Huawei社USG5300は、IPSecトンネルモードのセキュリティ戦略を確立するために、IKEを使用しています

その他 2019-07-03 13:54:12 訪問数: null
免責事項:この記事はブロガーオリジナル記事ですが、許可ブロガーなく再生してはなりません。https://blog.csdn.net/tladagio/article/details/88614893

ネットワーク要件:

示されるように、ネットワークAとネットワークBは、それぞれ、USG5300 A及びBはUSG5300介してインターネットに接続されています。次のようにネットワークが記載されている
ネットワーク10.1.1.0/24サブネットAが属する、ギガビットイーサネット0/0/0を介しUSG5300 Aに接続されたインターフェイスを。
Bは、ネットワーク10.1.3.0/24サブネットに属し、ギガビットイーサネット0/0/0 USG5300 B.インタフェースを介して接続されています。
USG5300 AとB USG5300到達可能。ネットワークAネットワークBは、pingを実行することができます

ネットワークトポロジ

ステップ:

図1に示すように、構成USG5300A

  • IPアドレスを設定
[SRG]sysname USGA
[USGA]interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0]ip address  10.1.1.1 24
[USGA-GigabitEthernet0/0/0]quit
[USGA]interface  GigabitEthernet  0/0/1
[USGA-GigabitEthernet0/0/1]ip address  192.13.2.1 24
[USGA-GigabitEthernet0/0/1]quit
  • 適切なセキュリティゾーンにインターフェースを追加
[USGA]firewall zone  trust
[USGA-zone-trust]add  interface  GigabitEthernet  0/0/0
[USGA-zone-trust]quit 
[USGA]firewall zone  untrust
[USGA-zone-untrust]add  interface  GigabitEthernet  0/0/1
[USGA-zone-untrust]quit
  • インタードメイン設定パケットフィルタリングルール
[USGA]firewall packet-filter default permit  interzone  trust  untrust
[USGA]firewall packet-filter default permit  interzone  untrust local

信頼は、ACLパケットフィルタリングルールによって定義することができるドメインおよびドメイン-ドメインのUntrustデフォルト・パケット・フィルタリング・ルールとの間に開くことができます。
ローカルドメイン間の構成オブジェクトとデフォルトパケットのUntrustドメインフィルタリングルールは、両端のIPSecトンネル通信装置を可能にするために、それがトンネルネゴシエーションをすることができるように。

  • 支社へのスタティックルートを設定する、ネクストホップ192.13.2.2
[USGA]ip route-static 0.0.0.0 0.0.0.0 192.13.2.2
  • 保護されるべきデータ・ストリームの定義
[USGA-acl-adv-3000]rule  permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255

相互運用性の分岐を達成するために、高度なACL(ソース)の送信元アドレスは、各分岐の正確なセグメントとして定義され、本社と分岐先アドレス(宛先)のすべてのセグメントを含むように定義されます。

  • IPSecプロポーザルの名前を設定しTRAN1
[USGA]ipsec proposal tran1
[USGA-ipsec-proposal-tran1]encapsulation-mode tunnel
[USGA-ipsec-proposal-tran1]transform esp
[USGA-ipsec-proposal-tran1]esp authentication-algorithm  md5
[USGA-ipsec-proposal-tran1]esp encryption-algorithm des
[USGA-ipsec-proposal-tran1]quit

ここで、ESPセキュリティプロトコルは、トンネルモードがデフォルトのカプセル化され、デフォルトで設定されていないことがあります。ESP MD5がデフォルトの認証アルゴリズム、ESPのデフォルトのためのDES暗号化アルゴリズムである、あなたが設定することはできません。

  • IKEプロポーザルの設定シリアルナンバー10
[USGA]ike  proposal  10
[USGA-ike-proposal-10]authentication-method pre-share
[USGA-ike-proposal-10]authentication-algorithm sha1
[USGA-ike-proposal-10]quit

事前共有鍵認証方式は、デフォルトの認証方法IKE、SHALは、デフォルトの認証アルゴリズムで構成されなくてもよいです。

  • 配置IKE Peer
[USGA]ike  peer  b
[USGA-ike-peer-b]ike-proposal  10
[USGA-ike-peer-b]remote-address 131.108.5.2
[USGA-ike-peer-b]pre-shared-key abcde
[USGA-ike-peer-b]quit

