问
防火墙透明模式IPSEC
12小时前提问
- 0关注
- 0收藏,44浏览
zhiliao_Gixe
三段
在防火墙透明模式下建立IPSec VPN,核心是让VPN流量通过防火墙但不改变其路由路径。由于防火墙是二层透明桥接,IPSec隧道需要基于VLAN接口(VLANIF)或桥接组(Bridge-group)的IP地址来建立。
关键配置思路:
1. 确保路由可达:在防火墙的VLANIF接口上配置IP地址,并确保分公司与总部的这些VLANIF接口IP地址三层路由可达(通常通过PTN网络)。
2. 配置IPSec策略:以VLANIF接口的IP地址作为IPSec隧道的本地与对端地址。
3. 应用策略到安全域:将IPSec策略应用到相应的安全域之间(如`Trust`到`Untrust`),并放行相关安全策略。
简要配置示例:
创建VLAN并加入物理接口
vlan 100
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 100
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 100
配置VLAN接口IP地址(用于建立IPSec)
interface Vlan-interface100
ip address 10.1.1.1 255.255.255.252 # 分公司防火墙地址
firewall packet-filter enable
配置IPSec(IKE阶段)
ike keychain KYC
pre-shared-key address 10.2.2.2 255.255.255.255 key simple YourPSK # 对端VLANIF地址
ike profile IKP
keychain KYC
local-identity address 10.1.1.1
match remote identity address 10.2.2.2 255.255.255.255
配置IPSec(安全提议与策略)
ipsec transform-set TS
esp encryption-algorithm aes-cbc-192
esp authentication-algorithm sha1
ipsec policy-template TMPLT 10
transform-set TS
ike-profile IKP
security acl 3000
ipsec policy IPSEC 10 isakmp template TMPLT
应用IPSec策略到VLAN接口
interface Vlan-interface100
ipsec policy IPSEC
配置ACL定义感兴趣流(源/目的为内网网段)
acl advanced 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
重要提醒:
对端总部防火墙需做镜像配置。
确保两端ACL(感兴趣流)互为镜像。
透明模式下,需确认数据流路径经过防火墙的VLAN
关键配置思路:
1. 确保路由可达:在防火墙的VLANIF接口上配置IP地址,并确保分公司与总部的这些VLANIF接口IP地址三层路由可达(通常通过PTN网络)。
2. 配置IPSec策略:以VLANIF接口的IP地址作为IPSec隧道的本地与对端地址。
3. 应用策略到安全域:将IPSec策略应用到相应的安全域之间(如`Trust`到`Untrust`),并放行相关安全策略。
简要配置示例:
创建VLAN并加入物理接口
vlan 100
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 100
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 100
配置VLAN接口IP地址(用于建立IPSec)
interface Vlan-interface100
ip address 10.1.1.1 255.255.255.252 # 分公司防火墙地址
firewall packet-filter enable
配置IPSec(IKE阶段)
ike keychain KYC
pre-shared-key address 10.2.2.2 255.255.255.255 key simple YourPSK # 对端VLANIF地址
ike profile IKP
keychain KYC
local-identity address 10.1.1.1
match remote identity address 10.2.2.2 255.255.255.255
配置IPSec(安全提议与策略)
ipsec transform-set TS
esp encryption-algorithm aes-cbc-192
esp authentication-algorithm sha1
ipsec policy-template TMPLT 10
transform-set TS
ike-profile IKP
security acl 3000
ipsec policy IPSEC 10 isakmp template TMPLT
应用IPSec策略到VLAN接口
interface Vlan-interface100
ipsec policy IPSEC
配置ACL定义感兴趣流(源/目的为内网网段)
acl advanced 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
重要提醒:
对端总部防火墙需做镜像配置。
确保两端ACL(感兴趣流)互为镜像。
透明模式下,需确认数据流路径经过防火墙的VLAN
虽然防火墙工作在透明模式,但它作为IPsec VPN的端点时,仍然需要配置三层接口(VLANIF)作为VPN隧道的源和终点,同时通过透明转发让业务流量通过防火墙。
第一步:配置分公司防火墙(透明模式 + VLANIF)
1. 创建业务VLAN
system-view
# 连接PTN的上行接口
# 创建VLANIF接口并配置IP地址
# 将物理接口加入安全域
# 创建地址对象
第二步:配置分公司防火墙IPsec VPN
1. 配置IPsec安全提议
ipsec transform-set vpn_tset
ike proposal 1
ike keychain vpn_key
ike profile vpn_profile
# 创建IPsec策略
interface Vlan-interface 100
第三步:配置总部防火墙(对称配置)
总部防火墙的配置与分公司对称,仅IP地址互换。
关键差异配置
