F1000配置ipsec与分支对接
- 0关注
- 0收藏,48浏览
第一阶段:H3C F1000-T200 防火墙 Web 配置(中心端)
1. 配置 IKE 提议与 IPSEC 提议
- IKE 提议:新建一个提议。加密算法、认证算法、DH 组等参数必须与华为路由器端保持完全一致(例如:加密算法 AES-CBC-128,认证算法 SHA1,DH 组 Group 2)。
- IPSEC 提议:新建一个提议。封装模式选择“隧道模式”,安全协议选择“ESP”,并设置与华为端一致的加密和认证算法(如 ESP 加密算法 AES-128,认证算法 SHA1)。
2. 配置 IKE 对等体(Peer)
- 协商模式:务必选择 野蛮模式(Aggressive)。
- 身份认证方式:选择“预共享密钥”,并设置一个复杂的密钥(需与华为端一致)。
- 本端身份/对端身份:由于对端是动态 IP,这里通常保持默认(使用 IP 地址),或者在高级选项中将对端身份识别方式设为“名称”(Name),具体视 Web 界面提供的选项而定。
- NAT 穿越:如果对端经过 NAT 上网,务必勾选“启用 NAT 穿越(NAT-T)”。
3. 配置 IPSEC 策略模板(关键步骤)
- 找到【IPSEC 策略模板】选项并新建。
- 绑定对象:将刚才创建的“IKE 对等体”和“IPSEC 提议”绑定到这个模板上。
- 保护的数据流(ACL):在此处定义需要加密的流量。源地址填 F1000 后端的内网网段,目的地址填华为路由器后端的内网网段。
4. 配置 IPSEC 策略并应用
- 新建一个普通的【IPSEC 策略】。
- 在策略类型或高级选项中,选择引用刚才创建的 IPSEC 策略模板。
- 最后,将这个 IPSEC 策略应用到 F1000 连接公网的出接口(通常是连接光猫/运营商的接口)上。
5. 配置安全策略与 NAT 豁免
- 安全策略放行:进入【策略】>【安全策略】,放行 IKE 协商流量(UDP 500 和 UDP 4500 端口,源/目为两端公网 IP)。同时,需要放行解密后的内网流量(源为华为内网网段,目的为 F1000 内网网段,动作允许)。
- NAT 豁免(No-NAT):进入【策略】>【NAT 策略】,新建一条策略放在最顶端。源地址为 F1000 内网网段,目的地址为华为内网网段,动作选择 不转换(No-NAT)。确保去往分支的流量不被公网 NAT 掉。
第二阶段:华为路由器配置(分支端)
1# 1. 定义感兴趣流(保护的数据流)
2acl number 3000
3 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
4
5# 2. 配置 IKE 提议和 IPSEC 提议(参数必须与 H3C 端完全一致)
6ike proposal 1
7 encryption-algorithm aes-cbc-128
8 authentication-algorithm sha1
9 dh group2
10#
11ipsec proposal 1
12 esp encryption-algorithm aes-128
13 esp authentication-algorithm sha1
14
15# 3. 配置 IKE 对等体(开启野蛮模式,并指定对端固定公网 IP)
16ike peer H3C_FIREWALL v1
17 pre-shared-key cipher YourPassword123
18 ike-proposal 1
19 exchange-mode aggressive # 开启野蛮模式
20 remote-address x.x.x.x # 这里填 H3C F1000 的固定公网 IP
21 nat traversal # 开启 NAT 穿越
22
23# 4. 配置 IPSEC 策略并应用到出接口(通常是 Dialer 口)
24ipsec policy POLICY1 10 isakmp
25 security acl 3000
26 ike-peer H3C_FIREWALL
27 proposal 1
28#
29interface Dialer1 # 假设你的拨号接口是 Dialer1
30 ipsec policy POLICY1避坑与排查指南
- 触发隧道建立:配置完成后,隧道不会自动建立。需要由分支端(华为路由器)内网的电脑去 Ping 中心端(H3C)的内网 IP,触发华为路由器发起 IKE 协商。
- 参数一致性:两端最容易出错的地方是 IKE 和 IPSEC 的加密算法、认证算法、DH 组、预共享密钥不一致。
- 排查命令:
- 在 H3C 防火墙上可以使用
display ike sa和display ipsec sa查看隧道协商状态。 - 在华为路由器上同样使用
display ike sa和display ipsec sa查看。
- 在 H3C 防火墙上可以使用
- 光猫端口映射:如果 F1000 是接在光猫后面,且光猫处于路由模式,记得在光猫上将 UDP 500 和 UDP 4500 端口映射到 F1000 的公网接口 IP 上。
对端ID这里怎么填呢,因为对端是动态ip地址
对端ID这里怎么填呢,因为对端是动态ip地址
