策略模版方式.doc

IPSEC 建立点到多点SA策略模版方式 在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSEC VPN隧道,各个分支机构之间的通信由总部节点转发和控制.实现HUB-Spoke组网的配置有2种配置方式,子策略方式与策略模版方式,其中子策略方式可以由双方主动发起IPSEC连接,适用于分支固定IP,策略模版方式只能由下端发起IPSEC连接,适用于分支动态IP. 组网图 IPSEC IKE方式建立点到多点SA组网图 组网需求 总部FWA为固定公网地址, FWB FWC为动态公网IP(实验环境配置静态IP模拟动态IP,不影响IPSEC的配置,现网可能是通过ADSL或PPPOE获得的IP) 分支机构PC2 PC3与能与总部PC1之间进行安全通信，在PC2 PC3与PC1能够安全通信之后,PC2 PC3能够通过FWA进行安全通信,FWA与FWB FWC之间使用IKE野蛮模式建立安全通道, FWB FWC不直接建立任何IPSEC连接。 在FWA A和FWB FWC上均配置序列号为10的IKE提议pre-shared key验证方法的提议配置验证字。 适用产品、版本 设备型号：Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB/FWC Eudemon200 软件版本： V2R1及以上 实验版本 Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 配置思路和步骤 1）防火墙基本配置,包括IP地址,安全域 2）配置公网路由, 一般情况下,防火墙上配置静态路由 3）定义用于包过滤和加密的数据流 4）配置域间通信规则 5）配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer和野蛮模式 8) 配置安全策略模版 9) 配置和引用安全策略 配置过程和解释（关键配置） 配置总部FWA: 1）配置到达分支机构的静态路由 [FWA]ip route-static 2）定义用于包过滤和加密的数据流, ACL3000定义到所有分支机构FWB FWC网段的数据流,为了实现分支的互通,Soure定义为包括总部和分支的所有网段,destination定义为各个分支的明细网段. [FWA]acl 3000 [FWA-acl-adv-3000] rule permit ip source 55 destination 55 [FWA-acl-adv-3000] rule permit ip source 55 destination 55 [FWA-acl-adv-3001]quit 3）配置trust与untrust域间包过滤规则 [FWA]firewall packet-filter default permit interzone trust untrust 4）配置untrust与local域间包过滤规则 [FWA]firewall packet-filter default permit interzone local untrust Trust和untrust的域间规则可以配置默认放开,也可以配置用ACL来放开. 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信，使其能够协商SA。 5) 配置IPSec安全提议 # 创建名为tran1的IPSec提议。 [FWA]ipsec proposal tran1 # 配置安全协议。 [FWA-ipsec-proposal-tran1]transform esp Esp为默认安全协议,可以不配置 # 配置报文封装类型。 [FWA-ipsec-proposal-tran1]encapsulation-mode tunnel Tunnel为默认封装类型,可以不配置 # 配置ESP协议的认证算法。 [FWA-ipsec-proposal-tran1]esp authentication-algorithm md5 md5为默认ESP协议的认证算法, 可以不配置 # 配置ESP协议的加密算法。 [FWA-ipsec-proposal-tran1]esp encryption-algorithm des des为默认ESP协议的加密算法, 可以不配置 # 退回系统视图 [FWA-ipsec-proposal-tran1]quit 6) 配置IKE提议。 [FWA] ike proposal 10 # 配置使用pre-shared-key验证方法。 [FWA-ike-proposal-10] authenticat