前言
IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。 由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。
而在我们工作中经常会遇到因历史网络建设造成不同品牌厂商对接的问题,接下来几期文章,以华为防火墙和思科防火墙对接为例,介绍其配置方法。
01
组网需求
如图1所示,分支的Cisco防火墙位于企业网络内部,网络出口部署有NAT设备。现分支Cisco防火墙需要穿越NAT设备与总部的华为防火墙建立IPSec隧道,实现分支和总部内网安全互通。
图 1 NAT穿越场景下建立IPSec隧道
02
数据规划
03
配置思路
3.1 配置华为防火墙_A:
-
配置接口IP地址,并将接口加入安全区域;
-
配置华为防火墙_A到Internet的缺省路由;
-
配置域间安全策略,允许IKE协商报文、IPSec封装前和解封装后的原始报文能通过华为防火墙_A;
-
配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置IKE对等体、配置IPSec NAT穿越;
-
在接口上应用IPSec策略。
3.2 配置华为防火墙_B:
-
配置接口IP地址,并将接口加入安全区域;
-
配置untrust和trust之间的安全策略,允许NAT转换后的报文通过华为防火墙_B;
-
配置源NAT;
-
配置到总部、分支的路由。
3.3 配置Cisco防火墙:
-
配置接口的IP地址,打开接口的访问控制;
-
配置Cisco防火墙到Internet的缺省路由;
-
配置IPSec策略,包括定义需要保护的数据流、配置IPSec安全提议、创建IKE安全提议、配置预共享密钥;
-
配置IPSec NAT穿越;
-
在接口上应用IPSec策略;
-
在接口上启用IPSec策略。
3.4 配置注意事项:
-
华为防火墙设备必须配置remote-address authentication-address认证参数为对端NAT转换前的地址,否则隧道建立过程中会有告警IPSEC/4/IPSECNEGOFAIL,reasoncode=3表示身份认证失败。
-
NAT穿越场景下,隧道双方必须都开启NAT穿越功能,否则隧道无法建立。
04
操作步骤
【1】配置华为防火墙_A。
A、配置接口IP地址,并将接口加入安全区域。
[HUAWEI_A] interface GigabitEthernet 1/0/1
[HUAWEI_A-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[HUAWEI_A-GigabitEthernet1/0/1] ip service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/
[HUAWEI_A-GigabitEthernet1/0/1] quit
[HUAWEI_A] interface GigabitEthernet 1/0/2
[HUAWEI_A-GigabitEthernet1/0/2] ip address 1.1.3.1 24
[HUAWEI_A-GigabitEthernet1/0/2] service-manage ping permit /*允许Cisco防火墙设备Ping此接口。*/
[HUAWEI_A-GigabitEthernet1/0/2] quit
[HUAWEI_A] firewall zone trust
[HUAWEI_A-zone-trust] add interface GigabitEthernet 1/0/1
[HUAWEI_A-zone-trust] quit
[HUAWEI_A] firewall zone untrust
[HUAWEI_A-zone-untrust] add interface GigabitEthernet 1/0/2
[HUAWEI_A-zone-untrust] quit
B、配置到华为防火墙_A连接到Internet的缺省路由,假设下一跳为1.1.3.2。
[HUAWEI_A] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
C、配置域间安全策略。
配置Trust域与Untrust域的安全策略,允许IPSec封装前和解封装后的原始报文能通过华为防火墙_A。
[HUAWEI_A] security-policy
[HUAWEI_A-policy-security] rule name 1
[HUAWEI_A-policy-security-rule-1] source-zone untrust
[HUAWEI_A-policy-security-rule-1] destination-zone trust
[HUAWEI_A-policy-security-rule-1] source-address 10.1.3.0 24
[HUAWEI_A-policy-security-rule-1] destination-address 10.1.1.0 24
[HUAWEI_A-policy-security-rule-1] action permit
[HUAWEI_A-policy-security-rule-1] quit
[HUAWEI_A-policy-security] rule name 2
[HUAWEI_A-policy-security-rule-2] source-zone trust
[HUAWEI_A-policy-security-rule-2] destination-zone untrust
[HUAWEI_A-policy-security-rule-2] source-address 10.1.1.0 24
[HUAWEI_A-policy-security-rule-2] destination-address 10.1.3.0 24
[HUAWEI_A-policy-security-rule-2] action permit
[HUAWEI_A-policy-security-rule-2] quit
配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过华为防火墙_A。
[HUAWEI_A-policy-security] rule name 3
