华为防火墙与Cisco防火墙以虚拟隧道接口方式建立IPSec隧道

组网需求

如图1所示，总部和分支分别通过华为防火墙和CISCO防火墙设备接入Internet。总部需要将通过ipsec隧道传输的流量全部引入到Tunnel接口，便于对经过IPSec隧道传输的流量进行管理，以实现分支和总部内网安全互通。

图2-4 以虚拟隧道接口方式建立IPSec隧道

数据规划

配置思路

1. 配置华为防火墙：

• • 配置接口IP地址，并将接口加入安全区域；
  • 配置域间安全策略，允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙；
  • 配置IPSec策略，包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体；
  • 在Tunnel接口上应用IPSec策略；
  • 配置华为防火墙到分支内网的路由；
  • 配置华为防火墙到Internet的缺省路由。

2. 配置Cisco防火墙：

• • 配置接口的IP地址，打开接口的访问控制；
  • 配置Cisco防火墙到Internet的缺省路由；
  • 配置IPSec策略，包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置预共享密钥；
  • 在接口上应用IPSec策略；
  • 在接口上启用IPSec策略。

配置注意事项

本例的重点在于建立隧道的接口由物理接口变为了逻辑接口Tunnel。Tunnel接口如何配置IP地址是有讲究的，无论是手工指定的IP地址还是借用物理接口的IP地址，总之都要能与隧道对端的接口路由可达。从实际应用上来看，这个IP地址通常是一个公网地址。

Tunnel接口的Ping服务要配置为permit，这个不能忽略。如果忽略了这个配置，在结果验证环节分支用户Ping总部下的用户时会出现业务不通。
Tunnel接口建立IPSec隧道时，tunnel-protocol要设置成IPSec。

操作步骤

1. 配置华为防火墙。

• • 配置接口IP地址，并将接口加入安全区域。

[Huawei] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[HUAWEI-GigabitEthernet1/0/1] ip service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] interface GigabitEthernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] ip address 1.1.3.1 24
[HUAWEI-GigabitEthernet1/0/2] service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] interface tunnel 1
[HUAWEI-Tunnel1] ip address unnumbered interface GigabitEthernet1/0/2
[HUAWEI-Tunnel1] tunnel-protocol ipsec
[HUAWEI-Tunnel1] service-manage ping permit
[HUAWEI-Tunnel1] quit
[HUAWEI] firewall zone trust
[HUAWEI-zone-trust] add interface GigabitEthernet 1/0/1
[HUAWEI-zone-trust] quit
[HUAWEI] firewall zone untrust
[HUAWEI-zone-untrust] add interface GigabitEthernet 1/0/2
[HUAWEI-zone-untrust] add interface tunnel 1
[HUAWEI-zone-untrust] quit

• • 配置域间安全策略。

配置Trust域与Untrust域的安全策略，允许IPSec封装前和解封装后的原始报文能通过华为防火墙。

[HUAWEI] security-policy
[HUAWEI-policy-security] rule name 1
[HUAWEI-policy-security-rule-1] source-zone untrust
[HUAWEI-policy-security-rule-1] destination-zone trust
[HUAWEI-policy-security-rule-1] source-address 10.1.3.0 24
[HUAWEI-policy-security-rule-1] destination-address 10.1.1.0 24
[HUAWEI-policy-security-rule-1] action permit
[HUAWEI-policy-security-rule-1] quit
[HUAWEI-policy-security] rule name 2
[HUAWEI-policy-security-rule-2] source-zone trust
[HUAWEI-policy-security-rule-2] destination-zone untrust
[HUAWEI-policy-security-rule-2] source-address 10.1.1.0 24
[HUAWEI-policy-security-rule-2] destination-address 10.1.3.0 24
[HUAWEI-policy-security-rule-2] action permit
[HUAWEI-policy-security-rule-2] quit

配置Local域与Untrust域的安全策略，允许IKE协商报文能正常通过华为防火墙。

[HUAWEI-policy-security] rule name 3
[HUAWEI-policy-security-rule-3] source-zone local
[HUAWEI-policy-security-rule-3] destination-zone untrust
[HUAWEI-policy-security-rule-3] source-address 1.1.3.1 32
[HUAWEI-policy-security-rule-3] destination-address 1.1.5.1 32
[HUAWEI-policy-security-rule-3] action permit
[HUAWEI-policy-security-rule-3] quit
[HUAWEI-policy-security] rule name 4
[HUAWEI-policy-security-rule-4] source-zone untrust
[HUAWEI-policy-security-rule-4] destination-zone local
[HUAWEI-policy-security-rule-4] source-address 1.1.5.1 32
[HUAWEI-policy-security-rule-4] destination-address 1.1.3.1 32
[HUAWEI-policy-security-rule-4] action permit
[HUAWEI-policy-security-rule-4] quit

