组网需求
如图1所示,总部和分支分别通过华为防火墙和CISCO防火墙设备接入Internet。总部需要将通过ipsec隧道传输的流量全部引入到Tunnel接口,便于对经过IPSec隧道传输的流量进行管理,以实现分支和总部内网安全互通。
图2-4 以虚拟隧道接口方式建立IPSec隧道
数据规划
配置项 |
华为防火墙 |
Cisco防火墙 |
|
---|---|---|---|
IPSec安全提议 |
封装模式 |
隧道模式 |
隧道模式 |
安全协议 |
ESP |
ESP |
|
ESP协议验证算法 |
SHA1 |
ESP-SHA-HMAC |
|
ESP协议加密算法 |
AES |
ESP-AES |
|
IKE对等体 |
协商模式 |
主模式 |
主模式 |
加密算法 |
AES-128 |
AES |
|
认证算法 |
SHA1 |
SHA |
|
DH Group |
GROUP2 |
GROUP 2 |
|
预共享密钥 |
Key123 |
Key123 |
|
身份类型 |
IP地址 |
IP地址 |
|
IKE版本 |
V1 |
V1 |
配置思路
- 配置华为防火墙:
-
- 配置接口IP地址,并将接口加入安全区域;
- 配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙;
- 配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体;
- 在Tunnel接口上应用IPSec策略;
- 配置华为防火墙到分支内网的路由;
- 配置华为防火墙到Internet的缺省路由。
- 配置Cisco防火墙:
-
- 配置接口的IP地址,打开接口的访问控制;
- 配置Cisco防火墙到Internet的缺省路由;
- 配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置预共享密钥;
- 在接口上应用IPSec策略;
- 在接口上启用IPSec策略。
配置注意事项
本例的重点在于建立隧道的接口由物理接口变为了逻辑接口Tunnel。Tunnel接口如何配置IP地址是有讲究的,无论是手工指定的IP地址还是借用物理接口的IP地址,总之都要能与隧道对端的接口路由可达。从实际应用上来看,这个IP地址通常是一个公网地址。
Tunnel接口的Ping服务要配置为permit,这个不能忽略。如果忽略了这个配置,在结果验证环节分支用户Ping总部下的用户时会出现业务不通。
Tunnel接口建立IPSec隧道时,tunnel-protocol要设置成IPSec。
操作步骤
- 配置华为防火墙。
-
- 配置接口IP地址,并将接口加入安全区域。
[Huawei] interface GigabitEthernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] ip address 10.1.1.1 24 [HUAWEI-GigabitEthernet1/0/1] ip service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/ [HUAWEI-GigabitEthernet1/0/1] quit [HUAWEI] interface GigabitEthernet 1/0/2 [HUAWEI-GigabitEthernet1/0/2] ip address 1.1.3.1 24 [HUAWEI-GigabitEthernet1/0/2] service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/ [HUAWEI-GigabitEthernet1/0/2] quit [HUAWEI] interface tunnel 1 [HUAWEI-Tunnel1] ip address unnumbered interface GigabitEthernet1/0/2 [HUAWEI-Tunnel1] tunnel-protocol ipsec [HUAWEI-Tunnel1] service-manage ping permit [HUAWEI-Tunnel1] quit [HUAWEI] firewall zone trust [HUAWEI-zone-trust] add interface GigabitEthernet 1/0/1 [HUAWEI-zone-trust] quit [HUAWEI] firewall zone untrust [HUAWEI-zone-untrust] add interface GigabitEthernet 1/0/2 [HUAWEI-zone-untrust] add interface tunnel 1 [HUAWEI-zone-untrust] quit
-
- 配置域间安全策略。
配置Trust域与Untrust域的安全策略,允许IPSec封装前和解封装后的原始报文能通过华为防火墙。
[HUAWEI] security-policy [HUAWEI-policy-security] rule name 1 [HUAWEI-policy-security-rule-1] source-zone untrust [HUAWEI-policy-security-rule-1] destination-zone trust [HUAWEI-policy-security-rule-1] source-address 10.1.3.0 24 [HUAWEI-policy-security-rule-1] destination-address 10.1.1.0 24 [HUAWEI-policy-security-rule-1] action permit [HUAWEI-policy-security-rule-1] quit [HUAWEI-policy-security] rule name 2 [HUAWEI-policy-security-rule-2] source-zone trust [HUAWEI-policy-security-rule-2] destination-zone untrust [HUAWEI-policy-security-rule-2] source-address 10.1.1.0 24 [HUAWEI-policy-security-rule-2] destination-address 10.1.3.0 24 [HUAWEI-policy-security-rule-2] action permit [HUAWEI-policy-security-rule-2] quit
配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过华为防火墙。
[HUAWEI-policy-security] rule name 3 [HUAWEI-policy-security-rule-3] source-zone local [HUAWEI-policy-security-rule-3] destination-zone untrust [HUAWEI-policy-security-rule-3] source-address 1.1.3.1 32 [HUAWEI-policy-security-rule-3] destination-address 1.1.5.1 32 [HUAWEI-policy-security-rule-3] action permit [HUAWEI-policy-security-rule-3] quit [HUAWEI-policy-security] rule name 4 [HUAWEI-policy-security-rule-4] source-zone untrust [HUAWEI-policy-security-rule-4] destination-zone local [HUAWEI-policy-security-rule-4] source-address 1.1.5.1 32 [HUAWEI-policy-security-rule-4] destination-address 1.1.3.1 32 [HUAWEI-policy-security-rule-4] action permit [HUAWEI-policy-security-rule-4] quit