USG5300は、ピアがIKEv2のをサポートしていない場合は、同時にIKEv1のとIKEv2の、デフォルトでのIKEv2ネゴシエーションの使用を開くのIKEv2、IKEv1のネゴシエーションの使用を無効にします。IKEピアビューでコマンドを実行し、バージョン{1 | 2 [取り消し] } 構成を。
トンネルピアのIPアドレスは、インターフェイスのIPアドレスでインターネットに接続されUSG5300 Bです。
コンフィギュレーションは、ピアデバイスで同じ認証キーが必要です

  • IPSecポリシーグループMAP1の設定
[USGA]ipsec  policy map1 10 isakmp
[USGA-ipsec-policy-isakmp-map1-10]security  acl  3000
[USGA-ipsec-policy-isakmp-map1-10]proposal tran1
[USGA-ipsec-policy-isakmp-map1-10]ike-peer  b
[USGA-ipsec-policy-isakmp-map1-10]quit

インタフェースG0で/セキュリティポリシーの適用上の0/1はMAP1を設定します

[USGA]interface  GigabitEthernet  0/0/1
[USGA-GigabitEthernet0/0/1]ipsec  policy map1
[USGA-GigabitEthernet0/0/1]quit

図2に示すように、構成USG5300B

  • IPアドレスを設定
[SRG]sysname USGB
[USGB]interface  GigabitEthernet  0/0/0
[USGB-GigabitEthernet0/0/0]ip address  10.1.3.1 24
[USGB-GigabitEthernet0/0/0]quit
[USGB]interface  GigabitEthernet  0/0/1
[USGB-GigabitEthernet0/0/1]ip address  131.108.5.2 24
[USGB-GigabitEthernet0/0/1]quit
  • 適切なセキュリティゾーンにインターフェースを追加
[USGB]firewall zone  trust
[USGB-zone-trust]add  interface  GigabitEthernet  0/0/0
[USGB-zone-trust]quit
[USGB]firewall zone  untrust
[USGB-zone-untrust]add  interface  GigabitEthernet  0/0/1
[USGB-zone-untrust]quit
  • インタードメイン設定パケットフィルタリングルール
[USGB]firewall packet-filter  default  permit  interzone  trust  untrust
[USGB]firewall packet-filter  default  permit  interzone  untrust  local
  • 支社へのスタティックルートを設定する、ネクストホップ131.108.5.1
[USGB]ip route-static 0.0.0.0 0.0.0.0 131.108.5.1
  • 保護されるべきデータ・ストリームの定義
[USGB-acl-adv-3000]rule  permit  ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
  • IPSecプロポーザルの名前を設定しTRAN1
[USGB]ipsec  proposal tran1
[USGB-ipsec-proposal-tran1]encapsulation-mode tunnel
[USGB-ipsec-proposal-tran1]transform esp
[USGB-ipsec-proposal-tran1]esp authentication-algorithm md5
[USGB-ipsec-proposal-tran1]esp encryption-algorithm des
[USGB-ipsec-proposal-tran1]quit
  • IKEプロポーザルの設定シリアルナンバー10
[USGB]ike proposal 10
[USGB-ike-proposal-10]authentication-method pre-share
[USGB-ike-proposal-10]authentication-algorithm sha1
[USGB-ike-proposal-10]quit
  • 配置IKE Peer
[USGB]ike peer  a
[USGB-ike-peer-a]ike-proposal  10
[USGB-ike-peer-a]remote-address 192.13.2.1
[USGB-ike-peer-a]pre-shared-key abcde
[USGB-ike-peer-a]quit
  • IPSecポリシーグループMAP1の設定
[USGB]ipsec  policy map1 10 isakmp
[USGB-ipsec-policy-isakmp-map1-10]security  acl  3000
[USGB-ipsec-policy-isakmp-map1-10]proposal tran1	
[USGB-ipsec-policy-isakmp-map1-10]ike-peer a	
[USGB-ipsec-policy-isakmp-map1-10]quit
  • インタフェースG0で/セキュリティポリシーの適用上の0/1はMAP1を設定します
[USGB]interface  GigabitEthernet  0/0/1
[USGB-GigabitEthernet0/0/1]ipsec  policy map1
[USGB-GigabitEthernet0/0/1]quit

3、ISPを設定します

<Huawei>system-view
[Huawei]sysname ISP
[ISP]interface  GigabitEthernet  0/0/0
[ISP-GigabitEthernet0/0/0]ip address  192.13.2.2 24
[ISP-GigabitEthernet0/0/0]quit
[ISP]interface  GigabitEthernet  0/0/1
[ISP-GigabitEthernet0/0/1]ip address  131.108.5.1 24
[ISP-GigabitEthernet0/0/1]quit

