Web方式：IPsec基础组网典型配置

使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

组网需求

如图-1所示，在Device A和Device B之间建立一条IPsec隧道，对Host A所在的子网与Host B所在的子网之间的数据流进行安全保护。具体要求如下：

• 两端通过预共享密钥方式进行认证。

• IKE协商采用的加密算法为3DES-CBC，认证算法为SHA256。

• IPsec隧道的封装模式为隧道模式，安全协议为ESP。

图-1 使用IPsec保护子网之间的用户流量组网图

配置步骤

Device A的配置

1. 配置接口的IP地址

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/13右侧的<编辑>按钮，配置如下。

• 安全域：Untrust

• 选择“IPv4地址”页签，配置IP地址/掩码：220.0.0.100/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/12，配置如下。

• 安全域：Trust

• 选择“IPv4地址”页签，配置IP地址/掩码：192.100.0.1/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

• 目的IP地址：220.0.10.100

• 掩码长度：24

• 下一跳IP地址：220.0.0.2

• 其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

# 按照同样的步骤新建IPv4静态路由，配置如下。

• 目的IP地址：192.200.0.2

• 掩码长度：24

• 下一跳IP地址：220.0.0.2

• 其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3. 配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

• 名称：trust-untrust

• 源安全域：Trust

• 目的安全域：Untrust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：192.100.0.0/24

• 目的IPv4地址：192.200.0.0/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤新建安全策略，配置如下。

• 名称：untrust-trust

• 源安全域：Untrust

• 目的安全域：Trust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：192.200.0.0/24

• 目的IPv4地址：192.100.0.0/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤新建安全策略，配置如下。

• 名称：local-untrust

• 源安全域：Local

• 目的安全域：Untrust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：220.0.0.100

• 目的IPv4地址：220.0.10.100

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤新建安全策略，配置如下。

• 名称：untrust-local

• 源安全域：Untrust

• 目的安全域：Local

• 类型：IPv4

• 动作：允许

• 源IPv4地址：220.0.10.100

• 目的IPv4地址：220.0.0.100

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4. 新建IKE提议

# 选择“网络 > VPN > IPsec > IKE提议”，进入IKE提议页面。

# 单击<新建>按钮，进入新建IKE提议页面，进行如下操作：

• 设置优先级为1。

• 选择认证方式为预共享密钥。

• 设置认证算法为SHA256。

• 设置加密算法为3DES-CBC。

• 其它配置均使用缺省值。

• 单击<确定>按钮，完成新建IKE提议配置。

图-2 新建IKE提议

5. 配置IPSec策略

# 选择“网络 > VPN > IPsec > 策略”，进入IPsec策略配置页面。

# 单击<新建>按钮，进入新建IPsec策略页面。

• 在基本配置区域进行如下配置：

• 设置策略名称为policy1。

• 设置优先级为1。

• 选择设备角色为对等/分支节点。

• 选择IP地址类型为IPv4。

• 选择接口GE1/0/13。

• 设置本端地址为220.0.0.100。

• 设置对端IP地址/主机名为220.0.10.100。

图-3 基本配置

• 在IKE策略区域进行如下配置：

• 选择协商模式为主模式。

• 选择认证方式为预共享密钥。

• 输入预共享密钥，并通过再次输入进行确认。

• 选择IKE提议为1（预共享密钥；SHA256；3DES-CBC；DH group 1）。

• 设置本端ID为IPv4地址220.0.0.100。

• 设置对端ID为IPv4地址220.0.10.100。

• 在保护的数据流区域，单击<新建>按钮，进入新建保护的数据流页面，进行如下操作：

• 设置源IP地址为192.100.0.0/24。

• 设置目的IP地址为192.200.0.0/24。

• 单击<确定>按钮，完成配置。

图-4 新建保护的数据流

• 在触发模式选择区域，选择IPsec协商的触发模式为流量触发。

• 在高级配置区域进行如下配置：

• 选择IPsec封装模式为隧道模式。

• 选择IPsec安全协议为ESP。

• 其它配置均使用缺省值。

# 单击<确定>按钮，完成新建IPsec策略。

Device B的配置

1. 配置接口的IP地址

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE2/0/13右侧的<编辑>按钮，配置如下。

• 安全域：Untrust

• 选择“IPv4地址”页签，配置IP地址/掩码：220.0.10.100/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE2/0/12，配置如下。

