华为防火墙之间创建IPSec的方法（参考版）

[sikma]

模拟运营商创建路由器

模拟运营商的两个路由地址，一个去往公司防火墙，一个去往机房

<Huawei>sys
[Huawei]sys Router
[Router]int eth 0/0/0
[Router-Ethernet0/0/0]ip address 155.1.121.1 255.255.255.0
[Router-Ethernet0/0/0]q
[Router]int eth 0/0/1
[Router-Ethernet0/0/1]ip address 155.1.131.1 255.255.255.0
[Router-Ethernet0/0/1]q
[Router]q
[Router] int loopback0
[Router-LoopBack0]ip add 150.1.1.1 32
[Router-LoopBack0]qu
[Router]q
<Router>save

配置公司防火墙基本信息(防火墙型号USG6000V)

登陆后要求先修改密码，默认用户名admin 密码Admin@123，密码有复杂度要求

重点提示：防火墙需要将本网段的出口设置为trust，否则PC无法接通

#进入系统视图
<USG6000V1>sys
#修改设备名称以便于识别
[USG6000V1]sys FW-1
#进入防火墙的非安全域
[FW-1]firewall zone untrust
#把1/0/0的网口设置为连接外网的非安全域
[FW-1-zone-untrust]add int gig 1/0/0
[FW-1-zone-untrust]q
#进入防火墙的安全域
[FW-1]firewall zone trust
#把1/0/1的网口设置为连接局域网的安全域
[FW-1-zone-trust]add int gig 1/0/1
[FW-1-zone-trust]q
#配置1/0/1的局域网IP地址
[FW-1]int gig 1/0/1
[FW-1-GigabitEthernet1/0/1]ip add 10.1.12.12 24
[FW-1-GigabitEthernet1/0/1]q
#配置1/0/0的公网IP
[FW-1]int gig 1/0/0
[FW-1-GigabitEthernet1/0/0]ip add 155.1.121.12 24
[FW-1-GigabitEthernet1/0/0]q
#创建一条防火墙规则
[FW-1]security-policy
#规则名称是Local->ANY(可以随便起，主要是方便识别)
[FW-1-security-policy]rule name LOCAL->ANY
#源地址域是本网段
[FW-1-security-policy-rule-LOCAL->ANY]source-zone local
#动作  放行
[FW-1-security-policy-rule-LOCAL->ANY]act permit
[FW-1-security-policy-rule-LOCAL->ANY]q
[FW-1-security-policy]q
#出口路由指向公网
[FW-1]ip route-static 0.0.0.0 0 155.1.121.1

配置机房防火墙基本信息(防火墙型号USG6000V)

登陆后要求先修改密码，默认用户名admin 密码Admin@123，密码有复杂度要求

#进入系统视图
[USG6000V1]sys 
#修改设备名称以便于识别
[USG6000V1]sys FW-2
#进入防火墙的非安全域
[FW-2]firewall zone untrust 
#把1/0/0的网口设置为连接外网的非安全域
[FW-2-zone-untrust]add int gig 1/0/0
[FW-2-zone-untrust]q
#进入防火墙的安全域
[FW-2]firewall zone trust
#把1/0/1的网口设置为连接局域网的安全域
[FW-2-zone-trust]add int gig 1/0/1
[FW-2-zone-trust]q
#配置1/0/0的公网IP
[FW-2]int gig 1/0/0
[FW-2-GigabitEthernet1/0/0]ip addr 155.1.131.13 24
[FW-2-GigabitEthernet1/0/0]q
#配置1/0/1的局域网IP地址
[FW-2]int gig 1/0/1
[FW-2-GigabitEthernet1/0/1]ip addr 10.1.13.13 24
[FW-2-GigabitEthernet1/0/1]q
#出口路由指向公网
[FW-2]ip route-static 0.0.0.0 0 155.1.131.1

配置公司防火墙的IPSec

DH不同组的不同加密强度

DH Group 1：使用768位素数p，提供大约80位的安全强度。
DH Group 2：使用1024位素数p，提供大约100位的安全强度。
DH Group 5：使用1536位素数p，提供大约120位的安全强度。
DH Group 14：使用2048位素数p，提供大约112位的安全强度。
DH Group 15：使用3072位素数p，提供大约128位的安全强度。
DH Group 16：使用4096位素数p，提供大约150位的安全强度。
DH Group 19：使用256位素数p，提供大约128位的安全强度。
DH Group 20：使用384位素数p，提供大约192位的安全强度。
DH Group 21：使用521位素数p，提供大约256位的安全强度。

