解决方案-防火墙天融信GT22100-详细白客笔记

大家好，欢迎来到IT知识分享网。

解决方案-防火墙天融信GT22100-详细白客笔记

与天融信防火墙野蛮式对接IPSec典型配置

一、组网需求：

IPSec协议属于标准的安全协议，现在主流的防火墙和VPN设备基本均支持IPSec VPN，但各厂商在配置方面却差别较大。此文档对H3C系列防火墙同天融信防火墙以主模式进行对接IPSec VPN的典型配置。

二、组网图：

三、配置步骤：

H3C FW配置：

#//创建IPSec的感兴趣数据流

acl 3002 name

rule 0 ip 10.103.0.0 0.0.255.255

#//创建ike提议

ike 1

ike 10

– 3des-cbc

dh

– md5

#创建dpd策略

ike dpd dpd

-time 30

time-out 60

#//创建ike对等体，协商模式为野蛮模式，认证ID类型为NAME、验证方式为预共享密钥方式，同时指定对端名称以及对端地址，调用dpd策略

ike peer

-mode

pre–key $c$3$vAdEj/+==

id-type name

-name guot

– 60.247.28.34

nat

dpd dpd

#//创建IPSec提议

ipsec -set tjl

-mode

esp

esp – md5

esp – 3des

#//创建IPSec策略

ipsec tjl 20

acl 3002

ike-peer

-set tjl

sa time-based 28800

#//接口下调用IPSec策略

Vlan-

ip 192.168.111.1 255.255.255.248

tcp mss 1024

ipsec tjl

#//配置到公网的路由

ip route- 0.0.0.0 0.0.0.0 192.168.111.3

天融信防火墙配置：

一阶段ike相关参数配置：

二阶段IPSEC策略相关参数配置：

四、验证结果：

dis ike sa – 60.247.28.34

———————————————

id: 31614

vpn-:

:

———————————————

local ip: 192.168.111.1

local id type: FQDN

local id: whzx

ip: 60.247.28.34

id type: FQDN

id: guot

-:

-: MD5

-:

life (sec): 86400

key (sec): 69416

-mode:

– group:

nat : YES

dis ipsec sa 60.247.28.34

—————————–

IPsec name: “tjl”

: 20

acl : ACL4

mode:

—————————–

id: 103

mode:

:

:

local : 192.168.111.1

: 60.247.28.34

flow:

sour addr: 10.103.0.0/255.255.0.0 port: 0 : IP

dest addr: 0.0.0.0/0.0.0.0 port: 0 : IP

[ ESP SAs]

spi: ()

: ESP–3DES ESP-AUTH-MD5

sa (/sec): /28800

sa (/sec): /20267

max : 1

anti- check : Y

anti- size: 32

udp used for nat : Y

[ ESP SAs]

spi: ()

: ESP–3DES ESP-AUTH-MD5

sa (/sec): /28800

sa (/sec): /20267

max sent: 18

udp used for nat : Y

五、配置关键点：

1）与天融信防火墙对接，现在IPSec参数中的DPD配置可以不进行关闭

2）天融信侧默认协商时，不开启DES加密算法，如果要配置为DES，需要在其加密算法中进行勾选，否则及时添加成功也不能正常协商

3）我司IPSec 协商时与天融信侧不一致，天融信每一个二阶段都有一个一阶段与其对应，与我司进行双向对接时，建议简化配置，将多个二阶段合为一个二阶段进行协商，否则有可能会出现只能协商起一个二阶段的状况。

4）在天融信侧存在多条隧道，并且用统一的隧道名进行标识时，建议天融信侧在新协商的隧道进行本地标识的修改，便于其对于本地隧道的区分。

~

网络安全学习，我们一起交流

~