拓扑介绍
FW1模仿某集团公司总部公网出口,FW3模仿其分公司公网出口
通过在inter上搭建IPSec实现双方内网互通
配置思路
1、预配底层,VLAN10与VLAN20网关起在FW1与FW2上;FW1、AR2、FW3模拟Inter公网环境实现FW1与FW3出接口互通,此处配置省略。
2、IPSEC配置
a、ipsec proposal(ipsec安全提案),指定封装模式,使用的数据加密协议,协议的认证算法与加密算法。
b、ike proposal(ike提案),如果是通过IKE自动协商秘钥则需要配置IKE提案,用于指定秘钥交互的认证方式与算法。
c、ike peer ,绑定ike proposal,指定ike交互模式与对端用于接收IPSEC报文地址,指定共享秘钥,还可以设定dpd消息(类似Keepalive报文)。
d、创建ACL抓取IPSEC感兴趣流量。
e、创建ipsec policy,绑定ipsec proposal、Ike peer、ACL感兴趣流、配置本地站点地址。
f、接口下启用ipsec policy。
配置注意事项
1、双方站点使用的加密协议与算法要保持一致,否则协商不通过。
2、ACL抓取的兴趣流必须源目地址都精确,若只有源没有目的会导致隧道协商不通过(可以配置any)。
3、当NAT和IPSEC同时配置在一台设备上,会先执行NAT再执行IPSEC,所以需要在NAT的ACL中deny掉IPSEC的感兴趣数据流。
4、不同厂商间设备缺省加密算法以及认证模式不同,可以先使用命令查看缺省值比对后再配置。
配置开始
a、ipsec proposal(ipsec安全提案)
FW1上:
ipsec proposal 1
transform esp //封装协议为ESP协议(ESP既支持认证也可进行数据加密相对于SA更安全)
encapsulation-mode tunnel //数据封装模式为隧道模式
esp authentication-algorithm sha2-256 //ESP的认证算法
esp encryption-algorithm aes-256 //ESP的加密算法FW2上:
ipsec proposal 1
transform esp //封装协议为ESP协议(ESP既支持认证也可进行数据加密相对于SA更安全)
encapsulation-mode tunnel //数据封装模式为隧道模式
esp authentication-algorithm sha2-256 //ESP的认证算法
esp encryption-algorithm aes-256 //ESP的加密算法配置技巧:当我们配置ipsec proposal 时可以先查看缺省的模式,省略配置命令
命令:dis ipsec proposal
b、ike proposal(ike提案)
FW1上:
ike proposal 1
encryption-algorithm aes-256 //加密算法
dh group14 //最大支持的秘钥宽度
authentication-algorithm sha2-256 //认证算法
authentication-method pre-share //认证方式
integrity-algorithm hmac-sha2-256 //完整性算法(选择配置)
prf hmac-sha2-256 //prf算法(选择配置)FW2配置相同
查看ike proposal
dis ike proposal
c、ike peer
FW1:
ike peer 1
undo version 2 //使用版本1,不使用版本2
pre-shared-key huawei@123 //预共享秘钥
ike-proposal 1 //绑定IKE提案
dpd type periodic //dpd消息为周期发送
dpd idle-time 10 //检测包发送时间为10S,缺省为30
remote-address 23.0.0.3 //对端IPSEC地址 local-id-type ip //本地ID类型指为IP
exchange-mode main //ike在1阶段交互模式为主模式配置完成后可以通过命令进行比对 :dis ike peer
FW3:
ike peer 1
undo version 2 //使用版本1,不使用版本2
pre-shared-key huawei@123 //预共享秘钥
ike-proposal 1 //绑定IKE提案
dpd type periodic //dpd消息为周期发送
dpd idle-time 10 //检测包发送时间为10S,缺省为30
remote-address 12.0.0.1 //对端IPSEC地址 local-id-type ip //本地ID类型指为IP
exchange-mode main //ike在1阶段交互模式为主模式d、创建ACL抓取IPSEC感兴趣流量。
FW1:
acl number 3000
rule 0 permit ip source 10.0.10.0 0.0.0.255 destination 10.0.20.0 0.0.0.255FW3:
acl number 3000
rule 0 permit ip source 10.0.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255e、创建ipsec policy,绑定ipsec proposal、Ike peer、ACL感兴趣流、配置本地站点地址。
FW1:
ipsec policy FW1 1 isakmp
security acl 3000
ike-peer 1
proposal 1
tunnel local 12.0.0.1 //设置隧道本地地址,(华为路由器是在ike-peer 视图下指定)FW3:
ipsec policy FW3 1 isakmp
security acl 3000
ike-peer 1
proposal 1
tunnel local 23.0.0.3d、接口下启用
FW1:
interface GigabitEthernet1/0/1
ipsec policy FW1FW3:
interface GigabitEthernet1/0/0
ipsec policy FW3此时IPSEC隧道参数已经配置完成,接下来配置防火墙策略与路由。
路由
FW1:
ip route-static 10.0.20.0 255.255.255.0 23.0.0.3
FW3:
ip route-static 10.0.10.0 255.255.255.0 12.0.0.1
防火墙策略
FW1上:(FW3配置类似)
区域配置:
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1策略配置:
security-policy
rule name local_untrust
source-zone local
destination-zone untrust
action permit
rule name untrust_local
source-zone untrust
destination-zone local
action permit
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit
rule name untrust_trust
source-zone untrust
destination-zone trust
action permit策略解释:
local区域与UNtrust区域双向放通是为了ipsec隧道能正常建立收发IPSEC协商报文(如果有协议管控需要放开UDP、ESP协议)
Trust区域与UNtrust区域双向放通是为了两个区域间内外互访
此时我们可以查看防火墙上的会话表:
dis firewall session table
会话表中UDP协议传输的为dpd保活报文
使用PC1pingPC2:
查看FW会话表
此时看数据就非常明显了,如何放区域策略也一目了然
查看抓包数据
在FW1上的G1/0/1上抓包
每10S循环的dpd消息报文