简写与词汇：

IKE：Internet Key Exchange 简称IKE或IKEv2，是一种网上协议，归属于IPsec协议族之下，用以创建安全联结（Security association 即 SA）。它创建在奥克利协议（Oakley protocol）与ISAKMP协议的基础之上，使用X.509安全认证

Diffie-Hellman key exchange 迪菲-赫尔曼密钥交换，缩写为DH，一种加密协议，由美国密码学家惠特菲尔德.迪菲和马丁.赫尔曼的合作下发明的，使用公钥和私钥两个不同的秘钥进行加密和解密，发表于1976年。

encryption-algorithm：中文加密算法的意思，encryption [ɛnˈkrɪpʃən] 加密 algorithm [ˈælɡərɪðəm] 算法

ISAKMP：Internet Security Association Key Management Protocol，Internet安全关联密钥管理协议

#创建一个IPSec的提议，标号为10
[FW-1]ike proposal  10
[FW-1-ike-proposal-10]
#设置类型为预共享密钥
[FW-1-ike-proposal-10]authentication-method pre-share
#设置密钥交换为Group2组（参考上面的安全强度）
[FW-1-ike-proposal-10]dh group2
#配置加密算法为3des
[FW-1-ike-proposal-10]encryption-algorithm 3des
#加密验证方式为sha1
[FW-1-ike-proposal-10]authentication-algorithm sha1
[FW-1-ike-proposal-10]q
#设置对等信息（IPSec即对端信息，FW-2属于对等名称，可随意起，为了增强辨识度）
[FW-1]ike peer FW-2
#关联之前的ike提议
[FW-1-ike-peer-FW-2]ike-proposal 10
#指定对端主机信息
[FW-1-ike-peer-FW-2]remote-address 155.1.131.13
#配置预共享密钥（密码HUAWEI可以设置为其他）
[FW-1-ike-peer-FW-2]pre-shared-key HUAWEI
[FW-1-ike-peer-FW-2]q
#设置IPSec的提议用来保护数据
[FW-1]ipsec proposal LAN_SET
#封装模式定义为“隧道模式”，即tunnel
[FW-1-ipsec-proposal-LAN_SET]encapsulation-mode  tunnel
#通道加密模式为3des
[FW-1-ipsec-proposal-LAN_SET]esp encryption-algorithm 3des
#通道验证方式为sha1
[FW-1-ipsec-proposal-LAN_SET]esp authentication-algorithm sha1
#设置访问控制列表
[FW-1]acl 3000
#指定需要保护的流量，这里是从公司电脑10.1.0.0到机房电脑10.1.0.0的所有流量
[FW-1-acl-adv-3000]rule permit ip source 10.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#配置IPSec的策略
[FW-1]ipsec policy LAN_MAP 10 isakmp
#关联对端信息
[FW-1-ipsec-policy-isakmp-LAN_MAP-10]ike-peer FW-2
#把此策略加入ACL3000的列表
[FW-1-ipsec-policy-isakmp-LAN_MAP-10]security acl 3000
#把此策略加入数据保护
[FW-1-ipsec-policy-isakmp-LAN_MAP-10]proposal LAN_SET
[FW-1-ipsec-policy-isakmp-LAN_MAP-10]q
#把IPSec的总策略应用到1/0/0这个接口
[FW-1]int gig 1/0/0
[FW-1-GigabitEthernet1/0/0]ipsec poli	
[FW-1-GigabitEthernet1/0/0]ipsec policy LAN_MAP
[FW-1-GigabitEthernet1/0/0]q
[FW-1]

