《基于防火墙的IPSecVPN隧道配置操作手册.docx》由会员分享,可在线阅读,更多相关《基于防火墙的IPSecVPN隧道配置操作手册.docx(9页珍藏版)》请在第壹文秘上搜索。
1、基于防火墙的IPSecVPN隧道配置操作手册跨地区联网办公最经济实惠的方式,莫过于ipsecvpn,只用10张图片,就能展示华为防火墙配通外网,并且配通总部与分支机构的ipsecvpn0总部与分支机构的网关设备相同,都是华为防火墙,型号为USG6330,缺点是安全授权都过期了,有待续费;密码忘记了,原配置也没有了,所以启动时直接按Ctrl+B,恢复出厂设置。说好了,10张图片,把防火墙配置上网,并且配通ipsecvpn,下面正式开始:第一图:配置接口IP;HuaweiUSG63301.TE4Gvxlan11DNS瑜OHCPNl劳BO0路由0列表i*8KW安畲PIMtG(GoMGMT)tuMA1
2、921682001UsSpuMc)10211UntUBK困pe)19216802唯日自气盘里1MtSffSttHWI蜿G0/0/0是管理接口,默认为192.是8.0.1,因为与G1/0/1网段相同,所以必须修改;G1/0/0是内网接口,配置IP为10.2.2.1/24;G1/0/1是外网接口,配置IP为192.168.0.2/24,实际应该填写运营商给的IP地址,此处因为我有上层路由,所以填写的是上层路由给的1P;第二图:在内网接口上配置DHCP服务;Huawci-jQG*nnIS自7昌要MUMMVlVOvV*QV用板SKW8DHCPit务列赛Iii1.TE4GG接口对安全区慢DvxlanD三
3、dnsu0HCPna缶按:q抬出11tfSec*1.2TPj1.2TPoverIPSecQUGRE:jDSVPN:IJSSIVPN:VTSMRi/)GEvWoKMiItaDHCPHftSWKPjM三fl列硼乌SUR(?)DNS崎送DNgM(务着ftAjNSK3*届侬租期话W)NSflR务JJ膏用WlNSaj辐WP102121021254255.255.255010.2.11指定IU114114114102.12-102120每行可&入一个地址段或单个。(本总制W行之同正常来说,DHCP般是配置在交换机上,但是客户环境里面只有傻瓜交换机,所以只能在防火墙上配置DHCP了,注意保留IP,是预留给服
4、务器、打印机以及硬盘录像机等需要固定IP的设备了;第三图:配置静态路由,此处也称为默认路由;HuaweiUSGe330G臼自#品宴MtIMMRmMtt凛口81.T三4Gr.wMEM宇vxw生OHSCm0HCPa”号M轨匚G修由.V11Ma。目出21Ae量或队优先像UMU8M1.2S5T-OCMIPUMicm168.018目的地址:0.0.0.0/0即指互联网任意IP,下一跳此处为光猫IP地址;不写这条路由,是不能上网的;第四图:配置安全策略,放通trust(内网)到UntrUSt(外网)的访问,不写这条安全策略,是不能上网的;这就是防火墙和路由器的区别之处;第五图:配置源NAT,就是地址转换,
5、不写这条,同样不能上网,哈哈,是不是觉得挺麻烦的;经过以上配置,电脑已经可以上网了,紧接着开始配置ipsecvpn,以便使总部和分支机构的网络能互通。USt(1.TE4G口接口对安全区1BSvxlan胃DNSJ国DHCP慝务着Q髓IpSeC/PSec击控1131.2TPFt1.2TPoverIPSec3GREQJDSVPNgjSS1.VPNUVT外哦幼第六图:配置ipsec策略,场景:因为是总部,所以选择点到多点,如果是分支机构,那就选择点到点;对端接入类型:分支网关,1.2TP是指笔记本电脑或者手机远程拨入;基本配置里面,名称随便写,无所谓;本端接口当然是外网接口,本端地址是外网,实际应该填
6、写运营商给的IP地址,此处因为我有上层路由,所以填写的是上层路由给的IP;下面的“本端ID”也是同样情况;Huawei-USGe330IS自B-黑要MUAWtt按mi系校修改IPSeC第啕C后蛭融管点适用的1为缶关一M为g泗关的Ii品OQis用于1.2TPOVMIPSeuIKEVI或2W户委拨号接入的情况.,分支网关J1.2TPowlPseClS户3T?1atSpubiV2稣本醋S修名称UpaocGE1W1B;E19216802IvllJ5WSt认5式三三WRS名却顺多击铜8;共取在阴BDIPttJtt19216802go峭fS1对博QV对可以Jl分支同关.PC.IPhoneAPad.安堂设或