# VLANIF接口IP
三、验证配置
1. 检查VLANIF接口状态
display interface Vlan-interface 100
2. 检查IKE SA建立状态
display ike sa
预期输出显示
IKE SA 状态为 READY。3. 检查IPsec SA建立状态
display ipsec sa
预期输出显示
IPsec SA 状态为 READY。4. 测试跨内网连通性
在分公司内网一台主机上执行:
ping 172.16.2.1 # 总部内网网关
四、注意事项
路由配置:两台防火墙的VLANIF接口需要能够互相通信。如果PTN设备之间通过公网连接,需要在两端配置默认路由指向PTN设备或运营商网关。
NAT穿越:如果防火墙经过NAT设备接入公网,需要在IPsec策略中开启NAT穿越功能:
nat-traversalipsec policy vpn_policy 1 isakmp防火墙透明模式的特殊性:透明模式下防火墙对业务流量不修改IP报文,因此IPsec加密后的报文可以正常通过防火墙转发。VPN隧道本身由VLANIF接口建立,不受透明模式影响。
安全策略:务必配置允许Local安全域之间的策略,否则VPN协商报文会被阻断。
暂无评论
你这个场景是防火墙二层透明模式 + VLANIF 做 IPSec 端点 + 跨 PTN 专线,属于企业分支 - 总部典型组网。下面给你完整的拓扑、规划、配置案例(H3C 防火墙为主),可直接套用。
一、组网拓扑与规划(分公司→总部)
1. 拓扑结构
plaintext
【分公司】
交换机 ↔ 防火墙(透明模式) ↔ PTN ↔ 外网 ↔ 总公司PTN ↔ 防火墙(透明模式) ↔ 服务器区
- 防火墙:二层透明模式(Bridge),不改变原有三层路由
- IPSec 端点:防火墙 VLANIF 接口(分公司 VLANIF ↔ 总部 VLANIF)
- 承载:PTN 专线透传 VLAN,跨公网 / 专线建立 IPSec
2. 地址规划(示例)
表格
| 区域 | 设备 | 接口 / VLAN | IP / 掩码 | 用途 |
|---|---|---|---|---|
| 分公司内网 | 交换机 | VLAN 10 | 192.168.10.0/24 | 终端 / 业务 |
| 分公司 | 防火墙 | VLANIF 100 | 10.1.1.1/30 | IPSec 本地端点 |
| 分公司 | 防火墙 | 物理口 G1/0/1、G1/0/2 | 无 IP | 加入 Bridge,透传 VLAN 10、100 |
| 总部内网 | 服务器区 | VLAN 20 | 192.168.20.0/24 | 业务服务器 |
| 总部 | 防火墙 | VLANIF 100 | 10.1.1.2/30 | IPSec 对端端点 |
| 总部 | 防火墙 | 物理口 G1/0/1、G1/0/2 | 无 IP | 加入 Bridge,透传 VLAN 20、100 |
二、分公司防火墙配置(透明模式 + IPSec)
1. 基础:透明模式与 Bridge
bash
运行
# 进入系统视图
sysname FW-Branch
# 关闭路由模式,启用透明模式
undo firewall route-mode enable
firewall bridge-mode enable
# 创建Bridge组(默认Bridge 1)
interface Bridge-Aggregation 1
port access vlan 10 # 内网业务VLAN
port access vlan 100 # IPSec端点VLAN
quit
# 物理口加入Bridge
interface GigabitEthernet 1/0/1
port link-type access
port default vlan 10
bridge-set 1
quit
interface GigabitEthernet 1/0/2
port link-type access
port default vlan 100
bridge-set 1
quit
# 配置IPSec端点VLANIF
interface Vlan-interface 100
ip address 10.1.1.1 255.255.255.252
quit
2. 路由:指向对端 VLANIF
bash
运行
# 静态路由:总部业务网段 → 对端VLANIF
ip route-static 192.168.20.0 255.255.255.0 10.1.1.2
# 缺省路由(可选,根据PTN规划)
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
3. IPSec 配置(IKE+ESP)
3.1 定义感兴趣流(ACL)
bash
运行
acl advanced 3000
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 20 deny ip
quit
3.2 IPSec 安全提议
bash
运行
ipsec transform-set TS-IPSEC
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
quit
3.3 IKE 配置(预共享密钥)
bash
运行
ike proposal IKE-PROP
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
quit
ike keychain IKE-KEY
pre-shared-key address 10.1.1.2 255.255.255.255 key simple Huawei@123
quit
ike peer IKE-PEER
pre-shared-key simple Huawei@123
ike-proposal IKE-PROP
remote-address 10.1.1.2
local-address 10.1.1.1
quit
3.4 IPSec 策略并应用到 VLANIF
bash
运行
ipsec policy IPSEC-POLICY 10 isakmp
security acl 3000
transform-set TS-IPSEC
ike-peer IKE-PEER
quit
# 在IPSec端点VLANIF应用策略
interface Vlan-interface 100
ipsec apply policy IPSEC-POLICY
quit
4. 安全策略(放行 IPSec 与业务)
bash
运行
security-policy ip
rule name IPSec-Allow
