「Huawei VRP」- IPSec VPN

概述流程

配置 IPSec VPN 的步骤如下：

第一步、设备网络可达

解释：IPSec VPN 利用公网来构建私网，所以首先两端的公网必须是互通的；

需要检查报文发送方和接收方间的网络层可达性，确保双方只有建立 IPSec VPN 隧道才能进行 IPSec 通信；

第二步、识别感兴趣流（ACL）

解释：定义数据流，即选择需要进行 IPSec VPN 加密（传输）的流量；

因为部分流量无需满足完整性和机密性要求，所以需要对流量进行过滤，选择出需要进行 IPSec 处理的兴趣流；

通过配置 ACL 来定义和区分不同的数据流；

第三步、创建安全提议（Proposal）

配置 IPSec 安全提议。IPSec 提议定义用于保护数据流所用的安全协议、认证算法、加密算法、封装模式；
对等体的安全提议参数必须一致。为了能够正常传输数据流，安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式；

安全协议包括 AH 和 ESP，两者可以单独使用或一起使用；

AH 支持 MD5 和 SHA-1 认证算法，不支持加密；
ESP 支持两种认证算法（MD5 和 SHA-1）和三种加密算法（DES、3DES 和 AES）；

如果要在两个安全网关之间建立 IPSec 隧道，建议将 IPSec 封装模式设置为隧道模式，以便隐藏通信使用的实际源 IP 地址和目的 IP 地址；

第四步、创建安全策略

1）安全策略将要保护的数据流与安全提议进行绑定；

配置 IPSec 安全策略。IPSec 策略中会应用 IPSec 提议中定义的安全协议、认证算法、加密算法和封装模式。每一个 IPSec 安全策略都使用唯一的名称和序号来标识。IPSec 策略可分成两类：手工建立 SA 的策略；IKE 协商建立 SA 的策略；

第五步、应用安全策略

在接口上应用 IPSec 安全策略；

隧道模式，手工配置（Manual）

下面为配置 IPSec VPN 的流程（采用完全手工配置方法）：

第 1 步、网络可达

[RTA] ip route-static 0.0.0.0 0.0.0.0 10.1.34.2
...

第 2 步、选择兴趣流

[RTA] acl number 3001
[RTA-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

第 3 步、创建安全提议（Proposal）

// 包括：封装模式、传输模式（AH/ESP）、加密算法

[RTA] ipsec proposal tran1
[RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RTA] display ipsec proposal
Number of proposals: 1

IPSec proposal name: tran1
 Encapsulation mode: Tunnel
 Transform         : esp-new
 ESP protocol      : Authentication SHA1-HMAC-96
                     Encryption     DES

第 4 步、配置安全策略（Policy）

// 使用兴趣流、安全提议、SA 信息

[RTA] ipsec policy P1 10 manual
[RTA-ipsec-policy-manual-P1-10] security acl 3001
[RTA-ipsec-policy-manual-P1-10] proposal tran1

[RTA-ipsec-policy-manual-P1-10] tunnel remote 20.1.1.2
[RTA-ipsec-policy-manual-P1-10] tunnel local  20.1.1.1

[RTA-ipsec-policy-manual-P1-10] sa spi outbound esp 54321
[RTA-ipsec-policy-manual-P1-10] sa spi inbound  esp 12345
[RTA-ipsec-policy-manual-P1-10] sa string-key outbound esp simple huaweiOb
[RTA-ipsec-policy-manual-P1-10] sa string-key inbound  esp simple huaweiIb

第 5 步、应用安全策略

[RTA] interface GigabitEthernet 0/0/1
[RTA-GigabitEthernet0/0/1] ipsec policy P1

注意事项

1）这里仅演示 RTA 的配置；
2）对于 RTB 配置，是类似的，但需要“反向”修改 inbound 和 outbound 等参数

Filed under: K4NZDROID - @ 2:48 PM

NOTE

/ 记录问题 / 解决问题 / 技术博客 / 工作笔记 /

Table of Contents

Categories

Recent Posts

Archives

「Huawei VRP」- IPSec VPN

概述流程

第一步、设备网络可达

第二步、识别感兴趣流（ACL）

第三步、创建安全提议（Proposal）

第四步、创建安全策略

第五步、应用安全策略

隧道模式，手工配置（Manual）

第 1 步、网络可达

第 2 步、选择兴趣流

第 3 步、创建安全提议（Proposal）

第 4 步、配置安全策略（Policy）

第 5 步、应用安全策略

注意事项

#ezw_tco-9 .ez-toc-title{ font-size: 120%; font-weight: 500; color: #000; } #ezw_tco-9 .ez-toc-widget-container ul.ez-toc-list li a{ font-size: 120%; font-weight: 500; color: #000; } #ezw_tco-9 .ez-toc-widget-container ul.ez-toc-list li.active{ background-color: #ededed; } Table of Contents

Categories

Recent Posts

Archives

概述流程

第一步、设备网络可达

第二步、识别感兴趣流（ACL）

第三步、创建安全提议（Proposal）

第四步、创建安全策略

第五步、应用安全策略

隧道模式，手工配置（Manual）

第 1 步、网络可达

第 2 步、选择兴趣流

第 3 步、创建安全提议（Proposal）

第 4 步、配置安全策略（Policy）

第 5 步、应用安全策略

注意事项

Table of Contents