ネットワーク要件:
示されるように、ネットワークAとネットワークBは、それぞれ、USG5300 A及びBはUSG5300介してインターネットに接続されています。次のようにネットワークが記載されている
ネットワーク10.1.1.0/24サブネットAが属する、ギガビットイーサネット0/0/0を介しUSG5300 Aに接続されたインターフェイスを。
Bは、ネットワーク10.1.3.0/24サブネットに属し、ギガビットイーサネット0/0/0 USG5300 B.インタフェースを介して接続されています。
USG5300 AとB USG5300到達可能。ネットワークAネットワークBは、pingを実行することができます
ネットワークトポロジ
ステップ:
図1に示すように、構成USG5300A
- IPアドレスを設定
[SRG]sysname USGA
[USGA]interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0]ip address 10.1.1.1 24
[USGA-GigabitEthernet0/0/0]quit
[USGA]interface GigabitEthernet 0/0/1
[USGA-GigabitEthernet0/0/1]ip address 192.13.2.1 24
[USGA-GigabitEthernet0/0/1]quit
- 適切なセキュリティゾーンにインターフェースを追加
[USGA]firewall zone trust
[USGA-zone-trust]add interface GigabitEthernet 0/0/0
[USGA-zone-trust]quit
[USGA]firewall zone untrust
[USGA-zone-untrust]add interface GigabitEthernet 0/0/1
[USGA-zone-untrust]quit
- インタードメイン設定パケットフィルタリングルール
[USGA]firewall packet-filter default permit interzone trust untrust
[USGA]firewall packet-filter default permit interzone untrust local
信頼は、ACLパケットフィルタリングルールによって定義することができるドメインおよびドメイン-ドメインのUntrustデフォルト・パケット・フィルタリング・ルールとの間に開くことができます。
ローカルドメイン間の構成オブジェクトとデフォルトパケットのUntrustドメインフィルタリングルールは、両端のIPSecトンネル通信装置を可能にするために、それがトンネルネゴシエーションをすることができるように。
- 支社へのスタティックルートを設定する、ネクストホップ192.13.2.2
[USGA]ip route-static 0.0.0.0 0.0.0.0 192.13.2.2
- 保護されるべきデータ・ストリームの定義
[USGA-acl-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
相互運用性の分岐を達成するために、高度なACL(ソース)の送信元アドレスは、各分岐の正確なセグメントとして定義され、本社と分岐先アドレス(宛先)のすべてのセグメントを含むように定義されます。
- IPSecプロポーザルの名前を設定しTRAN1
[USGA]ipsec proposal tran1
[USGA-ipsec-proposal-tran1]encapsulation-mode tunnel
[USGA-ipsec-proposal-tran1]transform esp
[USGA-ipsec-proposal-tran1]esp authentication-algorithm md5
[USGA-ipsec-proposal-tran1]esp encryption-algorithm des
[USGA-ipsec-proposal-tran1]quit
ここで、ESPセキュリティプロトコルは、トンネルモードがデフォルトのカプセル化され、デフォルトで設定されていないことがあります。ESP MD5がデフォルトの認証アルゴリズム、ESPのデフォルトのためのDES暗号化アルゴリズムである、あなたが設定することはできません。
- IKEプロポーザルの設定シリアルナンバー10
[USGA]ike proposal 10
[USGA-ike-proposal-10]authentication-method pre-share
[USGA-ike-proposal-10]authentication-algorithm sha1
[USGA-ike-proposal-10]quit
事前共有鍵認証方式は、デフォルトの認証方法IKE、SHALは、デフォルトの認証アルゴリズムで構成されなくてもよいです。
- 配置IKE Peer
[USGA]ike peer b
[USGA-ike-peer-b]ike-proposal 10
[USGA-ike-peer-b]remote-address 131.108.5.2
[USGA-ike-peer-b]pre-shared-key abcde
[USGA-ike-peer-b]quit
USG5300は、ピアがIKEv2のをサポートしていない場合は、同時にIKEv1のとIKEv2の、デフォルトでのIKEv2ネゴシエーションの使用を開くのIKEv2、IKEv1のネゴシエーションの使用を無効にします。IKEピアビューでコマンドを実行し、バージョン{1 | 2 [取り消し] } 構成を。
トンネルピアのIPアドレスは、インターフェイスのIPアドレスでインターネットに接続されUSG5300 Bです。
コンフィギュレーションは、ピアデバイスで同じ認証キーが必要です
- IPSecポリシーグループMAP1の設定
[USGA]ipsec policy map1 10 isakmp
[USGA-ipsec-policy-isakmp-map1-10]security acl 3000
[USGA-ipsec-policy-isakmp-map1-10]proposal tran1
[USGA-ipsec-policy-isakmp-map1-10]ike-peer b
[USGA-ipsec-policy-isakmp-map1-10]quit
インタフェースG0で/セキュリティポリシーの適用上の0/1はMAP1を設定します
[USGA]interface GigabitEthernet 0/0/1
[USGA-GigabitEthernet0/0/1]ipsec policy map1
[USGA-GigabitEthernet0/0/1]quit
図2に示すように、構成USG5300B
- IPアドレスを設定
[SRG]sysname USGB
[USGB]interface GigabitEthernet 0/0/0
[USGB-GigabitEthernet0/0/0]ip address 10.1.3.1 24
[USGB-GigabitEthernet0/0/0]quit
[USGB]interface GigabitEthernet 0/0/1
[USGB-GigabitEthernet0/0/1]ip address 131.108.5.2 24
[USGB-GigabitEthernet0/0/1]quit
- 適切なセキュリティゾーンにインターフェースを追加
[USGB]firewall zone trust
[USGB-zone-trust]add interface GigabitEthernet 0/0/0
[USGB-zone-trust]quit
[USGB]firewall zone untrust
[USGB-zone-untrust]add interface GigabitEthernet 0/0/1
[USGB-zone-untrust]quit
- インタードメイン設定パケットフィルタリングルール
[USGB]firewall packet-filter default permit interzone trust untrust
[USGB]firewall packet-filter default permit interzone untrust local
- 支社へのスタティックルートを設定する、ネクストホップ131.108.5.1
[USGB]ip route-static 0.0.0.0 0.0.0.0 131.108.5.1
- 保護されるべきデータ・ストリームの定義
[USGB-acl-adv-3000]rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
- IPSecプロポーザルの名前を設定しTRAN1
[USGB]ipsec proposal tran1
[USGB-ipsec-proposal-tran1]encapsulation-mode tunnel
[USGB-ipsec-proposal-tran1]transform esp