[HUAWEI_A-policy-security-rule-3] source-zone local
[HUAWEI_A-policy-security-rule-3] destination-zone untrust
[HUAWEI_A-policy-security-rule-3] source-address 1.1.3.1 32
[HUAWEI_A-policy-security-rule-3] destination-address 1.1.5.1 32
[HUAWEI_A-policy-security-rule-3] action permit
[HUAWEI_A-policy-security-rule-3] quit
[HUAWEI_A-policy-security] rule name 4
[HUAWEI_A-policy-security-rule-4] source-zone untrust
[HUAWEI_A-policy-security-rule-4] destination-zone local
[HUAWEI_A-policy-security-rule-4] source-address 1.1.5.1 32
[HUAWEI_A-policy-security-rule-4] destination-address 1.1.3.1 32
[HUAWEI_A-policy-security-rule-4] action permit
[HUAWEI_A-policy-security-rule-4] quit
D、配置IPSec策略。
配置访问控制列表,定义需要保护的数据流。
[HUAWEI_A]acl 3000
[HUAWEI_A-acl-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
[HUAWEI_A-acl-adv-3000]quit
配置IPSec安全提议。
[HUAWEI_A] ipsec proposal tran1
[HUAWEI_A-ipsec-proposal-tran1] transform esp
[HUAWEI_A-ipsec-proposal-tran1] encapsulation-mode tunnel
[HUAWEI_A-ipsec-proposal-tran1] esp authentication-algorithm sha1
[HUAWEI_A-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[HUAWEI_A-ipsec-proposal-tran1] quit
创建IKE安全提议。
[HUAWEI_A] ike proposal 1
[HUAWEI_A-ike-proposal-1] encryption-algorithm aes-128
[HUAWEI_A-ike-proposal-1] authentication-algorithm sha1
[HUAWEI_A-ike-proposal-1] dh group2
[HUAWEI_A-ike-proposal-1] quit
配置IKE对等体。
[HUAWEI_A] ike peer asa
[HUAWEI_A-ike-peer-asa] undo version 2
[HUAWEI_A-ike-peer-asa] exchange-mode main
[HUAWEI_A-ike-peer-asa] ike-proposal 1
[HUAWEI_A-ike-peer-asa] pre-shared-key Key123
[HUAWEI_A-ike-peer-asa] remote-address 1.1.5.1
[HUAWEI_A-ike-peer-asa] remote-address authentication-address 172.16.1.2
[HUAWEI_A-ike-peer-asa] nat traversal
[HUAWEI_A-ike-peer-asa] quit
配置IPSec策略。
[HUAWEI_A] ipsec policy map1 1 isakmp
[HUAWEI_A-ipsec-policy-isakmp-map1-1] ike-peer asa
[HUAWEI_A-ipsec-policy-isakmp-map1-1] proposal tran1
[HUAWEI_A-ipsec-policy-isakmp-map1-1] security acl 3000
[HUAWEI_A-ipsec-policy-isakmp-map1-1] quit
在接口GigabitEthernet 1/0/2上应用IPSec策略。
[HUAWEI_A] interface GigabitEthernet 1/0/2
[HUAWEI_A-GigabitEthernet1/0/2] ipsec policy map1
[HUAWEI_A-GigabitEthernet1/0/2] quit
【2】配置华为防火墙_B(NAT设备)。
A、配置接口,并将接口加入到安全区域。
[HUAWEI_B] interface GigabitEthernet 0/0/1
[HUAWEI_B-GigabitEthernet0/0/1] ip address 1.1.5.1 255.255.255.0
[HUAWEI_B-GigabitEthernet0/0/1] ip service-manage ping permit
[HUAWEI_B-GigabitEthernet0/0/1] quit
[HUAWEI_B] firewall zone untrust
[HUAWEI_B-zone-untrust] add interface GigabitEthernet 0/0/1
[HUAWEI_B-zone-untrust] quit
[HUAWEI_B] interface GigabitEthernet 0/0/2
[HUAWEI_B-GigabitEthernet0/0/2] ip address 172.16.1.1 255.255.255.0
[HUAWEI_B-GigabitEthernet0/0/2] ip service-manage ping permit
[HUAWEI_B-GigabitEthernet0/0/2] quit
[HUAWEI_B] firewall zone trust
