问
把 CISCO ASA的防火墙的功能 迁移到H3C F1070防火墙,翻译成华三配置
1天前提问
- 0关注
- 0收藏,44浏览
问题描述:
对于 将来 把 CISCO ASA的防火墙的功能 迁移到H3C FIREWALL,请问当前F1070 是否满足下面这些协议:
crypto ipsec ikev2 ipsec-proposal AZURE-PROPOSAL
protocol esp encryption aes-256
protocol esp integrity sha-256
crypto ipsec profile AZURE-PROPOSAL
set ikev2 ipsec-proposal AZURE-PROPOSAL
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
crypto ikev2 policy 20
encryption aes-256 aes-192 aes
integrity sha512 sha384 sha256 sha
group 14 5 2
prf sha512 sha384 sha256 sha
lifetime seconds 86400
已采纳
zhiliao_Gixe
五段
H3C F1070完全支持AES-256、SHA-256加密哈希算法及IKEv2协议,以下是对应迁移配置:
第一段(基础加密策略配置):
创建匹配Azure的IPSec提议
ipsec proposal AZURE-PROPOSAL
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
quit
创建IKEv2协商策略(优先级20对应Cisco的policy 20,H3C优先级数值越小优先级越高,可按需调整)
ikev2 proposal 20
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
integrity-algorithm sha2-256
prf-algorithm sha2-256
quit
第二段(IPSec模板与全局参数配置):
创建IPSec模板对应Cisco的ipsec profile
ipsec template AZURE-PROPOSAL
ikev2 proposal 20
ipsec proposal AZURE-PROPOSAL
quit
配置IPSec SA的PMTU老化为无限
ipsec sa pmtu-aging infinite
配置CA信任池策略(适配Azure证书信任)
pki trustpool policy
auto-refresh enable
quit
重要提醒:配置前请备份现有F1070配置,避免变更导致业务中断。
第一段(基础加密策略配置):
创建匹配Azure的IPSec提议
ipsec proposal AZURE-PROPOSAL
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
quit
创建IKEv2协商策略(优先级20对应Cisco的policy 20,H3C优先级数值越小优先级越高,可按需调整)
ikev2 proposal 20
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
integrity-algorithm sha2-256
prf-algorithm sha2-256
quit
第二段(IPSec模板与全局参数配置):
创建IPSec模板对应Cisco的ipsec profile
ipsec template AZURE-PROPOSAL
ikev2 proposal 20
ipsec proposal AZURE-PROPOSAL
quit
配置IPSec SA的PMTU老化为无限
ipsec sa pmtu-aging infinite
配置CA信任池策略(适配Azure证书信任)
pki trustpool policy
auto-refresh enable
quit
重要提醒:配置前请备份现有F1070配置,避免变更导致业务中断。
H3C F1070 防火墙完全支持你列出的 Cisco ASA IPSec VPN 配置中的加密和完整性算法(AES-256, SHA-256, Group 14/5/2 等)。
但是,H3C 的配置逻辑与 Cisco ASA 完全不同。Cisco ASA 使用
crypto map 或 profile 将参数捆绑,而 H3C Comware V7 平台(F1070 所在平台)采用模块化配置:将加密算法、IKE 参数、对端信息分开定义,最后在接口下应用。以下是将你的 Cisco ASA 配置“翻译”为 H3C F1070 配置的对照方案:
1. 核心参数对照表
| 功能模块 | Cisco ASA 配置含义 | H3C F1070 对应配置命令 | 备注 |
|---|---|---|---|
| 加密算法 | esp encryption aes-256 | esp encryption-algorithm aes-cbc-256 | H3C 需指定模式(通常为 CBC) |
| 完整性算法 | esp integrity sha-256 | esp authentication-algorithm sha256 | H3C 称为认证算法 |
| IKE 加密 | encryption aes-256 | encryption aes-cbc-256 | 在 ike proposal 中配置 |
| IKE 完整性 | integrity sha256 | authentication-algorithm sha256 | |
| DH 组 | group 14 5 2 | dh group14 (或 group5/group2) | H3C 通常一次只选一个组,建议首选 group14 |
| PRF | prf sha256 | prf sha256 | |
| 生存时间 | lifetime seconds 86400 | sa duration time-based 86400 |
2. H3C F1070 完整配置示例
假设你的公网接口为
GigabitEthernet1/0/1,本地公网 IP 为 1.1.1.1,对端(Azure)IP 为 2.2.2.2。第一步:配置 IPSec 提议 (对应 crypto ipsec ikev2 ipsec-proposal)
定义数据加密的标准。
1ipsec transform-set AZURE-PROPOSAL
2 esp encryption-algorithm aes-cbc-256
3 esp authentication-algorithm sha256第二步:配置 IKE 提议 (对应 crypto ikev2 policy)
定义第一阶段协商的参数。H3C 中建议号越小优先级越高。
1ike proposal 20
2 encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
3 authentication-algorithm sha256 sha512 sha384 sha1
4 dh group14
5 sa duration time-based 86400注意:H3C 的
ike proposal 中通常不直接配置 PRF,PRF 往往跟随完整性算法或默认协商,具体视版本而定。第三步:配置 IKE 对等体 (对应 crypto ca / pre-share 等)
这里配置预共享密钥和对端地址。
1ike peer AZURE-PEER
2 pre-shared-key cipher YourPasswordHere # 输入你的共享密钥
3 remote-address 2.2.2.2 # 对应 Azure 的公网 IP
4 ike-proposal 20第四步:配置 IPSec 策略 (对应 crypto ipsec profile)
将上述模块组合起来。
1ipsec policy AZURE-MAP 10 isakmp
2 transform-set AZURE-PROPOSAL
3 ike-peer AZURE-PEER
4 security acl 3100 # 需定义 ACL 3100 来匹配感兴趣流(流量选择器)第五步:应用到接口 (对应 crypto map 应用到接口)
1interface GigabitEthernet1/0/1
2 ipsec apply policy AZURE-MAP3. 关键差异与注意事项
- PMTU 设置:
- Cisco 中的
crypto ipsec security-association pmtu-aging infinite是为了防止路径 MTU 发现老化。 - H3C 处理:H3C 默认开启 PMTU 发现。如果需要类似效果,通常在接口下配置
ip tcp adjust-mss来解决分片问题,而不是在 IPSec 策略中配置无限老化。
- Cisco 中的
- DH Group (组):
- Cisco 允许在一行写
group 14 5 2表示支持多个。 - H3C 的
ike proposal通常一次只能指定一个 DH 组。如果对端支持多个,H3C 会按照提议的优先级(proposal 编号)去匹配,或者你需要创建多个 proposal 来覆盖不同的 DH 组需求。建议先配置dh group14以确保安全性。
- Cisco 允许在一行写
- 安全策略 (Security Policy):
- 非常重要:Cisco ASA 默认允许 IPSec 流量通过。
- H3C F1070 是状态检测防火墙,必须在安全策略(Security Policy)中放行 IPSec 流量。你需要放行:
- UDP 500 (IKE)
- UDP 4500 (NAT-T)
- ESP 协议 (Protocol 50)
- 以及解密后的内部数据流(如 ICMP, TCP 等)。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论