「Huawei-VRP」- 配置 IPSec VPN 服务：IKE；隧道模式；

拓扑信息

1）这里仅演示 RTA 的配置，针对 RTB 设备，其与 RTA 相反；

第 1 步、网络可达

[RTA] ip route-static 10.1.2.0 24 20.1.1.2
...

第 2 步、选择兴趣流

[RTA] acl number 3001
[RTA-acl-adv-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.255

第 3 步、配置 IKE 信息

// 配置 IKE Proposal 信息

[RTA] ike proposal 10
[RTA] display ike proposal number 10
-------------------------------------------
 IKE Proposal: 10
   Authentication method      : pre-shared
   Authentication algorithm   : SHA2-256
   Encryption algorithm       : AES-CBC-256
   DH group                   : MODP-1024
   SA duration                : 86400
   PRF                        : PRF-HMAC-SHA2-256
-------------------------------------------

// 配置 IKE Peer 信息

[RTA] ike peer TO_RTB v1
[RTA-ike-peer-TO_RTB] remote-address 10.1.43.5
[RTA-ike-peer-TO_RTB] ike-proposal 10
[RTA-ike-peer-TO_RTB] pre-shared-key cipher Huawei123       # 用于 IKE 认证

在 IKE Peer 中，若使用 IKEv2 协商，仅需修改 ike peer TO_RTB v2 即可；

第 4 步、配置 IPSec 信息

// 配置 IPSec Proposal 信息

[RTA] ipsec proposal tran1
[RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RTA] display ipsec proposal

// 配置 IPSec Policy 信息

[RTA] ipsec policy P1 10 isakmp
[RTA-ipsec-policy-manual-P1-10] security acl 3001
[RTA-ipsec-policy-manual-P1-10] proposal tran1
[RTA-ipsec-policy-manual-P1-10] ike-peer TO_RTB             # 无需再进行 sa/tunnel 配置

第 5 步、应用安全策略

[RTA] interface GigabitEthernet 0/0/1
[RTA-GigabitEthernet0/0/1] ipsec policy P1
[RTA-GigabitEthernet0/0/1] quit

常见问题处理

开启 IPSec 调试及常用查看

[RTA] display ipsec sa
[RTA] display ike sa

// 开启调试功能

<user-view> debugging ipsec all
<user-view> terminal debug
<user-view> terminal monitor

// 重置 SA 以查看协商过程

[RTA] reset ike sa all
[RTA] reset ipsec sa

设备接口上同时配置 IPSec 与 NAT 时导致 IPSec 不生效如何解决

华为 / AR 路由器维护宝典 / 设备接口上同时配置 IPSec 与 NAT 时导致 IPSec 不生效如何解决

如果应用安全策略的接口同时配置 NAT，由于设备先执行 NAT，会导致 IPSec 不生效，有以下两种解决方法：

1）NAT 引用的 ACL 规则 deny DST-IP-ADDR 是 IPSec 引用的 ACL 规则中的目的 IP 地址，避免把 IPSec 保护的数据流进行 NAT 转换；

2）IPSec 引用的 ACL 规则需要匹配经过 NAT 转换后的 IP 地址；

在 NAT 中，当配置 deny 规则后，建议先执行命令 reset session all 或 reset nat session all，让流表重新建立，避免错误 NAT 表项残留；

华为，防火墙，会话表，未显示匹配策略的出向流量

在华为防火墙中，查 Session 表，可能不会显示匹配 IPSec 安全策略的出向流量，这是正常现象；

Filed under: K4NZDROID - @ 2:48 PM

NOTE

/ 记录问题 / 解决问题 / 技术博客 / 工作笔记 /

Table of Contents

Categories

Recent Posts

Archives

「Huawei-VRP」- 配置 IPSec VPN 服务：IKE；隧道模式；

拓扑信息

第 1 步、网络可达

第 2 步、选择兴趣流

第 3 步、配置 IKE 信息

第 4 步、配置 IPSec 信息

第 5 步、应用安全策略

常见问题处理

开启 IPSec 调试及常用查看

设备接口上同时配置 IPSec 与 NAT 时导致 IPSec 不生效如何解决

华为，防火墙，会话表，未显示匹配策略的出向流量

#ezw_tco-9 .ez-toc-title{ font-size: 120%; font-weight: 500; color: #000; } #ezw_tco-9 .ez-toc-widget-container ul.ez-toc-list li a{ font-size: 120%; font-weight: 500; color: #000; } #ezw_tco-9 .ez-toc-widget-container ul.ez-toc-list li.active{ background-color: #ededed; } Table of Contents

Categories

Recent Posts

Archives

拓扑信息

第 1 步、网络可达

第 2 步、选择兴趣流

第 3 步、配置 IKE 信息

第 4 步、配置 IPSec 信息

第 5 步、应用安全策略

常见问题处理

开启 IPSec 调试及常用查看

设备接口上同时配置 IPSec 与 NAT 时导致 IPSec 不生效如何解决

华为，防火墙，会话表，未显示匹配策略的出向流量

Table of Contents