基于防火墙的IPSecVPN隧道配置操作手册.docx

基于防火墙的IPSecVPN隧道配置操作手册跨地区联网办公最经济实惠的方式，莫过于ipsecvpn,只用10张图片，就能展示华为防火墙配通外网，并且配通总部与分支机构的ipsecvpn0总部与分支机构的网关设备相同，都是华为防火墙，型号为USG6330,缺点是安全授权都过期了，有待续费；密码忘记了，原配置也没有了，所以启动时直接按Ctrl+B,恢复出厂设置。说好了，10张图片，把防火墙配置上网，并且配通ipsecvpn,下面正式开始：第一图：配置接口IP；HuaweiUSG6330«1.TE4Gvxlan11DNS瑜OHCPNl劳BO0路由0列表÷i*8KW«安畲PIMtG<(GoMGMT)tuMA<uUUV>1921682001UsSpuMc)10211UntUBK困pe)19216802唯日自气盘里1MtSffSttHWI蜿G0/0/0是管理接口,默认为192.是8.0.1,因为与G1/0/1网段相同，所以必须修改；G1/0/0是内网接口,配置IP为10.2.2.1/24；G1/0/1是外网接口，配置IP为192.168.0.2/24,实际应该填写运营商给的IP地址，此处因为我有上层路由，所以填写的是上层路由给的1P；第二图：在内网接口上配置DHCP服务;Huawci-jQG*nnIS自7昌要MUMMVlVOvV*>QV用板SK»»W8DHCPit务列赛Iii«1.TE4GG接口对安全区慢DvxlanD三dnsu0HCPn»a缶按：q抬出11tf>Sec*1.2TPj1.2TPoverIPSecQUGRE：jDSVPN：IJSSIVPN：VTSMRi/)GEvWoKMiItaDHCPHftSWKPjM三fl列硼乌SUR(?)DNS崎送DNgM(务着ftAjNSK3*届侬租期话W)NSflR务JJ膏用WlNSaj辐WP102121021254255.255.255010.2.11指定IU114114114102.12-102120每行可&入一个地址段或单个。（本总制W行之同正常来说，DHCP般是配置在交换机上，但是客户环境里面只有傻瓜交换机，所以只能在防火墙上配置DHCP了，注意保留IP,是预留给服务器、打印机以及硬盘录像机等需要固定IP的设备了；第三图：配置静态路由，此处也称为默认路由；HuaweiUSGe330G臼自#品宴MtIMMRmMtt凛口81.T三4Gr.wMEM宇vxw生OHSCm0HCPa”号M轨匚G修由.V11Ma。目出21Ae量或队优先像UMU8<1W>M1.2S5>T-«OCMIPUMicm168.018目的地址：0.0.0.0/0即指互联网任意IP,下一跳此处为光猫IP地址；不写这条路由，是不能上网的；第四图：配置安全策略，放通trust（内网）到UntrUSt（外网）的访问，不写这条安全策略，是不能上网的；这就是防火墙和路由器的区别之处;第五图：配置源NAT,就是地址转换，不写这条，同样不能上网，哈哈，是不是觉得挺麻烦的;经过以上配置，电脑已经可以上网了，紧接着开始配置ipsecvpn,以便使总部和分支机构的网络能互通。USt(<1.TE4G口接口对安全区1«BSvxlan胃DNSJ国DHCP慝务着Q髓IpSeC/PSec击控1131.2TPFt1.2TPoverIPSec3GREQJDSVPNgjSS1.VPNUVT外哦幼第六图：配置ipsec策略，场景：因为是总部，所以选择点到多点，如果是分支机构，那就选择点到点；对端接入类型：分支网关，1.2TP是指笔记本电脑或者手机远程拨入；基本配置里面，名称随便写，无所谓；本端接口当然是外网接口，本端地址是外网，实际应该填写运营商给的IP地址，此处因为我有上层路由，所以填写的是上层路由给的IP；下面的“本端ID”也是同样情况；Huawei-USGe330IS自B-黑要MUAWtt按mi系校修改IPSeC第啕»«C后蛭融管点适用的1»为缶£«关一M为g泗关的Ii品OQis用于1.2TPOVMIPSeuIKEVI或2W户委拨号接入的情况.，分支网关J1.2TPowlPseClS户3T?1atSpubiV2稣本醋S修名称UpaocGE1W1B;E®19216802IvllJ5WSt认5式三三WRS名却顺多击铜8;共取在阴BDIPttJtt19216802go峭fS1对博QV对可以Jl分支同关.PC.IPhoneAPad.安堂设或无线小神站1.2TPUiiEflBCPAPViCHAP助ibvpn-poolV分翻第1酝：1.2TPoveriPSec«e»TaEH.½SWSS1.2TPdefauNnslHsgitS.XtES芟策Ie以免圮冲突.5三S1.2TPorlPSec三.应分别任1.2TPiOPSec<展运行配量.