未来往事一、设备信息
总部节点路由器出口链路配置固定公网IP地址,分支节点防火墙在内网配置私网IP地址,穿越NAT建立VPN连接,总部节点与分支节点的内网。
总部节点:
设备型号:ER3200G3
软件版本:Release 0126
业务地址段:192.168.55.0/24
分支节点:
设备型号:F100-E-G2
软件版本:version: 7.1.064, Release 9360P27
业务地址段:192.168.2.0/24
配置设备前提如果网络中存在防火墙,需要先放行ipsec的流量,UDP500与UDP4500端口;
二、设备配置
1、总部ER3200G3路由器配置
2、分支F100-E-G2防火墙配置
防火墙命令行配置
ipsec logging negotiation enable
#
ipsec transform-set xmcl_IPv4_1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
#
ipsec policy xmcl 1 isakmp
transform-set xmcl_IPv4_1
security acl name IPsec_xmcl_IPv4_1
remote-address 182.45.191.219
ike-profile xmcl_IPv4_1
sa trigger-mode auto
#
ike logging negotiation enable
#
ike profile xmcl_IPv4_1
keychain xmcl_IPv4_1
dpd interval 10 retry 30 on-demand
local-identity address 192.168.2.1
match remote identity address 182.45.191.218 255.255.255.255
match local address GigabitEthernet1/0/15
proposal 1
#
ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm md5
#
ike keychain xmcl_IPv4_1
match local address GigabitEthernet1/0/15
pre-shared-key address 182.45.111.111 255.255.255.255 key cipher $c$3$xuYszEUda7tQxxxx9QP1z8bvxdAlSRgazsC18g==
#
三、IPsec相关参数解释
| 名称 | 功能描述 |
|---|---|
| 接口 | 报文的来源接口,即规则对从某一接口收到的数据包进行控制。配置该参数时,此接口需要与对端设备路由可达。 |
| 组网方式 | IPsec VPN网络的组建方式,主要分为: · 分支节点:设备作为分支节点,与中心节点建立IPsec隧道。 · 中心节点:设备作为中心节点,与分支节点建立IPsec隧道。 |
| 认证方式 | IPsec隧道的认证方式。此参数目前仅支持预共享密钥。 |
| 预共享密钥 | IPsec隧道的认证密码。配置该参数时,需输入与对端设备相同的预共享密钥,该密钥需要提前进行协商和通告。 |
| IKE版本 | Internet密钥交换协议的版本,主要分为: · 若对端节点使用的IKE版本为V1,则本端选择“V1”。 · 若对端节点使用的IKE版本为V2,则本端选择“V2”。 |
| 协商模式 | 对等体的协商模式。主要分为: · 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。 · 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。 若设备公网IP地址是动态分配的,建议选择IKE协商模式为野蛮模式。 |
| 本端身份类型 | IKE认证的本端设备身份类型和身份标识。主要分为: · 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。缺省使用设备出接口IP地址。 · 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称。 · 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称。 |
| 对等体存活检测(DPD) | 是否开启对等体存活检测(DPD)功能,若开启该功能,设备将检测隧道对端是否存活,拆除对端失活的IPsec隧道。配置该参数时,需配置: · 探测时间:每隔一个探测时间,设备将进行一次存活检测。单位为秒。 · 超时时间:超过该时间阈值,设备检测不到对端,则认定对端失活。单位为秒。 |
| 算法组合(IKE) | IKE协议交互所需的加密和认证算法,设置方式有两种: · 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IKE的算法,选项包括: ¡ 认证算法:IKE的认证算法。IPsec隧道的两端所配置的认证算法需保持一致。 ¡ 加密方式:IKE的加密算法。IPsec隧道的两端所配置的加密算法需保持一致。 · PFS:指一个密钥被破解,并不影响其他密钥的安全特性。IPsec隧道的两端所配置的PFS算法需保持一致。 |
| SA生存时间 | IKE重新协商的时间间隔,即超过该时间间隔将触发IKE相关参数的重新协商 |
| 算法组合(IPSEC配置) | IPsec隧道的加密和认证算法,设置方式有两种: · 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IKE的算法,主要分为: 安全协议:对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。IPsec隧道的两端所配置的安全协议需保持一致。 ESP认证算法:ESP的认证算法。IPsec隧道的两端所配置的ESP认证算法需保持一致。 ESP加密算法:ESP的加密算法。IPsec隧道的两端所配置的ESP加密算法需保持一致。 |
| 封装模式 | IPsec隧道的封装模式,主要分为: · 传输模式:适用于主机与主机之间建立隧道。 · 隧道模式:适用于网关和网关之间 建立隧道。 若IPsec本端受保护网段与对端受保护网段均为私网网段,建议选择封装模式为隧道模式。IPsec隧道的两端所配置的封装模式必须一致。 |
| PFS | IPsec隧道的PFS算法。如果本端配置了PFS特性,则发起协商的对端也必须配置PFS特性,而且本端和对端指定的DH组必须一致,否则协商会失败 |
| 基于时间的SA生存时间 | 触发IPsec重新协商的时间间隔,即超过所配时间将触发IPsec相关参数的重新协商。 |
| 基于流量的生存时间 | 触发IPsec重新协商的流量大小,即超过所配流量将触发IPsec相关参数的重新协商。 |
| 触发模式 | 触发IPsec重新协商的模式,主要分为: · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立。 · 长连触发:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发。 |
四、FAQ
1、Q:IPsec协商产提示第一阶段 SA无法建立,Reason: No available proposal.%Apr 3 16:55:50:962 2023 H3C IKE/6/IKE_1_SA_ESTABLISH-FAIL: -Context=1: Failed to establish ohase 1 SA in Aggressiv mode IKE_P1_STATE INIT stateReason: No available proposal.|A:检查本端身份认证类型IP是否为接入IP地址;
