防火墙与飞塔防火墙 ipsec对接
- 0关注
- 0收藏,37浏览
操作前先执行<sysname>save 备份现有配置,避免配置错误影响业务。
华三侧关键配置(所有加密/认证/组/生命周期参数需和飞塔侧完全一致):
1. 配置IKEv1提议
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
2. 配置IKE对等体
ike peer fgt_peer
pre-shared-key simple 自定义预共享密钥
ike-proposal 10
remote-address 飞塔公网IP
exchange-mode main
3. 配置IPsec转换集
ipsec transform-set fgt_ts
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
4. 配置感兴趣流ACL(四段流量按需补充规则,飞塔侧感兴趣流需和华三侧镜像对称)
acl number 3000
rule permit ip source 本地网段1 反掩码 destination 对端网段1 反掩码
rule permit ip source 本地网段2 反掩码 destination 对端网段2 反掩码
5. 配置IPsec策略并应用到公网口
ipsec policy fgt_policy 10 isakmp
security acl 3000
transform-set fgt_ts
ike-peer fgt_peer
# 公网口下应用
interface GigabitEthernetx/x/x
ipsec apply policy fgt_policy
注意事项:需在NAT策略中豁免感兴趣流,放通local域到飞塔公网的UDP500、4500及ESP(协议号50)流量。IKEv1为标准协议无特殊适配,按上述步骤匹配参数即可完成对接。
可以的,正常配置就行,华三防火墙ipsec案例:
Web方式:IPsec基础组网典型配置
使用版本
本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
组网需求
如图-1所示,在Device A和Device B之间建立一条IPsec隧道,对Host A所在的子网与Host B所在的子网之间的数据流进行安全保护。具体要求如下:
两端通过预共享密钥方式进行认证。
IKE协商采用的加密算法为3DES-CBC,认证算法为SHA256。
IPsec隧道的封装模式为隧道模式,安全协议为ESP。
图-1 使用IPsec保护子网之间的用户流量组网图
/images/m230712x1z417/x_Img_x_png_0.png)
配置步骤
Device A的配置
配置接口的IP地址
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/13右侧的<编辑>按钮,配置如下。
安全域:Untrust
选择“IPv4地址”页签,配置IP地址/掩码:220.0.0.100/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/12,配置如下。
安全域:Trust
选择“IPv4地址”页签,配置IP地址/掩码:192.100.0.1/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
目的IP地址:220.0.10.100
掩码长度:24
下一跳IP地址:220.0.0.2
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,配置如下。
目的IP地址:192.200.0.2
掩码长度:24
下一跳IP地址:220.0.0.2
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:trust-untrust
源安全域:Trust
目的安全域:Untrust
类型:IPv4
动作:允许
源IPv4地址:192.100.0.0/24
目的IPv4地址:192.200.0.0/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
名称:untrust-trust
源安全域:Untrust
目的安全域:Trust
类型:IPv4
动作:允许
源IPv4地址:192.200.0.0/24
目的IPv4地址:192.100.0.0/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
名称:local-untrust
源安全域:Local
目的安全域:Untrust
类型:IPv4
动作:允许
源IPv4地址:220.0.0.100
目的IPv4地址:220.0.10.100
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