[USGB-ipsec-proposal-tran1]esp authentication-algorithm md5
[USGB-ipsec-proposal-tran1]esp encryption-algorithm des
[USGB-ipsec-proposal-tran1]quit
- IKEプロポーザルの設定シリアルナンバー10
[USGB]ike proposal 10
[USGB-ike-proposal-10]authentication-method pre-share
[USGB-ike-proposal-10]authentication-algorithm sha1
[USGB-ike-proposal-10]quit
- 配置IKE Peer
[USGB]ike peer a
[USGB-ike-peer-a]ike-proposal 10
[USGB-ike-peer-a]remote-address 192.13.2.1
[USGB-ike-peer-a]pre-shared-key abcde
[USGB-ike-peer-a]quit
- IPSecポリシーグループMAP1の設定
[USGB]ipsec policy map1 10 isakmp
[USGB-ipsec-policy-isakmp-map1-10]security acl 3000
[USGB-ipsec-policy-isakmp-map1-10]proposal tran1
[USGB-ipsec-policy-isakmp-map1-10]ike-peer a
[USGB-ipsec-policy-isakmp-map1-10]quit
- インタフェースG0で/セキュリティポリシーの適用上の0/1はMAP1を設定します
[USGB]interface GigabitEthernet 0/0/1
[USGB-GigabitEthernet0/0/1]ipsec policy map1
[USGB-GigabitEthernet0/0/1]quit
3、ISPを設定します
<Huawei>system-view
[Huawei]sysname ISP
[ISP]interface GigabitEthernet 0/0/0
[ISP-GigabitEthernet0/0/0]ip address 192.13.2.2 24
[ISP-GigabitEthernet0/0/0]quit
[ISP]interface GigabitEthernet 0/0/1
[ISP-GigabitEthernet0/0/1]ip address 131.108.5.1 24
[ISP-GigabitEthernet0/0/1]quit
[ISP]ip route-static 10.1.1.0 24 192.13.2.1
[ISP]ip route-static 10.1.3.0 24 131.108.5.2
4、結果を確認
- USGA
<USGA>display ike sa
11:14:05 2019/03/17
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id peer flag phase vpn
-----------------------------------------------------------------------------
40001 131.108.5.2 RD|ST v2:2 public
1 131.108.5.2 RD|ST v2:1 public
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING
TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD
<USGA>display ipsec sa
11:14:12 2019/03/17
===============================
Interface: GigabitEthernet0/0/1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "map1"
sequence number: 10
mode: isakmp
vpn: public
-----------------------------
connection id: 40001
rule number: 5
encapsulation mode: tunnel
holding time: 0d 0h 0m 16s
tunnel local : 192.13.2.1 tunnel remote: 131.108.5.2
flow source: 10.1.1.0-10.1.1.255 0-65535 0
flow destination: 10.1.3.0-10.1.3.255 0-65535 0
[inbound ESP SAs]
spi: 2200317640 (0x83262ec8)
vpn: public said: 0 cpuid: 0x0000
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
sa remaining key duration (bytes/sec): 1887436680/3584
max received sequence-number: 2
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 2376952271 (0x8dad69cf)
vpn: public said: 1 cpuid: 0x0000
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
sa remaining key duration (bytes/sec): 1887436620/3584
max sent sequence-number: 4
udp encapsulation used for nat traversal: N
- USGB
[USGB]display ike sa
11:15:32 2019/03/17
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id peer flag phase vpn
-----------------------------------------------------------------------------
40001 192.13.2.1 RD v2:2 public
1 192.13.2.1 RD v2:1 public
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING
TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD
[USGB]display ipsec sa
11:15:37 2019/03/17
===============================
Interface: GigabitEthernet0/0/1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "map1"
sequence number: 10
mode: isakmp
vpn: public
-----------------------------
connection id: 40001
rule number: 5
encapsulation mode: tunnel
holding time: 0d 0h 1m 40s
tunnel local : 131.108.5.2 tunnel remote: 192.13.2.1
flow source: 10.1.3.0-10.1.3.255 0-65535 0
flow destination: 10.1.1.0-10.1.1.255 0-65535 0
[inbound ESP SAs]
spi: 2376952271 (0x8dad69cf)
vpn: public said: 0 cpuid: 0x0000
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
sa remaining key duration (bytes/sec): 1887436620/3500
max received sequence-number: 3
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 2200317640 (0x83262ec8)
vpn: public said: 1 cpuid: 0x0000
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
sa remaining key duration (bytes/sec): 1887436680/3500
max sent sequence-number: 3
udp encapsulation used for nat traversal: N