- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C防火墙与Fortinet防火墙
IPsec对接操作指导
Copyright © 2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本章介绍H3C防火墙与Fortinet防火墙IPsec对接的常用典型配置举例。
IPsec(IP Security,IP安全)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
本举例是在H3C SecPath F1000-AI-80的F9900P2325版本,Fortinet防火墙FortiGate 1000D的v7.2.4版本上进行配置和验证的。
在Device A和Device B之间建立一条IPsec隧道,对Host A所在的子网(201.1.1.0/24)与Host B所在的子网(200.1.1.0/24)之间的数据流进行安全保护。具体要求如下:
· Device B是Fortinet防火墙。
· 封装形式为隧道模式。
· 安全协议采用ESP协议,加密算法采用128比特CBC模式的AES算法(aes-cbc-128);认证算法采用160比特的HMAC-SHA1-96认证算法(SHA1)。
· IKE协商方式建立IPsec SA。
· IKE协商采用预共享密钥认证方式,加密算法采用128比特CBC模式的AES算法(aes-cbc-128);认证算法采用256比特的HMAC-SHA256认证算法(SHA256);IKE提议使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman group。
图1 保护IPv4报文的IPsec配置组网图
(1) 配置接口IP地址并加入安全域
根据组网图中规划的信息,配置各接口的IP地址和安全域,具体配置步骤如下。
# 选择“网络 > 接口与VRF > 接口”,进入接口配置页面。
# 单击接口GE1/0/5右侧的<编辑>按钮,配置如下。
¡ 安全域为Untrust。
¡ 选择“IPv4地址”页签,配置IP地址/掩码为100.1.1.2/24。
¡ 其他配置项使用缺省值。
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
图2 配置接口IP地址
# 单击接口GE1/0/2右侧的<编辑>按钮,配置如下。
¡ 安全域为Trust。
¡ 选择“IPv4地址”页签,配置IP地址/掩码为201.1.1.2/24。
¡ 其他配置项使用缺省值。
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
图3 配置接口IP地址
(2) 配置静态路由
配置路由信息使网络三层路由可达,本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
¡ 目的IP地址为200.1.1.0。
¡ 掩码长度为24。
¡ 下一跳IP地址为100.1.1.1。
¡ 其他配置项使用缺省值。
# 单击<确定>按钮,完成静态路由的配置。
图4 配置静态路由
(3) 配置IPsec策略
# 选择“网络 > VPN > IPsec > 策略”,进入IPsec策略配置页面。
# 单击<新建>按钮,进入新建IPsec策略页面。
a. 在基本配置区域进行如下配置:
- 设置策略名称为IPsec。
- 设置优先级为1。
- 选择设备角色为对等/分支节点。
- 选择IP地址类型为IPv4。
- 选择接口GE1/0/5。
- 设置本端地址为100.1.1.2。
- 设置对端IP地址/主机名为100.1.1.1。
b. 在IKE策略区域进行如下配置:
- 版本选中IKEv1。
- 选择协商模式为主模式。
- 选择认证方式为预共享密钥。
- 输入预共享密钥。
- 创建IKE提议为1(预共享密钥;SHA256;AES-CBC-128;DH group 1)。
- 设置对端ID为IPv4地址100.1.1.1。
图6 IKE策略
c. 在保护的数据流区域进行如下配置
# 单击<新建>按钮,进入新建保护的数据流页面,进行如下操作:
- 设置源IP地址为201.1.1.0/24。
- 设置目的IP地址为200.1.1.0/24。
- 单击<确定>按钮,完成配置。
图7 新建保护的数据流
- 在触发模式选择区域,选择IPsec协商的触发模式为流量触发。
d. 在高级配置区域进行如下配置:
- 选择IPsec封装模式为隧道模式。
- 选择IPsec安全协议为ESP。
- 其他配置均使用缺省值。
# 单击<确定>按钮,完成新建IPsec策略。
图8 IPsec高级配置
e. 在安全策略区域进行如下配置:
# 开启自动生成安全策略功能,使安全策略允许IPsec建立的相关协议报文通过,保证IPsec隧道建立成功,具体配置使用缺省值即可。
图9 开启自动生成安全策略
(4) 配置安全策略
配置双向的安全策略允许内网主动访问外网和外网主动访问内网的流量通过。
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
¡ 名称:trust-untrust
¡ 源安全域:Trust
¡ 目的安全域:Untrust
¡ 类型:IPv4
¡ 源IPv4地址:201.1.1.0/24
¡ 目的IPv4地址:200.1.1.0/24
¡ 动作:允许
¡ 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
图10 配置安全策略
# 按照同样的步骤新建安全策略,配置如下。
¡ 名称:untrust-trust
¡ 源安全域:Untrust
¡ 目的安全域:Trust
¡ 类型:IPv4
¡ 源IPv4地址:200.1.1.0/24
¡ 目的IPv4地址:201.1.1.0/24
¡ 动作:允许
