cjh IPSecVPN 2022-03-17 此文章访问量 2493

华为防火墙：两个网关之间通过IKE方式协商IPSec VPN隧道（采用预共享密钥认证）

FW_A_2022.01.11.21时13分55秒.txt

sw1_2022.01.11.21时15分14秒.txt

sw2_2022.01.11.21时15分29秒.txt

FW_B_2022.01.11.21时14分18秒.txt

router_2022.01.11.21时14分52秒.txt

（1）

（2）拓扑图

图片.png

说明：
local和untrust的域间策略用于控制IKE协商报文通过FW，该域间策略可以使用源地址和目的地址作为匹配条件，也可以在此基础上使用协议、端口作为匹配条件。本例中是以源地址和目的地址为例介绍，如果需要使用协议、端口作为匹配条件，则需要放开ESP服务和UDP 500端口（NAT穿越场景中还需要放开4500端口）。
（3）接口配置
略。
（4）安全策略
略。
两台防火墙配置：
security-policy
rule name permitany
action permit
（5）配置到达目的的静态路由，把流量导向应用ipsec策略的接口
#FW_A
ip route-static 0.0.0.0 0.0.0.0 202.0.0.2
ip route-static 202.1.1.0 255.255.255.0 202.0.0.2
#FW_B
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
ip route-static 202.0.0.0 255.255.255.0 202.1.1.2
（6）定义被保护的数据流。配置高级ACL 3000。
#FW_A
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#FW_B
acl number 3000
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
（7）两台防火墙都配置IPSec安全提议，两台防火墙的配置都一样。缺省参数可不配置。
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
（8）配置IKE安全提议，两台防火墙的配置都一样。
ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
（9）配置IKE peer
#FW_A
ike peer b
pre-shared-key xxxx
ike-proposal 10
remote-address 202.1.1.1
#FW_B
ike peer b
pre-shared-key xxxx
ike-proposal 10
remote-address 202.0.0.1
（9）配置IPSec策略，双边配置一样，都最是调用acl3000
ipsec policy map1 10 isakmp
    security acl 3000
    ike-peer b
    proposal tran1
    tunnel local applied-interface
    sa trigger-mode auto
（10）应用到接口，双边配置一样，都最是应用到g1/0/0接口
interface GigabitEthernet1/0/0
ipsec policy map1