-
- 配置IPSec策略。
配置访问控制列表,定义需要保护的数据流。
[HUAWEI] acl 3000 [HUAWEI-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 [HUAWEI-acl-adv-3000] quit
配置IPSec安全提议。
[HUAWEI] ipsec proposal tran1 [HUAWEI-ipsec-proposal-tran1] transform esp [HUAWEI-ipsec-proposal-tran1] encapsulation-mode tunnel [HUAWEI-ipsec-proposal-tran1] esp authentication-algorithm sha1 [HUAWEI-ipsec-proposal-tran1] esp encryption-algorithm aes-128 [HUAWEI-ipsec-proposal-tran1] quit
创建IKE安全提议。
[HUAWEI] ike proposal 1 [HUAWEI-ike-proposal-1] encryption-algorithm aes-128 [HUAWEI-ike-proposal-1] authentication-algorithm sha1 [HUAWEI-ike-proposal-1] dh group2 [HUAWEI-ike-proposal-1] quit
配置IKE对等体。
[HUAWEI] ike peer asa [HUAWEI-ike-peer-asa] undo version 2 [HUAWEI-ike-peer-asa] exchange-mode main [HUAWEI-ike-peer-asa] ike-proposal 1 [HUAWEI-ike-peer-asa] remote-address 1.1.5.1 [HUAWEI-ike-peer-asa] pre-shared-key Key123 [HUAWEI-ike-peer-asa] quit
配置IPSec策略。
[HUAWEI] ipsec policy map1 1 isakmp [HUAWEI-ipsec-policy-isakmp-map1-1] security acl 3000 [HUAWEI-ipsec-policy-isakmp-map1-1] proposal tran1 [HUAWEI-ipsec-policy-isakmp-map1-1] ike-peer asa [HUAWEI-ipsec-policy-isakmp-map1-1] quit
在Tunnel接口上应用IPSec策略。
[HUAWEI] interface Tunnel 1 [HUAWEI-Tunnel1] ipsec policy map1 [HUAWEI-Tunnel1] quit
-
- 配置路由。
# 配置到分支内网的路由,并将流量引流到Tunnel接口。
[HUAWEI] ip route-static 10.1.3.0 24 tunnel 1
# 配置华为防火墙连接到Internet的缺省路由,假设下一跳为1.1.3.2。
[HUAWEI] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
- 配置Cisco防火墙。
-
- 配置Cisco防火墙接口的IP地址。
ASA5520> en ASA5520# configure terminal ASA5520(config)# interface GigabitEthernet 0/1 ASA5520(config-if)# nameif in ASA5520(config-if)# security-level 90 ASA5520(config-if)# ip address 10.1.3.1 255.255.255.0 ASA5520(config-if)# exit ASA5520(config)# interface interface GigabitEthernet 0/2 ASA5520(config-if)# nameif out ASA5520(config-if)# security-level 10 ASA5520(config-if)# ip address 1.1.5.1 255.255.255.0 ASA5520(config-if)# exit
-
- 打开Cisco防火墙接口的访问控制。
ASA5520(config)# access-list 10 extended permit icmp any any ASA5520(config)# access-group 10 in interface in ASA5520(config)# access-group 10 out interface in ASA5520(config)# access-group 10 in interface out ASA5520(config)# access-group 10 out interface out
-
- 配置Cisco防火墙到Internet的缺省路由,假设下一跳地址为1.1.5.2。
ASA5520(config)# route out 0.0.0.0 0.0.0.0 1.1.5.2 1
-
- 配置IPSec。
配置ACL(访问控制列表),定义需要保护的数据流。
这里需要注意,Cisco防火墙的ACL用的是掩码,而华为防火墙用的是反掩码,两者存在不同。
ASA5520(config)# access-list ipsec permit ip 10.1.3.0 255.255.255.0 10.1.1.0 255.255.255.0
配置IPSec安全提议。
ASA5520(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac
创建IKE安全提议。
ASA5520(config-isakmp-policy)# crypto isakmp policy 10 ASA5520(config-isakmp-policy)# authentication pre-share ASA5520(config-isakmp-policy)# encryption aes ASA5520(config-isakmp-policy)# hash sha ASA5520(config-isakmp-policy)# group 2 ASA5520(config-isakmp-policy)# lifetime 86400
配置预共享密钥。
ASA5520(config)# crypto isakmp key Key123 address 1.1.3.1
配置IPSec策略。
在IPSec策略中引用前面配置的ACL、IPSec安全提议。
ASA5520(config)# crypto map ipsec_map 10 match address ipsec ASA5520(config)# crypto map ipsec_map 10 set peer 1.1.3.1 ASA5520(config)# crypto map ipsec_map 10 set transform-set myset
在接口上应用IPSec策略。