名称:untrust-local
源安全域:Untrust
目的安全域:Local
类型:IPv4
动作:允许
源IPv4地址:220.0.10.100
目的IPv4地址:220.0.0.100
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
新建IKE提议
# 选择“网络 > VPN > IPsec > IKE提议”,进入IKE提议页面。
# 单击<新建>按钮,进入新建IKE提议页面,进行如下操作:
设置优先级为1。
选择认证方式为预共享密钥。
设置认证算法为SHA256。
设置加密算法为3DES-CBC。
其它配置均使用缺省值。
单击<确定>按钮,完成新建IKE提议配置。
图-2 新建IKE提议
/images/m230712x1z417/x_Img_x_png_1.png)
配置IPSec策略
# 选择“网络 > VPN > IPsec > 策略”,进入IPsec策略配置页面。
# 单击<新建>按钮,进入新建IPsec策略页面。
在基本配置区域进行如下配置:
设置策略名称为policy1。
设置优先级为1。
选择设备角色为对等/分支节点。
选择IP地址类型为IPv4。
选择接口GE1/0/13。
设置本端地址为220.0.0.100。
设置对端IP地址/主机名为220.0.10.100。
/images/m230712x1z417/x_Img_x_png_2.png)
在IKE策略区域进行如下配置:
选择协商模式为主模式。
选择认证方式为预共享密钥。
输入预共享密钥,并通过再次输入进行确认。
选择IKE提议为1(预共享密钥;SHA256;3DES-CBC;DH group 1)。
设置本端ID为IPv4地址220.0.0.100。
设置对端ID为IPv4地址220.0.10.100。
/images/m230712x1z417/x_Img_x_png_3.png)
在保护的数据流区域,单击<新建>按钮,进入新建保护的数据流页面,进行如下操作:
设置源IP地址为192.100.0.0/24。
设置目的IP地址为192.200.0.0/24。
单击<确定>按钮,完成配置。
图-4 新建保护的数据流
/images/m230712x1z417/x_Img_x_png_4.png)
在触发模式选择区域,选择IPsec协商的触发模式为流量触发。
在高级配置区域进行如下配置:
选择IPsec封装模式为隧道模式。
选择IPsec安全协议为ESP。
其它配置均使用缺省值。
# 单击<确定>按钮,完成新建IPsec策略。
Device B的配置
配置接口的IP地址
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE2/0/13右侧的<编辑>按钮,配置如下。
安全域:Untrust
选择“IPv4地址”页签,配置IP地址/掩码:220.0.10.100/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE2/0/12,配置如下。
安全域:Trust
选择“IPv4地址”页签,配置IP地址/掩码:192.200.0.2/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
目的IP地址:220.0.0.100
掩码长度:24
下一跳IP地址:220.0.10.2
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,配置如下。
目的IP地址:192.100.0.2
掩码长度:24
下一跳IP地址:220.0.10.2
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:trust-untrust
源安全域:Trust
目的安全域:Untrust
类型:IPv4
动作:允许
源IPv4地址:192.200.0.0/24
目的IPv4地址:192.100.0.0/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
名称:untrust-trust
源安全域:Untrust
目的安全域:Trust
类型:IPv4
动作:允许
源IPv4地址:192.100.0.0/24
目的IPv4地址:192.200.0.0/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
名称:local-untrust
源安全域:Local
目的安全域:Untrust
类型:IPv4
动作:允许
源IPv4地址:220.0.10.100
目的IPv4地址:220.0.0.100
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
名称:untrust-local
源安全域:Untrust
目的安全域:Local
类型:IPv4
动作:允许
源IPv4地址:220.0.0.100