F1000-T200 WEB 配置野蛮模式 IPSec(总部固定公网、华为分支无公网 IP / 多层 NAT)
组网前提
F1000 总部:WAN 固定公网 IP:A.A.A.A;内网:10.0.0.0/24
华为分支 AR:外网拨号 / 内网 NAT、无公网 IP;内网:192.168.1.0/24
关键:野蛮模式 + ID 类型 NAME + 对端地址动态 + 开启 NAT 穿越,分支主动发起协商
防火墙安全策略提前放行:UDP500、UDP4500、ESP(50)(公网→本机)
IKE对等体页面
野蛮模式配置页
一、F1000 WEB 分步配置(菜单:VPN→IPSec)
1、IKE 安全提议(第一阶段加密算法,和华为全一致)
进入【IKE 安全提议】→新建
加密算法:AES-256
认证:SHA1
DH 密钥:Group2(1024)
生存周期:86400 秒(1 天)
华为 AR-IKE 提议参数必须一模一样
2、IKE 对等体(野蛮模式核心配置)【重点】
新建 IKE 对等体,绑定外网 WAN 接口:
协商模式:野蛮模式(Aggressive)(华为叫积极模式)
ID 类型:名称 NAME(不能选 IP,分支无公网 IP)
本端名称:HQ(自定义,华为配置对端名称 = HQ)
对端名称:BR(华为本端名称 = BR,两端名称相反)
对端 IP 地址:动态(Dynamic)(分支拨号 IP 不固定)
预共享密钥:Test@123456(两端密钥完全相同)
引用上面建好的 IKE 提议
高级选项:启用 NAT 穿越 NAT-T(必开,分支在 NAT 内网必备)
DPD 保活:开启,30 秒探测
3、IPSec 安全提议(第二阶段 ESP)
新建 IPSec 提议:
安全协议:ESP
加密:AES-256
认证:SHA1
PFS:关闭(华为大多不开启 PFS)
生命周期:3600 秒
4、IPSec 策略模板(分支动态必须用模板方式,不能用策略)
分支无固定 IP,总部只能用IPSec 策略模板接收分支主动接入
【IPSec 策略】→新建→策略模板
模板名称:IPSEC_BR
引用 IKE 对等体、IPSec 安全提议
保护数据流:
源:总部内网10.0.0.0/24
目的:分支内网192.168.1.0/24
把建好的IPSec 策略模板绑定在 WAN 外网接口
5、安全策略放行(安全→安全策略)
公网→本地:放行 UDP500/UDP4500/ESP 协议
内网互通:放行10.0.0.0<->192.168.1.0全通
6、路由配置(路由→静态路由)
添加静态路由:
目的192.168.1.0/24 出接口:WAN(绑定IPSEC的接口)
二、华为 AR 路由器关键配置(命令行,对应 F1000 参数)
plaintext
#1.IKE提议
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha1
dh group2
#2.IKE对等体 野蛮/积极模式
ike peer HQ pre-shared-key simple Test@123456
ike-proposal 10
exchange-mode aggressive //积极=野蛮
id-type name
local-name BR //本端ID=BR
remote-name HQ //对端ID=HQ(和F1000本端ID一致)
remote-address A.A.A.A //填写F1000公网IP
nat-traversal enable //开启NAT穿越
#3.IPSec提议&策略
ipsec proposal IPSEC
esp encryption-algorithm aes-256
esp authentication-algorithm sha1
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
ipsec map BR map-isakmp
security acl 3000
proposal IPSEC
remote-peer HQ
#外网口绑定IPSEC策略
int g0/0/0(出口外网口)
ipsec map BR
#回程静态路由
ip route-static 10.0.0.0 255.255.255.0 隧道下一跳(自动生成,不用手工)
三、调试 & 查看(F1000 WEB / 命令)
WEB 路径:VPN→IPSec→监控
plaintext
display ike sa #查看第一阶段野蛮会话
display ipsec sa #查看二阶段隧道
常见故障
IKE 协商失败:核对ID 名称、密钥、加密算法三者一致
能起 IKE、起不了 IPSEC:检查 ACL 感兴趣流、静态路由
分支 NAT 后不通:确认两端NAT-T 开启、UDP4500 放行
精简总结
F1000:野蛮 + NAME-ID + 对端动态 + IPSEC 策略模板 + NAT-T;
华为:积极模式,填总部固定公网 IP、反向 ID 名称;
分支主动访问总部内网流量触发 VPN 建立。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
您发的案列,是两边都是公网地址,但是我分支是没有公网的,应该如何配置