7、无线小神站1.2TPUiiEflBCPAPViCHAP助ibvpn-poolV分翻第1酝:1.2TPoveriPSeceTaEH.SWSS1.2TPdefauNnslHsgitS.XtES芟策Ie以免圮冲突.5三S1.2TPorlPSec三.应分别任1.2TPiOPSec展运行配量.拨号用户配置,即笔记本电脑或者手机远程拨入的相关配置,主要是确定了1.2TP的认证模式,以及IP地址池;第七图:配置加密数据流:第一行是定义总部内网到分支机构内网的加密数据流;第二行是定义总部内网到远程拨入用户的加密数据流;第三行是1.2TP拨入UDP协议的加密数据流;4待加卷的数据没今涯m(S岫刷颖昭要宣询的内答
8、氢查询但清除直闻源地址,坳I1.m目的地址,地坡空防议源端口目的城口动作蝴10.21.0/255.255219216818,0/255.1anyanyany加密10.2.1.0/255.255.2172161.O255.25fanyanyany三stQanyanyUDP1701any加密0共3条第八图:配置ipsec相关的安全参数,两端必须相同,笔记本电脑或者手机也必须配置相同参数,因为某些设备可能不支持过高的DH组,所以此处也勾选T5,如果没有阵旧的设备接入,则不建议勾选DH5;5安全提议接受对端提议高级IKEXi(?)IKE版本VlVv2使用2发起和接受协商.加密算法(?)AES-256A
9、ES-192AES-1283DESDES完整性算法SHA2-512SHA2-384SHA2-256SHA1JMD5AESPRFWSHA2-512SHA2-384SHA2-256SHA1JMD5AES-128DH组212019囹16J151.14i51121S.遛时时间86400秒IPSeC叁数,封装模式自动传输模式隧道模式WESPOAHAH-ESPESPD(三g法Q)GCM256GCM192GCM128GMAC256GMAC192AES-128GMAC128AES-256AES-192:3DESDESESP认SHA2-512MD5SHA2-384SHA2-256SHA1PFSNONEO21O2
10、0OI9SA超时162Q15O14O5C)1三T时间360030-604800秒5242880KBDPD(对瑞状态检测)?第九图:配置安全策略:1、放行总部到分支的通讯;2、放行分支到总部的通讯;3、放行UntrUSt到IoCal的通讯,由于分支机构没有固定的IP,所以此处不能限定IP地址;4放行IOCal到untrust的通讯;注意:IoCaI是指防火墙本身;HtMWCiUSG6330Ii自;品篁KKF?MMMBM=2门1J1Mgmt询DIMnHiCS*8MinV11H%WM而91taWMMBTt手:3CRNUABx-flN*M*ETw曰”MmI余_mvK.awaw.Wg*tsctf.e91
11、*Huaweimuaw.USG6330Q国安全策给山安全应融冗余分析咐NATKKI三NAT.蹒9除谢意与分若负肘搭j好和5道理医s三m晤tt三fl。安全防护路ASPnK置第十图:这是个关键点,很多人没做这步操作,所以哪怕是两端的防火墙已经成功地建立了ipsecvpn,两端的内网还是无法通讯的。Ii四旨#盘要BMi盆投第ad对,网络系统#MATNAT地址边源NAT第幅列袤修改至NATSRW?牍介坳播注标签请迭修或N入库及NATAflNKrNATM漉安全区域trust7二;MftfiBEtt出1口untrustV,时觎?any*KlftmIWlt(?)10.2.1.(M255.255.255.0目
12、曜址19216818W255.255255ZZZZZ届务G)anyWf转换方式不做N7转帙V确定取消这条源NAT策略的意思是,从总部内网访问分支的内网,不做地址转换,如果没有这个配置,那么默认为转换,那数据流量就走到公网出去了,而不会从ipsec隧道走,那当然不会有回包了,所以两端无法互访。分支机构的防火墙配置方法基本相同,就不再赘述了,配置完成后,两端内网电脑互Ping测试就可以了。C:Windowssystem32cmd.exe-ping192.168.18.58-tnmTnmmR11r11m1.11-4m11-4T11(5=(5Ibf=s=MTr1.192.168.18.58K0192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回1
