華爲IPSEC-×××-典型配置舉例1-採用手工方式建立IPsec 安全隧道

 華爲IPSEC-×××-典型配置舉例1-採用手工方式建立IPsec 安全隧道

一：企業組網需求：

1，        某公司（總部在北京）有兩個子公司分別在上海和廣州，要求通過×××實現公司之間相互通信！

2，        實驗環境如下：要求192.168.1.0/24網段的員工分別與192.168.2.0/24，192.168.3.0/24的員工通信!（中間的爲公網）

3，        本實驗要求採用手工方式建立IPsec 安全隧道

二：企業組網簡化實驗拓撲圖：

 

三：企業組網實現步驟：

（1），基礎配置實現公網互通：

①：配置fw-1:

firewall zone trust

add interface Ethernet 0/2

quit

firewall zone untrust

add interface Ethernet 0/1

quit

interface Ethernet0/2

ip address 192.168.1.1 255.255.255.0

interface Ethernet0/1

ip address 1.1.1.1 255.255.255.0

quit

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 preference 60

②：配置fw-2:

firewall zone trust

add interface Ethernet 0/2

quit

firewall zone untrust

add interface Ethernet 0/1

quit

interface Ethernet0/2

ip address 192.168.2.1 255.255.255.0

interface Ethernet0/1

ip address 2.1.1.1 255.255.255.0

quit

ip route-static 0.0.0.0 0.0.0.0 2.1.1.2 preference 60

③：配置fw-3:

firewall zone trust

add interface Ethernet 0/2

quit

firewall zone untrust

add interface Ethernet 0/1

quit

interface Ethernet0/2

ip address 192.168.3.1 255.255.255.0

quit

interface Ethernet0/1

ip address 3.1.1.1 255.255.255.0

quit

ip route-static 0.0.0.0 0.0.0.0 3.1.1.2 preference 60

④：配置sw中間交換機:

vlan 3

vlan 7       

vlan 10

quit

interface Vlan-interface3                        

 ip address 2.1.1.2 255.255.255.0                                

quit

interface Vlan-interface7                        

 ip address 3.1.1.2 255.255.255.0                                

quit

interface Vlan-interface10                         

 ip address 1.1.1.2 255.255.255.0                                

#

interface Ethernet0/1                    

 port access vlan 10                                  

#

interface Ethernet0/3                    

 port access vlan 3                  

#

interface Ethernet0/7                    

 port access vlan 7 

（2），配置fw-1：

#定義ACL實現對數據流的過濾。

acl number 3000

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 20 deny ip source any destination any

quit

acl number 3001

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

rule 20 deny ip source any destination any

quit

#定義安全提議zhu-1。

ipsec proposal zhu-1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

#定義安全提議zhu-2。

ipsec proposal zhu-2

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

display ipsec proposal

quit

#定義安全策略policy1的10號策略。

ipsec policy policy1 10 manual

sec acl 3000

proposal zhu-1

tunnel local 1.1.1.1

tunnel remote 2.1.1.1

sa spi outbound esp 12345

sa spi inbound esp 54321

sa string-key outbound esp zzu

sa string-key inbound esp zzdx

quit

#定義安全策略policy1的20號策略。

ipsec policy policy1 20 manual

sec acl 3001

proposal zhu-2

tunnel local 1.1.1.1

tunnel remote 3.1.1.1

sa spi outbound esp 123456

sa spi inbound esp 654321

sa string-key outbound esp abcbef

sa string-key inbound esp qazwsx

quit

#在接口e/1應用安全策略policy1。

interface Ethernet0/1

ipsec policy policy1

quit

#查看ipsec的安全聯盟，安全策略，安全提議。

dis ipsec sa

dis ipsec policy

display ipsec proposal

（3），配置fw-2：

#定義ACL實現對數據流的過濾。

acl number 3000

rule 10 permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255

rule 20 deny ip source any dest any

quit

#定義安全提議zhu。

ipsec propo zhu

enca tunnel

trans esp

es auth md5

esp enc des

quit

#定義安全策略policy2策略。

ipsec policy policy2 10 manual

sec acl 3000

propo zhu

tun lo 2.1.1.1

tun remo 1.1.1.1

sa spi inbo esp 12345

sa spi outbo esp 54321

sa string inbo esp zzu

sa str outbo esp zzdx

quit

#在接口e/1應用安全策略policy2。

inter Ethernet0/1

ipsec poli policy2

quit

#查看ipsec的安全聯盟，安全策略，安全提議。

dis ipsec sa

dis ipsec policy

display ipsec proposal

（4），配置fw-3：

#定義ACL實現對數據流的過濾。

acl number 3000

rule 10 permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255

rule 20 deny ip source any dest any

quit

#定義安全提議zhu-11。

ipsec propo zhu-11

enca tunnel

trans esp

es auth md5

esp enc des

quit

#定義安全策略policy3策略。

ipsec policy policy3 20 manual

sec acl 3001

propo zhu-11

tun lo 3.1.1.1

tun remo 1.1.1.1

sa spi inbo esp 123456

sa spi outbo esp 654321

sa string inbo esp abcbef

sa str outbo esp qazwsx

quit

#在接口e/1應用安全策略policy3。

inter Ethernet0/1

ipsec poli policy3

quit

#查看ipsec的安全聯盟，安全策略，安全提議。

dis ipsec sa

dis ipsec policy

display ipsec proposal

（5），客戶端測試通信情況：

192.168.1.100客戶端ping測試192.168.2.100，應用以後ipsec以後可以通信。

 

192.168.2.100客戶端ping測試192.168.1.100，應用以後ipsec以後可以通信。

 192.168.1.100客戶端ping測試192.168.3.100，應用以後ipsec以後可以通信。

 192.168.3.100客戶端ping測試192.168.1.100，應用以後ipsec以後可以通信。

 

附錄信息如下：

查看fw-1,fw-2.fw-3的ipsec信息和當前配置：

請下載附件！！！！！