配置机房防火墙的IPSec

#创建一个IPSec的提议，标号为10
[FW-2]ike proposal  10
[FW-2-ike-proposal-10]
#设置类型为预共享密钥
[FW-2-ike-proposal-10]authentication-method pre-share
#设置密钥交换为Group2组（参考上面的安全强度）
[FW-2-ike-proposal-10]dh group2
#配置加密算法为3des
[FW-2-ike-proposal-10]encryption-algorithm 3des
#加密验证方式为sha1
[FW-2-ike-proposal-10]authentication-algorithm sha1
[FW-2-ike-proposal-10]q
#设置对等信息（IPSec即对端信息，FW-2属于对等名称，可随意起，为了增强辨识度）
[FW-2]ike peer FW-1
#关联之前的ike提议
[FW-2-ike-peer-FW-1]ike-proposal 10
#指定对端主机信息
[FW-2-ike-peer-FW-1]remote-address 155.1.121.13
#配置预共享密钥（密码HUAWEI可以设置为其他）
[FW-2-ike-peer-FW-1]pre-shared-key HUAWEI
[FW-2-ike-peer-FW-1]q
#设置IPSec的提议用来保护数据
[FW-2]ipsec proposal LAN_SET
#封装模式定义为“隧道模式”，即tunnel
[FW-2-ipsec-proposal-LAN_SET]encapsulation-mode  tunnel
#通道加密模式为3des
[FW-2-ipsec-proposal-LAN_SET]esp encryption-algorithm 3des
#通道验证方式为sha1
[FW-2-ipsec-proposal-LAN_SET]esp authentication-algorithm sha1
#设置访问控制列表
[FW-2]acl 3000
#指定需要保护的流量，这里是从公司电脑10.1.0.0到机房电脑10.1.0.0的所有流量
[FW-2-acl-adv-3000]rule permit ip source 10.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#配置IPSec的策略
[FW-2]ipsec policy LAN_MAP 10 isakmp
#关联对端信息
[FW-2-ipsec-policy-isakmp-LAN_MAP-10]ike-peer FW-1
#把此策略加入ACL3000的列表
[FW-2-ipsec-policy-isakmp-LAN_MAP-10]security acl 3000
#把此策略加入数据保护
[FW-2-ipsec-policy-isakmp-LAN_MAP-10]proposal LAN_SET
[FW-2-ipsec-policy-isakmp-LAN_MAP-10]q
#把IPSec的总策略应用到1/0/0这个接口
[FW-2]int gig 1/0/0
[FW-2-GigabitEthernet1/0/0]ipsec poli	
[FW-2-GigabitEthernet1/0/0]ipsec policy LAN_MAP
[FW-2-GigabitEthernet1/0/0]q
[FW-2]

配置防火墙数据互通策略

#进入安全配置
[FW-1]security-policy 
#配置一个名为IN->OUT的规则策略即从局域网到公网的策略
[FW-1-policy-security]rule name IN->OUT
#原始域（局域网）设置为安全域
[FW-1-policy-security-rule-IN->OUT]source-zone trust
#目的域（公网）设置为非安全域
[FW-1-policy-security-rule-IN->OUT]destination-zone untrust
#源地址为本端10.1.0.0 掩码16位
[FW-1-policy-security-rule-IN->OUT]source-address 10.1.0.0 16
#目的址为对端10.1.0.0 掩码16位
[FW-1-policy-security-rule-IN->OUT]destination-address 10.1.0.0 16
#动作设置为放行
[FW-1-policy-security-rule-IN->OUT]act permit
[FW-1-policy-security-rule-IN->OUT]q
#以上设置的是从本地向对端发起的数据，下面开始写由对端向本地发起的数据
[FW-1-policy-security]

#配置一个名为OUT->IN的规则策略即从公网到局域网的策略
[FW-1-policy-security]rule name OUT->IN
#原始域（公网）设置为非安全域
[FW-1-policy-security-rule-OUT->IN]source-zone untrust
#目的域（局域网）设置为安全域
[FW-1-policy-security-rule-OUT->IN]destination-zone trust 
#源地址为对端10.1.0.0 掩码16位
[FW-1-policy-security-rule-OUT->IN]source-address 10.1.0.0 16
#目的址为本端10.1.0.0 掩码16位
[FW-1-policy-security-rule-OUT->IN]destination-address 10.1.0.0 16
#动作设置为放行
[FW-1-policy-security-rule-OUT->IN]act permit

配置vpn协商配置

#从外部到本地防火墙
[FW-1-policy-security]rule name OUT->LOCAL
#原始域为untrust
[FW-1-policy-security-rule-OUT->LOCAL]source-zone untrust
#目的域为防火墙
[FW-1-policy-security-rule-OUT->LOCAL]destination-zone local
#目的端口500
[FW-1-policy-security-rule-OUT->LOCAL]service protocol udp destination-port 500
#esp流量
[FW-1-policy-security-rule-OUT->LOCAL]service protocol 50
#以上流量放行
[FW-1-policy-security-rule-OUT->LOCAL]act per	
[FW-1-policy-security-rule-OUT->LOCAL]act permit 
[FW-1-policy-security-rule-OUT->LOCAL]q