拨号用户配置，即笔记本电脑或者手机远程拨入的相关配置，主要是确定了1.2TP的认证模式，以及IP地址池；第七图：配置加密数据流：第一行是定义总部内网到分支机构内网的加密数据流；第二行是定义总部内网到远程拨入用户的加密数据流；第三行是1.2TP拨入UDP协议的加密数据流；4待加卷的数据没今涯×m(S岫刷颖昭要宣询的内答氢查询但清除直闻源地址，坳I1.m目的地址，地坡空防议源端口目的城口动作蝴10.21.0/255.255219216818,0/255.1anyanyany加密10.2.1.0/255.255.2172161.O255.25fanyanyany三stQanyanyUDP1701any加密0共3条第八图：配置ipsec相关的安全参数，两端必须相同，笔记本电脑或者手机也必须配置相同参数，因为某些设备可能不支持过高的DH组，所以此处也勾选T5,如果没有阵旧的设备接入，则不建议勾选DH5；5安全提议接受对端提议高级IKEXi(?)IKE版本VlVv2使用2发起和接受协商.加密算法(?)AES-256AES-192AES-1283DESDES完整性算法SHA2-512SHA2-384SHA2-256SHA1JMD5AESPRFW½SHA2-512SHA2-384SHA2-256SHA1JMD5AES-128DH组212019囹16J151.14i51121S.遛时时间86400<60-604800>秒IPSeC叁数，封装模式自动传输模式隧道模式WESPOAHAH-ESPESPD(三g法Q)GCM256GCM192GCM128GMAC256GMAC192AES-128GMAC128AES-256AES-192：3DESDESESP认SHA2-512MD5SHA2-384SHA2-256SHA1PFSNONEO21O20OI9SA超时162Q15O14O5C)1三T时间3600<30-604800秒5242880<0,256-200000000>KBDPD(对瑞状态检测)？第九图：配置安全策略：1、放行总部到分支的通讯；2、放行分支到总部的通讯；3、放行UntrUSt到IoCal的通讯，由于分支机构没有固定的IP,所以此处不能限定IP地址；4放行IOCal到untrust的通讯；注意：IoCaI是指防火墙本身;HtMWCiUSG6330Ii©自；品篁KKF?MMMBM=2门1J1Mgmt询DIMnHiC£S*8MinV>11H%WM而91taW÷MMBTt手：3CRNUABx->flN*M*ETw曰”<M*WfrarBQMM*MMM3BeWBBMfUtBMfiDMttM«MMHSOe，aw4m0wt2MMmM0WMtWWMmJSaw102gJwtfm.1¼tM96mi力BX1。VWG行>MmI余_mvK.awaw.W«g*tsctf.e91*Huaweimuaw<.USG6330Q国安全策给山安全«应融冗余分析咐NATKKI三NAT.蹒9除谢意与分若负肘搭j好和5道理医s三m晤tt三fl。安全防护路ASPnK置第十图：这是个关键点，很多人没做这步操作，所以哪怕是两端的防火墙已经成功地建立了ipsecvpn,两端的内网还是无法通讯的。Ii四旨#盘要BMi盆投第ad对，网络系统#MATNAT地址边源NAT第幅列袤修改至NATSRW?牍介坳播注标签请迭修或N入库及NATAflNKrNATM漉安全区域trust7二;MftfiB½Ett出1«口untrustV,时觎？any*KlftmIWlt(?)10.2.1.(M255.255.255.0目曜址<?>19216818W255.255255ZZZZZ届务G)anyWf转换方式不做N7转帙V确定取消这条源NAT策略的意思是，从总部内网访问分支的内网，不做地址转换，如果没有这个配置，那么默认为转换，那数据流量就走到公网出去了，而不会从ipsec隧道走，那当然不会有回包了，所以两端无法互访。分支机构的防火墙配置方法基本相同，就不再赘述了，配置完成后，两端内网电脑互Ping测试就可以了。C:Windowssystem32cmd.exe-ping192.168.18.58-tnmTnmmR11×r11m1.11-4m11-4T11(5=(5Ibf=s=MTr1.192.168.18.58K0192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回192.168.18.58的回二I二一一二一二fnI11I-IY二I二1"二IYF二-IYi二r二二二1±001x1x1x71X71x1x1x1x1x1x1xMlZx-ZxZx=Zx=Zx/N=ZxCD-Crrr5?-0C?-oMfs*-CIrloCrlOrIOD-co5*5P.-、-、二、-、二-|节节节节节节节节节节节节节节节节±±TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62TT1.=62192.168.18.58的回