[ISP]ip route-static 10.1.1.0 24 192.13.2.1
[ISP]ip route-static 10.1.3.0 24 131.108.5.2

4、結果を確認

  • USGA
<USGA>display  ike  sa
11:14:05  2019/03/17
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id    peer                    flag          phase vpn
-----------------------------------------------------------------------------
40001      131.108.5.2             RD|ST         v2:2  public
1          131.108.5.2             RD|ST         v2:1  public

  flag meaning
  RD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADING
  TO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD

<USGA>display  ipsec sa 
11:14:12  2019/03/17
===============================
Interface: GigabitEthernet0/0/1
    path MTU: 1500
===============================

  -----------------------------
  IPsec policy name: "map1"
  sequence number: 10
  mode: isakmp
  vpn: public
  -----------------------------
    connection id: 40001
    rule number: 5
    encapsulation mode: tunnel
    holding time: 0d 0h 0m 16s
    tunnel local : 192.13.2.1    tunnel remote: 131.108.5.2
    flow      source: 10.1.1.0-10.1.1.255 0-65535 0
    flow destination: 10.1.3.0-10.1.3.255 0-65535 0

    [inbound ESP SAs] 
      spi: 2200317640 (0x83262ec8)
      vpn: public  said: 0  cpuid: 0x0000
      proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
      sa remaining key duration (bytes/sec): 1887436680/3584
      max received sequence-number: 2
      udp encapsulation used for nat traversal: N

    [outbound ESP SAs] 
      spi: 2376952271 (0x8dad69cf)
      vpn: public  said: 1  cpuid: 0x0000
      proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
      sa remaining key duration (bytes/sec): 1887436620/3584
      max sent sequence-number: 4
      udp encapsulation used for nat traversal: N
  • USGB
[USGB]display  ike sa 
11:15:32  2019/03/17
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id    peer                    flag          phase vpn
-----------------------------------------------------------------------------
40001      192.13.2.1              RD            v2:2  public
1          192.13.2.1              RD            v2:1  public

  flag meaning
  RD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADING
  TO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD
	
[USGB]display  ipsec  sa 
11:15:37  2019/03/17
===============================
Interface: GigabitEthernet0/0/1
    path MTU: 1500
===============================

  -----------------------------
  IPsec policy name: "map1"
  sequence number: 10
  mode: isakmp
  vpn: public
  -----------------------------
    connection id: 40001
    rule number: 5
    encapsulation mode: tunnel
    holding time: 0d 0h 1m 40s
    tunnel local : 131.108.5.2    tunnel remote: 192.13.2.1
    flow      source: 10.1.3.0-10.1.3.255 0-65535 0
    flow destination: 10.1.1.0-10.1.1.255 0-65535 0

    [inbound ESP SAs] 
      spi: 2376952271 (0x8dad69cf)
      vpn: public  said: 0  cpuid: 0x0000
      proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
      sa remaining key duration (bytes/sec): 1887436620/3500
      max received sequence-number: 3
      udp encapsulation used for nat traversal: N

    [outbound ESP SAs] 
      spi: 2200317640 (0x83262ec8)
      vpn: public  said: 1  cpuid: 0x0000
      proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5
      sa remaining key duration (bytes/sec): 1887436680/3500
      max sent sequence-number: 3
      udp encapsulation used for nat traversal: N

 

おすすめ

転載: blog.csdn.net/tladagio/article/details/88614893
おすすめ
TIOBE 5 月リスト: Fortran がトップ 10 に「復活」
GCC 14.1 发布
ランキング
Linuxの一般的なコマンドの緊急対応
FPGAの設計者は、5つの基本的なスキルです
Javaの研究では、2019年6月12日ノート
Golang底层原理剖析之内存逃逸
VIM - Viは、プログラマーのテキストエディタを改善しました
魔法書(MagicTable)入門チュートリアルは、CADの一括転送複数のテーブルExcelをExcelを回し--CAD
mockitoとの望ましくないモック
EVE-NG MPLS L2VPN BGP pw -- スタティック ルート、スタティック mpls lsp
抵抗性タッチスクリーンドライバ(II)
PHP 安装扩展 Api Version 和扩展extensions路径不匹配的问题
アーカイブ
もっと
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)

コードワールド

© 2018 codetd.com