目的IPv4地址:220.0.10.100
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
新建IKE提议
# 选择“网络 > VPN > IPsec > IKE提议”,进入IKE提议页面。
# 单击<新建>按钮,进入新建IKE提议页面,进行如下操作:
设置优先级为1。
选择认证方式为预共享密钥。
设置认证算法为SHA256。
设置加密算法为3DES-CBC。
其它配置均使用缺省值。
单击<确定>按钮,完成新建IKE提议配置。
图-5 新建IKE提议
/images/m230712x1z417/x_Img_x_png_5.png)
配置IPSec策略
# 选择“网络 > VPN > IPSec > 策略”,进入IPSec策略配置页面。
# 单击<新建>按钮,进入新建IPsec策略页面。
在基本配置区域进行如下配置:
设置策略名称为policy1。
设置优先级为1。
选择设备角色为对等/分支节点。
选择IP地址类型为IPv4。
选择接口GE2/0/13。
设置本端地址为220.0.10.100。
设置对端IP地址/主机名为220.0.0.100。
图-6 基本配置
/images/m230712x1z417/x_Img_x_png_6.png)
在IKE策略区域进行如下配置:
选择协商模式为主模式。
选择认证方式为预共享密钥。
输入预共享密钥,并通过再次输入进行确认。
选择IKE提议为1(预共享密钥;SHA256;3DES-CBC;DH group 1)。
设置本端ID为IPv4地址220.0.10.100。
设置对端ID为IPv4地址220.0.0.100。
图-7 IKE策略
/images/m230712x1z417/x_Img_x_png_7.png)
在保护的数据流区域,单击<新建>按钮,进入新建保护的数据流页面,进行如下操作:
设置源IP地址为192.200.0.0/24。
设置目的IP地址为192.100.0.0/24。
单击<确定>按钮,完成配置。
图-8 新建保护的数据流
/images/m230712x1z417/x_Img_x_png_8.png)
在触发模式选择区域,选择IPsec协商的触发模式为流量触发。
在高级配置区域进行如下配置:
选择IPsec封装模式为隧道模式。
选择IPsec安全协议为ESP。
其它配置均使用缺省值。
# 单击<确定>按钮,完成新建IPsec策略。
验证配置
Device A和Device B可以相互访问。
在Device A上查看IPSec隧道信息如下。
# 选择“网络 > VPN > IPSec > 监控”,可以看到当前建立的IPSec隧道。点击隧道列表右侧的“详情”图标,可以看到详细的隧道信息,IPSec SA和统计信息。
图-9 Device A的IPsec隧道详细信息
/images/m230712x1z417/x_Img_x_png_9.png)
在Device B上查看IPSec隧道信息如下。
# 选择“网络 > VPN > IPSec > 监控”,可以看到当前建立的IPSec隧道。点击隧道列表右侧的“详情”图标,可以看到详细的隧道信息,IPSec SA和统计信息。
图-10 Device B的IPsec隧道详细信息
/images/m230712x1z417/x_Img_x_png_10.png)
暂无评论
完全可以,IKEv1 是 IETF 制定的公有标准协议,只要两端的关键参数匹配,就能正常建立 IPsec 隧道,参考:
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Interoperability_Guides/H3C_Fortinet_IPsec-30228/?CHID=1241708
参考案例中的典型配置,核心操作可以分为以下几步(以 H3C SecPath F1000-AI-80 为例-):
配置接口 IP 地址并加入安全域
Untrust 域:对应公网接口(如
GE1/0/5),配置公网 IP。Trust 域:对应私网接口(如
GE1/0/2),配置私网 IP。
配置静态路由:确保两端公网路由可达。
配置安全策略:
放行 IKE 协商流量:在
Local到Untrust的区域间,放行 UDP 500 和 UDP 4500 端口。放行业务流量:配置 Trust 到 Untrust 的安全策略,放行两边内网网段的互访流量。
豁免 NAT:在 NAT 策略中,将对端的业务流量设置为“不做地址转换”。
配置 IPsec 连接:
分别配置 IKE 提议、IKE 对等体、IPsec 转换集,并配置 ACL(即“感兴趣流”)来指定需要加密的流量范围。
创建 IPsec 策略,将以上配置关联起来,并应用到公网接口上。
飞塔(FortiGate)侧配置:需确保两端的预共享密钥、加密算法、认证算法、DH 组、生命周期等参数完全一致。
暂无评论
一、核心支持说明
- IKE 版本:IKEv1 主模式 / 野蛮模式(Aggressive)均支持