• • 配置IPSec策略。

配置访问控制列表，定义需要保护的数据流。

[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
[HUAWEI-acl-adv-3000] quit

配置IPSec安全提议。

[HUAWEI] ipsec proposal tran1
[HUAWEI-ipsec-proposal-tran1] transform esp
[HUAWEI-ipsec-proposal-tran1] encapsulation-mode tunnel
[HUAWEI-ipsec-proposal-tran1] esp authentication-algorithm sha1
[HUAWEI-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[HUAWEI-ipsec-proposal-tran1] quit

创建IKE安全提议。

[HUAWEI] ike proposal 1
[HUAWEI-ike-proposal-1] encryption-algorithm aes-128
[HUAWEI-ike-proposal-1] authentication-algorithm sha1
[HUAWEI-ike-proposal-1] dh group2
[HUAWEI-ike-proposal-1] quit

配置IKE对等体。

[HUAWEI] ike peer asa
[HUAWEI-ike-peer-asa] undo version 2
[HUAWEI-ike-peer-asa] exchange-mode main
[HUAWEI-ike-peer-asa] ike-proposal 1
[HUAWEI-ike-peer-asa] remote-address 1.1.5.1
[HUAWEI-ike-peer-asa] pre-shared-key Key123
[HUAWEI-ike-peer-asa] quit

配置IPSec策略。

[HUAWEI] ipsec policy map1 1 isakmp
[HUAWEI-ipsec-policy-isakmp-map1-1] security acl 3000
[HUAWEI-ipsec-policy-isakmp-map1-1] proposal tran1
[HUAWEI-ipsec-policy-isakmp-map1-1] ike-peer asa
[HUAWEI-ipsec-policy-isakmp-map1-1] quit

在Tunnel接口上应用IPSec策略。

[HUAWEI] interface Tunnel 1
[HUAWEI-Tunnel1] ipsec policy map1
[HUAWEI-Tunnel1] quit

• • 配置路由。

# 配置到分支内网的路由，并将流量引流到Tunnel接口。

[HUAWEI] ip route-static 10.1.3.0 24 tunnel 1

# 配置华为防火墙连接到Internet的缺省路由，假设下一跳为1.1.3.2。

[HUAWEI] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2

2. 配置Cisco防火墙。

• • 配置Cisco防火墙接口的IP地址。

ASA5520> en
ASA5520# configure terminal
ASA5520(config)# interface GigabitEthernet 0/1
ASA5520(config-if)# nameif in
ASA5520(config-if)# security-level 90
ASA5520(config-if)# ip address 10.1.3.1 255.255.255.0
ASA5520(config-if)# exit
ASA5520(config)# interface interface GigabitEthernet 0/2
ASA5520(config-if)# nameif out
ASA5520(config-if)# security-level 10
ASA5520(config-if)# ip address 1.1.5.1 255.255.255.0
ASA5520(config-if)# exit

• • 打开Cisco防火墙接口的访问控制。

ASA5520(config)# access-list 10 extended permit icmp any any
ASA5520(config)# access-group 10 in interface in
ASA5520(config)# access-group 10 out interface in
ASA5520(config)# access-group 10 in interface out
ASA5520(config)# access-group 10 out interface out

• • 配置Cisco防火墙到Internet的缺省路由，假设下一跳地址为1.1.5.2。

ASA5520(config)# route out 0.0.0.0 0.0.0.0 1.1.5.2 1

• • 配置IPSec。

配置ACL（访问控制列表），定义需要保护的数据流。

这里需要注意，Cisco防火墙的ACL用的是掩码，而华为防火墙用的是反掩码，两者存在不同。

ASA5520(config)# access-list ipsec permit ip 10.1.3.0 255.255.255.0 10.1.1.0 255.255.255.0

