明
1.1 适用的产品系列
本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。
注:本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。
1.2 配置需求及实现的效果
总部和分部各有一台防火墙部署在互联网出口,因业务需要两端内网需要通过VPN相互访问。IP地址及接口规划如下表所示:
公司名称 | 外网接口 | 公网地址/掩码 | 公网网关 | 内网接口 | 内网地址/掩码 |
总部 | 1/0/3 | 101.88.26.34/30 | 101.88.26.33 | 1/0/4 | 192.168.10.0/24 |
分部 | 1/0/3 | 198.76.26.90/30 | 198.76.26.89 | 1/0/4 | 192.168.20.0/24 |
2 组网图
3 配置步骤
3.1 两端防火墙上网配置
防火墙上网配置请参考“2.3.2 防火墙外网使用固定IP地址上网配置方法”进行配置,本文只针对IPSEC VPN配置进行介绍。
3.2 总部侧IPSEC VPN策略配置
#在“网络”>“VPN”>“策略”中点击新建。
#在“基本配置”中“接口”选择接入外网的1/0/3接口,“优先级”设置为1(优先级代表了策略匹配顺序,当存在多条VPN隧道时需要对各VPN隧道优先级进行设置),“认证方式”选择域共享密钥,建立VPN两端隧道的域共享密钥必须一致。对端ID设置对IP地址即分公司公网地址,本端ID默认为本端公网接口IP地址。在保护的数据流中添加源为总部内网网段192.168.10.0/24,目的IP地址为分部内网网段192.168.20.0/24。
3.3 总部侧配置安全策略,放通IPSEC感兴趣流的数据策略
#在“策略”>“安全策略”>点击“新建”,“源IP地址”中点击“添加IPV4地址对象组”
#配置对象组名称为“192.168.20.0”,点击“添加”,对象地址为192.168.20.0网段,为分支内网段地址
#在“策略”>“安全策略”>点击“新建”,“目的IP地址”中点击“添加IPV4地址对象组”
#配置对象组名称为“192.168.10.0”,点击“添加”,对象地址为192.168.10.0网段,为总部内网网段地址
#最后确认一下“源IP地址”为对端内网所在对象组,“目的IP地址”为本端内网地址所在对象组,确定即可
3.4 总部侧配置安全策略,放通Untrust到Local,和Local到Utrust的策略,用于建立IPSEC 隧道
3.5 分部侧IPSEC VPN策略配置
#在“网络”>“VPN”>“策略”中点击新建。
#在“基本配置”中“接口”选择接入外网的1/0/3接口,“优先级”设置为1(优先级代表了策略匹配顺序,当存在多条VPN隧道时需要对各VPN隧道优先级进行设置),“认证方式”选择域共享密钥,建立VPN两端隧道的域共享密钥必须一致。对端ID设置对IP地址即分公司公网地址,本端ID默认为本端公网接口IP地址。在保护的数据流中添加源为分部内网网段192.168.20.0/24,目的IP地址为总部内网网段192.168.10.0/24。
3.6 分部侧安全策略和总部的配置方法类似,只需将IPSEC的感兴趣流的源和目的IP反过来写即可。
3.7 测试VPN是否连通
在总部或者分部内网中任意找一台电脑访问对端网络资源。
举例:在总支侧电脑ping分部侧电脑,IPSEC初始建立时会丢1-2个包,建立后通信正常。
3.8 查看IPSEC监控信息
在“网络”>“VPN”>“IPsec”>“监控”中查看对到信息,如果有隧道信息就说明VPN已经正常建立,如果没有隧道信息就说明VPN未建立成功。
3.9 保存配置
在设备右上角选择“保存”选项,点击“是”完成配置。
4 注意事项
4.1 外网接口配置动态地址转换导致VPN无法建立问题
在配置IPSEC VPN时需要注意外网口配置地址转换时一定要排除掉VPN的感兴趣流,因为NAT转换在接口出方向优先于IPSEC策略,如果不修改会导致数据先经过NAT地址转换后无法匹配兴趣流。