• 安全域：Trust

• 选择“IPv4地址”页签，配置IP地址/掩码：192.200.0.2/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

• 目的IP地址：220.0.0.100

• 掩码长度：24

• 下一跳IP地址：220.0.10.2

• 其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

# 按照同样的步骤新建IPv4静态路由，配置如下。

• 目的IP地址：192.100.0.2

• 掩码长度：24

• 下一跳IP地址：220.0.10.2

• 其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3. 配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

• 名称：trust-untrust

• 源安全域：Trust

• 目的安全域：Untrust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：192.200.0.0/24

• 目的IPv4地址：192.100.0.0/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤新建安全策略，配置如下。

• 名称：untrust-trust

• 源安全域：Untrust

• 目的安全域：Trust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：192.100.0.0/24

• 目的IPv4地址：192.200.0.0/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤新建安全策略，配置如下。

• 名称：local-untrust

• 源安全域：Local

• 目的安全域：Untrust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：220.0.10.100

• 目的IPv4地址：220.0.0.100

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤新建安全策略，配置如下。

• 名称：untrust-local

• 源安全域：Untrust

• 目的安全域：Local

• 类型：IPv4

• 动作：允许

• 源IPv4地址：220.0.0.100

• 目的IPv4地址：220.0.10.100

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4. 新建IKE提议

# 选择“网络 > VPN > IPsec > IKE提议”，进入IKE提议页面。

# 单击<新建>按钮，进入新建IKE提议页面，进行如下操作：

• 设置优先级为1。

• 选择认证方式为预共享密钥。

• 设置认证算法为SHA256。

• 设置加密算法为3DES-CBC。

• 其它配置均使用缺省值。

• 单击<确定>按钮，完成新建IKE提议配置。

图-5 新建IKE提议

5. 配置IPSec策略

# 选择“网络 > VPN > IPSec > 策略”，进入IPSec策略配置页面。

# 单击<新建>按钮，进入新建IPsec策略页面。

• 在基本配置区域进行如下配置：

• 设置策略名称为policy1。

• 设置优先级为1。

• 选择设备角色为对等/分支节点。

• 选择IP地址类型为IPv4。

• 选择接口GE2/0/13。

• 设置本端地址为220.0.10.100。

• 设置对端IP地址/主机名为220.0.0.100。

图-6 基本配置

• 在IKE策略区域进行如下配置：

• 选择协商模式为主模式。

• 选择认证方式为预共享密钥。

• 输入预共享密钥，并通过再次输入进行确认。

• 选择IKE提议为1（预共享密钥；SHA256；3DES-CBC；DH group 1）。

• 设置本端ID为IPv4地址220.0.10.100。

• 设置对端ID为IPv4地址220.0.0.100。

图-7 IKE策略

• 在保护的数据流区域，单击<新建>按钮，进入新建保护的数据流页面，进行如下操作：

• 设置源IP地址为192.200.0.0/24。

• 设置目的IP地址为192.100.0.0/24。

• 单击<确定>按钮，完成配置。

图-8 新建保护的数据流

• 在触发模式选择区域，选择IPsec协商的触发模式为流量触发。

• 在高级配置区域进行如下配置：

• 选择IPsec封装模式为隧道模式。

• 选择IPsec安全协议为ESP。

• 其它配置均使用缺省值。

# 单击<确定>按钮，完成新建IPsec策略。

验证配置

1. Device A和Device B可以相互访问。

2. 在Device A上查看IPSec隧道信息如下。

# 选择“网络 > VPN > IPSec > 监控”，可以看到当前建立的IPSec隧道。点击隧道列表右侧的“详情”图标，可以看到详细的隧道信息，IPSec SA和统计信息。

图-9 Device A的IPsec隧道详细信息

3. 在Device B上查看IPSec隧道信息如下。

# 选择“网络 > VPN > IPSec > 监控”，可以看到当前建立的IPSec隧道。点击隧道列表右侧的“详情”图标，可以看到详细的隧道信息，IPSec SA和统计信息。

图-10 Device B的IPsec隧道详细信息