配置IPSec安全提议。

ASA5520(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac

创建IKE安全提议。

ASA5520(config-isakmp-policy)# crypto isakmp policy 10
ASA5520(config-isakmp-policy)# authentication pre-share
ASA5520(config-isakmp-policy)# encryption aes
ASA5520(config-isakmp-policy)# hash sha
ASA5520(config-isakmp-policy)# group 2
ASA5520(config-isakmp-policy)# lifetime 86400

配置预共享密钥。

ASA5520(config)# crypto isakmp key Key123 address 1.1.3.1

配置IPSec策略。

在IPSec策略中引用前面配置的ACL、IPSec安全提议。

ASA5520(config)# crypto map ipsec_map 10 match address ipsec
ASA5520(config)# crypto map ipsec_map 10 set peer 1.1.3.1
ASA5520(config)# crypto map ipsec_map 10 set transform-set myset

在接口上应用IPSec策略。

ASA5520(config)# crypto map ipsec_map interface out

在接口上启用IPSec策略。

ASA5520(config)# crypto isakmp enable out

结果验证

1. 配置完成后，使用分支下的用户Ping总部下的用户。
2. 正常情况下，分支访问总部的数据流将会触发华为防火墙与Cisco防火墙之间建立IPSec隧道。此时在华为防火墙上查看IKE SA的建立情况，可以看到IKE SA已经建立成功。

display ike sa
--------------------------------------------------------------------------------------------------
conn-id peer flag phase vpn
--------------------------------------------------------------------------------------------------
54 1.1.5.1 RD|ST|A v1:2 public
53 1.1.5.1 RD|ST|A v1:1 public

flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY
A--ALONE

3. 使用display ipsec sa命令查看IPSec的建立情况，可以看到IPSec SA也已建立成功。

display ipsec sa
===============================
Interface: Tunnel1
path MTU: 1500
===============================

-----------------------------
IPSec policy name: "map1"
sequence number: 1
mode: isakmp
vpn: public
-----------------------------
connection id: 54
rule number: 5
encapsulation mode: tunnel
holding time: 0d 0h 27m 23s
tunnel local : 1.1.3.1 tunnel remote: 1.1.5.1
flow source: 10.1.1.0/255.255.255.0 0/0
flow destination: 10.1.3.0/255.255.255.0 0/0

[inbound ESP SAs]
spi: 4231227848 (0xfc3369c8)
vpn: public said: 8 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
sa remaining key duration (kilobytes/sec): 4608000/1957
max received sequence-number: 3
udp encapsulation used for nat traversal: N

[outbound ESP SAs]
spi: 2527152779 (0x96a14a8b)
vpn: public said: 9 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
sa remaining key duration (kilobytes/sec): 4608000/1957
max sent sequence-number: 4
udp encapsulation used for nat traversal: N

配置文件

#
sysname HUAWEI
#
interface GigabitEthernet 1/0/1
undo shutdown
ip address 10.1.1.1 24
ip service-manage ping permit
#
interface GigabitEthernet 1/0/2
undo shutdown
ip address 1.1.3.1 24
service-manage ping permit
#
interface tunnel 1
ip address unnumbered interface GigabitEthernet1/0/2
tunnel-protocol ipsec
service-manage ping permit
ipsec policy map1
#
firewall zone trust
add interface GigabitEthernet 1/0/1
#
firewall zone untrust
add interface GigabitEthernet 1/0/2
add interface tunnel 1
#
security-policy
rule name 1
source-zone untrust
destination-zone trust
source-address 10.1.3.0 24
destination-address 10.1.1.0 24
action permit
rule name 2
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
destination-address 10.1.3.0 24
action permit
rule name 3
source-zone local
destination-zone untrust
source-address 1.1.3.1 32
destination-address 1.1.5.1 32
action permit
rule name 4
source-zone untrust
destination-zone local
source-address 1.1.5.1 32
destination-address 1.1.3.1 32
action permit
#
acl 3000
rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
#
ipsec proposal tran1
transform esp
encapsulation-mode tunnel
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
#
ike proposal 1
encryption-algorithm aes-128
authentication-algorithm sha1
dh group2
#
ike peer asa
undo version 2
exchange-mode main
ike-proposal 1
remote-address 1.1.5.1
pre-shared-key Key123
#
ipsec policy map1 1 isakmp
security acl 3000
proposal tran1
ike-peer asa
#
ip route-static 10.1.3.0 24 tunnel 1
ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
#
return