Timo,v5防火墙

1677597915,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区Timo Timo 零段 粉丝：0人 关注：0人

问题描述：

怎么使用v5防火墙 ike ipsec隧道建立

组网及组网描述：

6小时前提问

参考配置：

https://zhiliao.h3c.com/questions/dispcont/161422

6小时前回答

暂无

您好，请知：

以下是IPSEC VPN野蛮模式和主模式的配置案例链接，请参考：

https://zhiliao.h3c.com/theme/details/102865 

https://zhiliao.h3c.com/theme/details/102893

关于部署IPSEC VPN时，以下是部署要点，请参考：

1、确保两端的路由可达。

2、确保两端IPSEC VPN的模式一致。

3、确保两端IPSEC VPN的加密算法、认证算法、认证密钥的一致性。

4、确保两端已正确的指向到了对端。

5、确保感兴趣数据流均正确配置了源和目的。

 

6小时前回答

暂无

# 配置一个访问控制列表3000，定义由子网192.168.1.0/24去子网172.16.1.0/24的数据流。

<H3C>system-view   //进入系统视图

[H3C]acl number 3000   //创建ACL 3000

[H3C-acl-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0

0.0.0.255   //创建规则允许源地址为192.168.1.0/24，目的地址为172.16.1.0/24

[H3C-acl-adv-3000]quit   //退出当前视图

#配置公网口NAT要关联的ACl3001，作用是把IPSec感兴趣流从NAT转换的数据流deny掉，防止 IPSec数据流被NAT优先转换

[H3C]acl number 3001   //创建acl 3001

[H3C-acl-adv-3001]rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0

0.0.0.255   //创建规则拒绝源地址为192.168.1.0/24，目的地址为172.16.0.0/24

[H3C-acl-adv-3001]rule 1 permit ip   //创建规则允许所有

[H3C-acl-adv-3001]quit   //退出当前视图

#配置本端安全网关的名字

[H3C]ike local-name v5   //配置本端安全网关的名字为v5

# 创建一条IKE提议1，指定IKE提议使用的认证算法为MD5，加密算法为3des-cbc

[H3C]ike proposal 1   //创建IKE提议1，并进入IKE提议视图

[H3C-ike-proposal-1]authentication-algorithm md5   //指定IKE提议1的认证算法为md5

[H3C-ike-proposal-1]encryption-algorithm 3des-cbc   //指定IKE提议1的加密算法为3des-cbc

[H3C-ike-proposal-1]quit   //退出当前视图

# 配置IPSec安全提议v5，配置ESP协议采用的加密算法为3des，采用的认证算法md5

[H3C]ipsec transform-set v5   //创建IPsec安全提议v5，并进入IPsec安全提议视图

[H3C-ipsec-transform-set-v5]encapsulation-mode tunnel   //配置安全协议对报文的封装模式为隧道模式

[H3C-ipsec-transform-set-v5]transform esp   //采用ESP协议  

[H3C-ipsec-transform-set-v5]esp encryption-algorithm 3des   //指定加密算法为3des-cbc

[H3C-ipsec-transform-set-v5]esp authentication-algorithm md5   // 指定ESP协议采用MD5认证算法  

[H3C-ipsec-transform-set-v5]quit   //退出当前视图

# 创建IKE对等体v5，配置IKE第一阶段的协商模式为野蛮模式，预共享密钥为123456，引用之前创建的IKE安全提议1，选择IKE第一阶段的协商过程中使用ID的类型为name，配置对端地址为对端公网接口地址2.2.2.2，配置对端安全网关的名字为v7，配置本端安全网关的名字为v5

[H3C]ike peer v5   //用来创建一个IKE对等体v5，并进入IKE-Peer视图

[H3C-ike-peer-v5]exchange-mode aggressive   //配置IKE第一阶段协商使用野蛮模式

[H3C-ike-peer-v5]pre-shared-key 123456   //配置IKE协商采用预共享密钥认证时，所使用的预共享密钥为123456     

[H3C-ike-peer-v5]proposal 1   //对等体v5引用序号为1的IKE安全提议                    

[H3C-ike-peer-v5]id-type name   //配置使用名字作为IKE协商过程中使用的ID

[H3C-ike-peer-v5]remote-address 2.2.2.2   //配置IPsec对端安全网关的IP地址为2.2.2.2

[H3C-ike-peer-v5]remote-name v7   //配置对端安全网关的名字为v7             

[H3C-ike-peer-v5]local-name v5   //配置本端安全网关的名字为v5

[H3C-ike-peer-v5]quit   //退出当前视图

# 创建一条IPSec安全策略v5，协商方式为isakmp。引用之前创建的感兴趣数据流ACL3000，引用之前创建的对等体v5，引用之前的IPSec安全提议v5

[H3C]ipsec policy v5 1 isakmp   //创建模板v5,序号为1的策略  

[H3C-ipsec-policy-isakmp-v5-1]security acl 3000   //配置IPsec安全策略引用的访问控制列表为acl 3000

[H3C-ipsec-policy-isakmp-v5-1]ike-peer v5   //调用对等体v5

[H3C-ipsec-policy-isakmp-v5-1]transform-set v5   //调用IPSEC安全提议v5

[H3C-ipsec-policy-isakmp-v5-1]quit   //退出当前视图

#设置外网口（在本例中假设拨号口为Dialer 10）做NAT转换的时候关联ACL 3001 （如果之前已经在外网口配置了 nat outbound，需要先undo掉），并将IPSec安全策略v5应用在外网接口，

[H3C]interface Dialer 10   //进入接口Dialer10

[H3C-Dialer10]undo nat outbound   //接口下取消源地址转化 

[H3C-Dialer10]nat outbound 3001   //配置出方向动态地址转换,针对acl 3001不做地址转换

[H3C-Dialer10]ipsec policy v5   //在dia 10 口下应用指定的IPsec安全策略组v5

[H3C-Dialer10]quit   //退出当前视图

6小时前回答

暂无

你正在,v5防火墙