ASA5520(config)# crypto map ipsec_map interface out
在接口上启用IPSec策略。
ASA5520(config)# crypto isakmp enable out
结果验证
- 配置完成后,使用分支下的用户Ping总部下的用户。
- 正常情况下,分支访问总部的数据流将会触发华为防火墙与Cisco防火墙之间建立IPSec隧道。此时在华为防火墙上查看IKE SA的建立情况,可以看到IKE SA已经建立成功。
display ike sa -------------------------------------------------------------------------------------------------- conn-id peer flag phase vpn -------------------------------------------------------------------------------------------------- 54 1.1.5.1 RD|ST|A v1:2 public 53 1.1.5.1 RD|ST|A v1:1 public flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY A--ALONE
- 使用display ipsec sa命令查看IPSec的建立情况,可以看到IPSec SA也已建立成功。
display ipsec sa =============================== Interface: Tunnel1 path MTU: 1500 =============================== ----------------------------- IPSec policy name: "map1" sequence number: 1 mode: isakmp vpn: public ----------------------------- connection id: 54 rule number: 5 encapsulation mode: tunnel holding time: 0d 0h 27m 23s tunnel local : 1.1.3.1 tunnel remote: 1.1.5.1 flow source: 10.1.1.0/255.255.255.0 0/0 flow destination: 10.1.3.0/255.255.255.0 0/0 [inbound ESP SAs] spi: 4231227848 (0xfc3369c8) vpn: public said: 8 cpuid: 0x0000 proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1 sa remaining key duration (kilobytes/sec): 4608000/1957 max received sequence-number: 3 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2527152779 (0x96a14a8b) vpn: public said: 9 cpuid: 0x0000 proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1 sa remaining key duration (kilobytes/sec): 4608000/1957 max sent sequence-number: 4 udp encapsulation used for nat traversal: N
配置文件
# sysname HUAWEI # interface GigabitEthernet 1/0/1 undo shutdown ip address 10.1.1.1 24 ip service-manage ping permit # interface GigabitEthernet 1/0/2 undo shutdown ip address 1.1.3.1 24 service-manage ping permit # interface tunnel 1 ip address unnumbered interface GigabitEthernet1/0/2 tunnel-protocol ipsec service-manage ping permit ipsec policy map1 # firewall zone trust add interface GigabitEthernet 1/0/1 # firewall zone untrust add interface GigabitEthernet 1/0/2 add interface tunnel 1 # security-policy rule name 1 source-zone untrust destination-zone trust source-address 10.1.3.0 24 destination-address 10.1.1.0 24 action permit rule name 2 source-zone trust destination-zone untrust source-address 10.1.1.0 24 destination-address 10.1.3.0 24 action permit rule name 3 source-zone local destination-zone untrust source-address 1.1.3.1 32 destination-address 1.1.5.1 32 action permit rule name 4 source-zone untrust destination-zone local source-address 1.1.5.1 32 destination-address 1.1.3.1 32 action permit # acl 3000 rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 # ipsec proposal tran1 transform esp encapsulation-mode tunnel esp authentication-algorithm sha1 esp encryption-algorithm aes-128 # ike proposal 1 encryption-algorithm aes-128 authentication-algorithm sha1 dh group2 # ike peer asa undo version 2 exchange-mode main ike-proposal 1 remote-address 1.1.5.1 pre-shared-key Key123 # ipsec policy map1 1 isakmp security acl 3000 proposal tran1 ike-peer asa # ip route-static 10.1.3.0 24 tunnel 1 ip route-static 0.0.0.0 0.0.0.0 1.1.3.2 # return
本文由 @蜗牛 发布于弱电智能网 。
题图来自Unsplash,基于CC0协议
内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章名称:《华为防火墙与Cisco防火墙以虚拟隧道接口方式建立IPSec隧道》
文章链接:https://www.ruodian360.com/tech/networking/36541.html
添加微信ydian188免费入群,记得备注“弱电智能网”。