总部基础配置及准备工作:
三线固定IP出口,基础配置略; 因为是多线出口,所以要配置到分部内网段的路由,否则会出现单通的问题(分部内网到总部内网是通的,而总部到分部不通)
IPSEC策略绑定的出口配置中不要启用NAT,做源NAT配置,同时让总部内网到分部内网的数据流排除在NAT之外,因为NAT与IPSEC是不兼容的;
配置Trust域与Untrust域的域间包过滤规则:
policy interzone trust untrust inbound
policy 23
action permit
policy source 172.17.1.0 0.0.0.255
policy destination 192.168.113.0 0.0.0.255
policy destination 172.16.9.0 0.0.0.255
放行ike的安全策略(到自身的安全策略和从自身发送的安全策略),在nat场景下需要放行UDP 500和4500 端口的报文:
[HUAWEI] ip service-set isakmp type object
[HUAWEI-object-service-set-isakmp] service 0 protocol udp destination-port 500
[HUAWEI-object-service-set-isakmp] service 1 protocol udp destination-port 4500
[HUAWEI] security-policy
[HUAWEI-policy-security] rule name isakmp
[HUAWEI-policy-security-isakmp] service isakmp
[HUAWEI-policy-security-isakmp] action permit
一、总部网关的设置(USG5530):
1.定义被保护的数据流。
acl number 3004
rule 5 permit ip source 192.168.113.0 0.0.0.255 destination 172.17.1.0 0.0.0.255
rule 10 permit ip source 172.16.9.0 0.0.0.255 destination 172.17.1.0 0.0.0.255
2.配置序号为10的IKE安全提议
ike proposal 10
encryption-algorithm aes-128
dh group2
3.配置名称为hywl的IKE Peer
ike peer hywl
pre-shared-key 999999
ike-proposal 10
remote-id-type none
4.配置名称为hywl的IPSec安全提议。
ipsec proposal hywl
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
5.配置名称为hywl序号为1的IPSec安全策略模板。
ipsec policy-template hywl 1
security acl 3004
ike-peer hywl
proposal hywl
6.在IPSec安全策略hyjt中引用安全策略模板hywl,安全策略模板的名称不能与安全策略的名称相同。
ipsec policy hyjt 10 isakmp template hywl
7.在接口GigabitEthernet 0/0/1上应用安全策略hyjt。
interface GigabitEthernet0/0/1
ipsec policy hyjt
二、分部网关的设置(USG6100):PPPOE拨号上网,基础配置略,注意排除到总部数据的NAT,以及域间包过滤规则
1.定义被保护的数据流。
acl number 3000
rule 5 permit ip source 172.17.1.0 0.0.0.255 destination 172.16.9.0 0.0.0.255
rule 10 permit ip source 172.17.1.0 0.0.0.255 destination 192.168.113.0 0.0.0.255
2.配置序号为10的IKE安全提议
ike proposal 10
encryption-algorithm aes-128
dh group2
authentication-algorithm sha1
authentication-method pre-share
integrity-algorithm hmac-sha1-96
prf hmac-sha1
3.配置名称为lvyuan的IKE Peer
ike peer lvyuan
pre-shared-key 999999
ike-proposal 10
remote-address *.*.*.* //总部IP
4.配置名称为lvyuan的IPSec安全提议。
ipsec proposal lvyuan
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
5.配置名称为lvyuan序号为10的IPSec安全策略。
ipsec policy lvyuan 10 isakmp
security acl 3000
ike-peer lvyuan
proposal lvyuan
tunnel local applied-interface
sa trigger-mode auto
6.在接口Dialer1上应用安全策略lvyuan。
interface Dialer1
ipsec policy lvyuan
三、出现的问题及解决
分部能PPPOE拨号成功,但不能上网:默认路由指向有误,默认指向虚拟端口dialer0,但实际的拨号端口为dialer1,更换即可。
ip router 0.0.0.0 0.0.0.0 dialer1
***第一阶段协商不成功:两端的IKE安全提议配置中加密算法或认证算法不一至、不匹配。
***连接建立之后,总部ping不通分部网关的内网口172.17.1.254:原因是拨号虚拟端口上没有开启PING权限。
interface Dialer 1 //进入拨号虚拟接口
service-manage ping permit //开启PING
四、问题诊断分析方法
1.流量统计分析过程:首先开启从源端到目的端的长ping
acl 3999 //建立诊断ACL
rule 5 permit ip source 源ip 0 destination 目的ip 0
rule 10 permit ip source 目的ip 0 destination 源ip 0
diagnose //进入诊断模式
firewall statistics acl 3999 enable //关联ACL
display firewall statistics acl //显示流量状态
undo firewell statistics acl 3999 //要记得关闭流量统计,以免消耗资源。
2.ACL命中分析:首先开启从源端到目的端的长ping
只有IPSec隧道未建立时,发起协商的报文会命中ACL,导致命中次数增长,而接受协商一端的ACL不会增长。当IPSec隧道建立成功后,匹配ACL的数据流不会导致ACL命中次数增长。
display acl 3010 //查看ACL
******* //省略
(14 times matched) //显示出来的命中次数
ACL的匹配次数增长了14次,说明本端的ACL配置与需保护的数据流一致,即本端ACL配置无误。