华为防火墙IPsec点对点配置解析.docxVIP

华为防火墙IPsec点对点配置解析 一、完成基本互联 主机直连的接口为trust区域，防火墙之间互联的接口为untrust区域 二、左边的防火墙IPsec的配置 (1) Ike Proposal 的创建 ike proposal xx //首先创建ike proposal xx 这一步的作用就是创建协商ike SA的时候使用的相关安全套件，默认防火墙就会设置了一些默认的安全套件的组合。这一步设置的内容就是用于IKE SA的协商，IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。如下所示： encryption-algorithm aes-256 dh group14 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 对于AES算法和SHA算法来说，256位是完全足够保证安全了，对于AES来说使用192位也是可以的。dh group14是2048位的DH算法，也是够用了。 可以看到默认的认证方式是预共享密钥，当然也有其他的认证方式，比如签名，证书认证。但是签名和证书认证比较麻烦，推荐在图形化界面上做，这边仅介绍预共享密钥 （2）Ike peer 的创建 ike peer xx //创建IKE对等体 进入IKE对等体视图后： local-id-type xxx //设置本端id的类型，下面是本端id的类型 [Left-ike-peer-xx]local-id-type ? dn Select dn as the local ID esn Select esn as the local ID fqdn Select name as the local ID //这个就是以名字名称的形式去明明 ip Select IP address as the local ID //以IP的形式去进行命名 user-fqdn Select user-fqdn as the local ID //以电子邮件的形式去命名 local-id xx//创建本端id，这里创建的id和上面的类型要对应 remote-id-type xx //设置远端id类型，这个和本地id类型的类似 remote-id xx //设置远端id 也可以不用设置local-id，remote-id这些东西，只要输入remote-address，表示远端IP，输入这个之后就代表自己使用ip地址标识自己，且接受所有的远端标识，换句话来说只要IPsec对端的IP是remote address指定的IP，那么将无所谓它的的远端标识。当然也可以remote address，local-id，remote-id一起配置，只不过配置更加细化。这个也是isakmp协议中进行相关信息协商时使用的身份信息，一定要保证对方设置的本地标识和自己设置的远端标识是对应的，我觉得主要的原因就是因为身份信息在整个SA的协商过程中起到的作用就是方便IPsec双方在自身去找到相应的信息去进行协商，在一个设备中可能存在多个这种一整套的IPsec的配置信息，而且有的时候双方建立的IPsec隧道使用的IP地址不是固定的，所以使用一种身份标识去标识一个IPsec隧道来方便IPsec双方进行相关协商信息的查找是一个不错的选择。 DPD msg：设置DPD报文里面的信息 packet:后面跟着的完整的命令是dpd packet receive if-related enable，就是当隧道上发送的IPsec报文如果和该设备存在的IPsecSA关联性进行检测，如果关联的话则不会删除设备上的IPsecSA，如果不关联就会删除 idle-time：这个主要用于按需的DPD检测，当IPsec空闲一段时间后将会进行DPD的检测，这个空闲的时间由这个选项决定。 retransmit-interval：这个选项决定了DPD报文的重传时延 retry-limit:这个表示当DPD报文超时了几次后将删除IPsecSA 这个DPD的相关操作可以在ike peer里面设置表示只针对这个ike peer也可以在系统视图下配置，代表影响全部的ike peer DPD是检测对端存活的一种手段,DPD有两种类型： on-demand：也就是按需的，当双方没有IPsec报文交互的时候，就会发送DPD报文进行探测 periodic：也就是周期性的 pre-shared-key xx //表示设置预共享密钥的值 (3)创建IPsec proposal tranform //表示设置隧道的使用的相关协议是ah还是esp encapsulation-mode