source-zone trust
destination-zone untrust
source-address 192.168.10.0 24
destination-address 192.168.20.0 24
service esp
service udp destination-port 500
service udp destination-port 4500
action permit
quit
rule name Local-IPSec
source-zone local
destination-zone untrust
service esp
service udp destination-port 500
service udp destination-port 4500
action permit
quit
三、总部防火墙配置(透明模式 + IPSec)
1. 基础:透明模式与 Bridge
bash
运行
sysname FW-HQ
undo firewall route-mode enable
firewall bridge-mode enable
interface Bridge-Aggregation 1
port access vlan 20
port access vlan 100
quit
interface GigabitEthernet 1/0/1
port link-type access
port default vlan 20
bridge-set 1
quit
interface GigabitEthernet 1/0/2
port link-type access
port default vlan 100
bridge-set 1
quit
interface Vlan-interface 100
ip address 10.1.1.2 255.255.255.252
quit
2. 路由
bash
运行
ip route-static 192.168.10.0 255.255.255.0 10.1.1.1
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
3. IPSec 配置(与分公司对称)
bash
运行
acl advanced 3000
rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 20 deny ip
quit
ipsec transform-set TS-IPSEC
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
quit
ike proposal IKE-PROP
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
quit
ike keychain IKE-KEY
pre-shared-key address 10.1.1.1 255.255.255.255 key simple Huawei@123
quit
ike peer IKE-PEER
pre-shared-key simple Huawei@123
ike-proposal IKE-PROP
remote-address 10.1.1.1
local-address 10.1.1.2
quit
ipsec policy IPSEC-POLICY 10 isakmp
security acl 3000
transform-set TS-IPSEC
ike-peer IKE-PEER
quit
interface Vlan-interface 100
ipsec apply policy IPSEC-POLICY
quit
4. 安全策略
bash
运行
security-policy ip
rule name IPSec-Allow
source-zone trust
destination-zone untrust
source-address 192.168.20.0 24
destination-address 192.168.10.0 24
service esp
service udp destination-port 500
service udp destination-port 4500
action permit
quit
rule name Local-IPSec
source-zone local
destination-zone untrust
service esp
service udp destination-port 500
service udp destination-port 4500
action permit
quit
四、PTN 与交换机配置要点
- PTN 透传 VLAN:确保 VLAN 100(IPSec 端点)在分公司→总部 PTN 全程透传,不做 VLAN 转换
- 交换机配置
- 分公司交换机:将连接防火墙的端口配置为 Trunk,放行 VLAN 10、100
- 总部交换机:将连接防火墙的端口配置为 Trunk,放行 VLAN 20、100
- 路由打通:
- 分公司内网:默认路由指向防火墙 VLANIF 100(10.1.1.1)
- 总部服务器区:默认路由指向防火墙 VLANIF 100(10.1.1.2)
五、验证与排障
1. 验证命令
bash
运行
# 查看IKE SA
display ike sa
# 查看IPSec SA
display ipsec sa
# 查看VLANIF与Bridge
display interface Vlan-interface 100
display bridge-set 1
# 测试连通性
ping -a 192.168.10.1 192.168.20.1
2. 常见问题
- IPSec 不建立:检查 VLANIF 是否 UP、路由是否可达、ACL 是否对称、安全策略是否放行 UDP 500/4500、ESP
- 透明模式不转发:确认 Bridge 组已加入物理口、VLAN 透传正常、防火墙未阻断二层流量
- 跨 PTN 不通:检查 PTN 是否透传 VLAN 100、两端 VLANIF 是否在同一网段
六、方案优势
- 不改变原有三层拓扑:防火墙透明部署,对现有网络零侵入
- IPSec 端点清晰:用独立 VLANIF 做 IPSec,业务与 VPN 分离
- PTN 专线兼容:利用 PTN 透传 VLAN,适合运营商专线场景
- 安全可控:防火墙做二层隔离 + IPSec 加密,满足等保要求
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论