- 对接模式:策略模式(Policy-Based) 或 路由模式(Route-Based / 接口模式)
- 兼容性:华三 F1000 / F5000 / MSR 系列、飞塔 FortiGate 全系列(60E/100F/1000D 等)、各主流固件版本均已验证互通
二、官方对接案例(H3C 官方指导)
- 测试环境
- H3C:SecPath F1000-AI-80 (F9900P2325)
- 飞塔:FortiGate 1000D (v7.2.4)
- IKE 版本:IKEv1 主模式(Main Mode)
- 关键参数(必须严格一致)
- 阶段 1 (IKE)
- 版本:IKEv1
- 模式:Main (主模式)
- 认证:预共享密钥(PSK)
- 加密:AES-128
- 认证:SHA1 (HMAC-SHA1-96)
- DH 组:Group 2 (1024-bit) / Group 5 (1536-bit)
- 生存时间:86400s (24h)
- 阶段 2 (IPsec)
- 协议:ESP
- 模式:Tunnel (隧道模式)
- 加密:AES-128
- 认证:SHA1
- PFS:建议两端都关闭(飞塔默认开启,华三默认关闭,易失败)
- 生存时间:3600s / 28800s
- 阶段 1 (IKE)
三、飞塔 (FortiGate) 配置要点(WebUI)
- 新建 IPsec 隧道 → 自定义
- 阶段 1 (IKE)
- 接口:WAN 口
- 版本:IKEv1
- 模式:Main (主模式)
- 对端 IP:H3C 公网 IP
- 认证:预共享密钥
- 提案:AES128-SHA1-DH5(与 H3C 匹配)
- 阶段 2 (IPsec)
- 本地子网:本端私网
- 远端子网:H3C 私网
- 提案:AES128-SHA1
- PFS:关闭(Key ife: None)
- 安全策略 & 路由
- 策略:放行
local ↔ remote,NAT 关闭 - 路由:静态路由指向对端子网,出接口为 VPN 隧道
- 策略:放行
四、华三 (H3C) 配置要点(命令行)
# 1. 配置 IKE 提议(IKEv1)
ike proposal 10
encryption-algorithm aes-cbc-128
authentication-algorithm sha1
dh group5
sa duration 86400
# 2. 配置 IKE 对等体
ike peer FortiGate
pre-shared-key simple H3C_FortiGate_2024 # 密钥
ike-proposal 10
remote-address 200.1.1.1 # 飞塔公网IP
sa duration 86400
dpd interval 10 retry 5 # 可选
# 3. 配置 IPsec 提议
ipsec proposal 10
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
# 4. 配置 IPsec 策略(策略模式)
ipsec policy IPsec 10 isakmp
security acl 3000
proposal 10
ike-peer FortiGate
sa duration 3600
pfs disable # 关闭PFS(关键)
# 5. 接口调用
interface GigabitEthernet1/0/5 (WAN口)
ipsec apply policy IPsec
# 6. ACL 匹配流量
acl advanced 3000
rule permit ip source 100.1.1.0 0.0.0.255 destination 200.1.1.0 0.0.0.255
# 7. 静态路由
ip route-static 200.1.1.0 24 100.1.1.1 # 指向隧道
五、常见排障(必看)
- 阶段 1 失败
- 检查:IKEv1 版本、模式、加密 / 认证 / DH、PSK、对端 IP
- 命令:
display ike sa/diagnose vpn ike log-filter
- 阶段 2 失败(最常见)
- PFS 不匹配:两端必须同时开启或关闭
- 子网不匹配:ACL / 感兴趣流完全镜像
- 命令:
display ipsec sa/diagnose vpn tunnel list
- 隧道 Up 但不通
- 策略:放行 VPN 流量,NAT 关闭
- 路由:配置静态路由指向隧道
- 防攻击:关闭 IKE/ESP 限速、黑名单
六、总结
- 结论:华三 ↔ 飞塔 IPsec 对接首选 IKEv1,成熟稳定、官方有案例、易排障
- 最佳实践
- IKEv1 Main Mode
- AES128 + SHA1 + DH5
- PFS 关闭
- 策略放行、路由指向隧道
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论