在“对象”>“ACL”>“IPv4”中点击新建按钮。
#在“类型”中选择高级ACL,ACL编号输入3999。
#以总部防火墙为例,动作选择拒绝,IP协议类型选择拒绝,匹配条件匹配总部侧内网到分部侧内网的网段(在分部侧防火墙匹配条件取反)后点击确定添加下一条策略。
#不需要改变此页面配置,可以直接点击确定按钮。当有多个网段访问VPN的需求时,需要先添加拒绝的策略,再添加全部允许的策略。
#在“策略”>“NAT”>“NAT动态转换”>“策略配置”中点击新建按钮。接口选择外网接口,ACL选择之前创建的3999,转换后地址选择接口IP地址。
注意:如果配置策略中已经存在动态转换策略,请在此策略的基础上添加或者更换ACL选项。该操作可能导致断网请谨慎操作。
4.2 保存配置
在设备右上角选择“保存”选项,点击“是”完成配置。
- 2025-04-01回答
- 评论(0)
- 举报
-
(0)
暂无评论
IPsec诊断
特性简介
IPsec故障诊断功能可以检测IPsec连接的状态,当IPsec连接发生故障时,可以协助用户排查IPsec配置中的问题,并提供可能的原因。
设备支持三种诊断模式:数据流、接口、IP地址。在三种模式下,设备首先将根据用户指定的信息查找对应的IPsec策略。然后,在数据流和接口模式下,设备会主动向对端发起IPsec连接并进行诊断;在IP地址模式下,本端将等待指定对端发起IPsec连接,然后进行IPsec诊断。
表-1 IPsec诊断参数表
参数 | 说明 |
IPsec对端路由可达 | 路由表中是否存在到对端IP地址的路由 |
接口状态 | 检测接口物理层和IP协议层的状态,接口的确定方式有两种: · 数据流和IP诊断模式下,根据路由查找对应的出接口 · 接口诊断模式下,由用户指定 |
接口上应用了IPsec安全策略 | 检测接口上是否已经应用了IPsec安全策略 |
IPsec安全策略的ACL规则匹配指定数据流 | 只有采用数据流诊断模式才会显示此项,若显示为“否”,请检查IPsec策略的配置 |
存在待加密数据流 | 只有采用接口诊断模式才会显示此项,检测IPsec策略中的ACL规则是否存在permit规则,以实现流量匹配,保证IPsec的可以正常工作 |
IPsec策略配置完整性 | 检验IPsec策略的完整性,包括ACL、IPsec安全提议、隧道两端IP、SA参数,如果是IP地址诊断模式,则检测IPsec安全提议、SA参数 |
IKE协商结果 | 若显示“协商成功”或“IKE SA已存在”,则说明IKE协商正常 若显示其他,这说明IKE协商存在问题,请根据具体的提示信息检查本端以及对端的策略是否正确且匹配 |
IPsec协商结果 | 若显示“协商成功”或“隧道已存在”,则说明IPsec协商正常 若显示其他,这说明IPsec协商存在问题,请根据具体的提示信息检查本端以及对端的策略是否正确且匹配 |
使用限制和注意事项
· 数据流诊断方式中,源和目的IP地址为数据包实际的IP地址,而不是经过IPsec封装后的IP地址。
· 数据流方式和接口方式的IPsec诊断,根据指定信息查找到的IPsec策略必须可以主动发起IPsec连接,不能是模板方式建立的IPsec安全策略。
· 数据流方式和接口方式的IPsec诊断,设备的处理时间最长为20分钟,若20分钟内没有结果,将停止诊断,并输出已有结果。
· IP地址方式的IPsec诊断,设备将一直等待对端发起IPsec连接,不会自动停止诊断。
· 同一时间只能进行一个IPsec诊断。
· 只能针对使用IPv4地址的IPsec进行诊断。
· 本功能只支持对IPsec安全策略进行诊断,不支持诊断IPsec安全框架。
· VRF应配置为应用IPsec安全策略的接口所在的VPN实例。
- 2025-04-01回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论