¡ 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
图11 配置安全策略
(1) 配置接口IP地址
根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
# 选择“网络 > 接口”,双击目标接口port25进入接口配置页面,配置如下。
¡ 选择角色为WAN。
¡ 配置IP/网络掩码为100.1.1.1/24。
¡ 其他配置项使用缺省值。
# 单击<确认>按钮,完成接口IP地址配置。
图12 配置接口IP地址
# 选择“网络 > 接口”,双击目标接口port26进入接口配置页面,配置如下。
¡ 选择角色为LAN。
¡ 配置IP/网络掩码为200.1.1.1/24。
¡ 其他配置项使用缺省值。
# 单击<确认>按钮,完成接口IP地址配置。
图13 配置接口IP地址
(2) 配置IPsec隧道
配置IPsec隧道相关配置,使与对端设备建立IPsec隧道,对需要的数据进行加密保护。
# 选择“VPN > IPsec隧道”,进入IPsec隧道页面。
# 单击<新建>按钮,选择“IPsec隧道”,进入新建IPsec隧道页面,并进行如下关键配置。
¡ 名称为IPsec。
¡ IP版本为IPv4。
¡ IP地址为100.1.1.2。
¡ 接口为port25。
¡ 认证方式为预共享密钥。
¡ IKE版本为v1,模式为主动模式。
¡ 阶段1提案的加密方式为AES128,认证方式为SHA256,DH组为1。
¡ 阶段2选择器(即需要IPsec加密的流量)为本地地址200.1.1.0/24,对端地址201.1.1.0/24。
¡ 阶段2提案的加密方式为AES128,认证方式为SHA1,DH组为1。
¡ 开启自动协商功能
¡ 其他配置项使用下图所示内容即可。
# 单击<确认>按钮,完成IPsec隧道的配置。
图14 配置IPsec隧道
(3) 配置安全策略
配置双向的安全策略允许内网主动访问外网和外网主动访问内网的流量通过,允许IPsec建立的相关协议报文通过,保证IPsec隧道建立成功。
# 选择“策略&对象 > 安全策略”,进入安全策略页面。
# 单击<新建>按钮,进入新建安全策略页面,并进行如下关键配置。
a. 配置入方向的安全策略
¡ 名称为ipsec_in。
¡ 策略模式为标准。
¡ 流入接口为IPsec和port25。
¡ 流出接口为port26。
¡ 动作为接受
¡ 其他配置项使用下图所示内容即可。
# 单击<确认>按钮,完成安全策略的配置。
图15 配置安全策略
b. 配置出方向的安全策略
¡ 名称为ipsec_out。
¡ 策略模式为标准。
¡ 流入接口为port26。
¡ 流出接口为IPsec和port25。
¡ 动作为接受
¡ 其他配置项使用下图所示内容即可。
# 单击<确认>按钮,完成安全策略的配置。
图16 配置安全策略
(4) 配置静态路由
配置路由信息使网络三层路由可达,本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面,并进行如下配置。
¡ 目标地址为子网类型,值为201.1.1.0/24。
¡ 接口为IPsec。
¡ 其他配置项使用缺省值。
# 单击<确认>按钮,完成静态路由的配置。
图17 配置静态路由
# 以上配置完成后,Device A和Device B之间如果有子网200.1.1.0/24与子网201.1.1.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网200.1.1.0/24与子网201.1.1.0/24之间数据流的传输将受到IPsec SA的保护。可通过以下显示查看到协商生成的IPsec SA。
# 在H3C防火墙上,选择“网络 > VPN > IPSec > 隧道信息”,可以看到当前建立的IPSec隧道,且状态为已连接。
图18 H3C防火墙IPsec隧道信息
# 在Fortinet防火墙上,选择“VPN > IPsec隧道”,在IPsec隧道页面,可以看到当前建立的IPSec隧道,且状态为已连接。
图19 Fortinet防火墙IPsec隧道信息
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 201.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/5
port link-mode route
ip address 100.1.1.2 255.255.255.0
ipsec apply policy IPsec
#
security-zone name Trust
import interface GigabitEthernet1/0/2
#
security-zone name Untrust
import interface GigabitEthernet1/0/5
#
ip route-static 200.1.1.0 24 100.1.1.1
#
acl advanced name IPsec_IPsec_IPv4_1
rule 0 permit ip source 201.1.1.0 0.0.0.255 destination 200.1.1.0 0.0.0.255
#
ipsec transform-set IPsec_IPv4_1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy IPsec 1 isakmp
transform-set IPsec_IPv4_1
security acl name IPsec_IPsec_IPv4_1
local-address 100.1.1.2
remote-address 100.1.1.1
ike-profile IPsec_IPv4_1
sa trigger-mode auto
#
ike profile IPsec_IPv4_1
keychain IPsec_IPv4_1
match remote identity address 100.1.1.1 255.255.255.255
match local address GigabitEthernet1/0/5
proposal 1
#
ike proposal 1
encryption-algorithm aes-cbc-128
authentication-algorithm sha256
#
ike keychain IPsec_IPv4_1
match local address GigabitEthernet1/0/5
pre-shared-key address 100.1.1.1 255.255.255.255 key cipher $c$3$A0MjJkqMon44zRAxZ7kxUBDGO1V4nGTcFw==
#
security-policy ip
rule 0 name IPsec_IPsec_1_20251025161737_OUT
action pass
source-zone Local
service ike
service nat-t-ipsec
service ipsec-ah
service ipsec-esp
rule 1 name IPsec_IPsec_1_20251025161737_IN
action pass
destination-zone Local
service ike
service nat-t-ipsec
service ipsec-ah
service ipsec-esp
rule name trust-untrust
source-zone trust
destination-zone untrust
source-address 201.1.1.0 mask 255.255.255.0
destination-address 200.1.1.0 mask 255.255.255.0
action permit
rule name untrust-trust
source-zone untrust
destination-zone trust
source-address 200.1.1.0 mask 255.255.255.0
destination-address 201.1.1.0 mask 255.255.255.0
action permit
#
return
config system interface
edit "IPsec"
set vdom "root"
set type tunnel
set snmp-index 106
set interface "port25"
next
end
config vpn ipsec phase1-interface
edit "IPsec"
set interface "port25"
set local-gw 100.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha256
set dhgrp 1
set nattraversal disable
set remote-gw 100.1.1.2
set psksecret ENC oKs5JONJvcrHhEH8ukhshxFeGqvEkqsMHLOFWa6Rv6bbpyg2ca1lxYv0XaZ405BsU0JtH4VRuPv10glh4q0B2BigrqJ8adyroF06xY4/E/nTXYf+DjI8EmpM2HQkHKEK5Sr6H3I25ZzJGSwxziS70Jfr+JeswEnUm82gi9CWevAx18illO4PuCrXzPwXmIWWVcubAA==
next
config vpn ipsec phase2-interface
edit "ipsec_lan"
set phase1name "IPsec"
set proposal aes128-sha1
set dhgrp 1
set auto-negotiate enable
set src-subnet 200.1.1.0 255.255.255.0
set dst-subnet 201.1.1.0 255.255.255.0
next
config firewall security-policy
edit 38
set uuid d16de86e-b175-51f0-8ee3-9a4952dd220d
set name "ipsec_in"
set srcintf "IPsec" "port25"
set dstintf "port26"
set srcaddr "all"
set dstaddr "all"
set enforce-default-app-port disable
set service "ALL"
set action accept
set schedule "always"
set profile-protocol-options "all"
next
edit 39
set uuid f49299f2-b175-51f0-9d81-8d24c8f4bb88
set name "ipsec_out"
set srcintf "port26"
set dstintf "IPsec" "port25"
set srcaddr "all"
set dstaddr "all"
set enforce-default-app-port disable
set service "ALL"
set action accept
set schedule "always"
set profile-protocol-options "all"
next
config router static
edit 10
set dst 201.1.1.0 255.255.255.0
set device "IPsec"
next
支持