[HUAWEI_B-zone-trust] add interface GigabitEthernet 0/0/2
[HUAWEI_B-zone-trust] quit
B、配置untrust和trust之间的安全策略。
[HUAWEI_B] security-policy
[HUAWEI_B-policy-security] rule name 1
[HUAWEI_B-policy-security-rule-1] source-zone untrust
[HUAWEI_B-policy-security-rule-1] destination-zone trust
[HUAWEI_B-policy-security-rule-1] source-address 1.1.3.0 24
[HUAWEI_B-policy-security-rule-1] destination-address 172.16.1.0 24
[HUAWEI_B-policy-security-rule-1] action permit
[HUAWEI_B-policy-security-rule-1] quit
[HUAWEI_B-policy-security] rule name 2
[HUAWEI_B-policy-security-rule-2] source-zone trust
[HUAWEI_B-policy-security-rule-2] destination-zone untrust
[HUAWEI_B-policy-security-rule-2] source-address 172.16.1.0 24
[HUAWEI_B-policy-security-rule-2] destination-address 1.1.3.0 24
[HUAWEI_B-policy-security-rule-2] action permit
[HUAWEI_B-policy-security-rule-2] quit
C、配置源NAT。
[HUAWEI_B] nat-policy
[HUAWEI_B-policy-nat] rule name policy_nat1
[HUAWEI_B-policy-nat-rule-policy_nat1] source-zone trust
[HUAWEI_B-policy-nat-rule-policy_nat1] destination-zone untrust
[HUAWEI_B-policy-nat-rule-policy_nat1] source-address 172.16.1.0 24
[HUAWEI_B-policy-nat-rule-policy_nat1] action nat easy-ip
[HUAWEI_B-policy-nat-rule-policy_nat1] quit
[HUAWEI_B-policy-nat] quit
D、配置到总部、分支的路由。
[HUAWEI_B] ip route-static 10.1.3.0 255.255.255.0 172.16.1.2
[HUAWEI_B] ip route-static 10.1.1.0 255.255.255.0 1.1.5.2
【3】配置Cisco防火墙。
A、配置Cisco防火墙接口的IP地址。
ASA5520> en
ASA5520
ASA5520(config)
ASA5520(config-if)
ASA5520(config-if)
ASA5520(config-if)
ASA5520(config-if)
ASA5520(config)
ASA5520(config-if)
ASA5520(config-if)
ASA5520(config-if)
ASA5520(config-if)
B、打开Cisco防火墙接口的访问控制。
ASA5520(config)
ASA5520(config)
ASA5520(config)
ASA5520(config)
ASA5520(config)
C、配置Cisco防火墙到Internet的缺省路由,假设下一跳地址为172.16.1.1。
ASA5520(config)
D、配置IPSec。
配置ACL(访问控制列表),定义需要保护的数据流。
这里需要注意,Cisco防火墙的ACL用的是掩码,而华为防火墙用的是反掩码,两者存在不同。
ASA5520(config)
配置IPSec安全提议。
ASA5520(config)
创建IKE安全提议。
ASA5520(config-isakmp-policy)
ASA5520(config-isakmp-policy)
ASA5520(config-isakmp-policy)
ASA5520(config-isakmp-policy)
ASA5520(config-isakmp-policy)
ASA5520(config-isakmp-policy)
配置预共享密钥。
ASA5520(config)
配置IPSec策略。
在IPSec策略中引用前面配置的ACL、IPSec安全提议。
ASA5520(config)
ASA5520(config)
ASA5520(config)
配置IPSec NAT穿越。
ASA5520(config)
在接口上应用IPSec策略。
ASA5520(config)
在接口上启用IPSec策略。
ASA5520(config)
05
结果验证
【1】配置完成后,使用分支下的用户Ping总部下的用户。
【2】正常情况下,分支访问总部的数据流将会触发华为防火墙与Cisco防火墙之间建立IPSec隧道。此时在华为防火墙上查看IKE SA的建立情况,可以看到IKE SA已经建立成功。
<HUAWEI_A> display ike sa
current ike sa number: 2
--------------------------------------------------------------------------------
------------------
conn-id peer flag phase vpn
--------------------------------------------------------------------------------
------------------
179 1.1.5.1 RD|A v1:2 public
178 1.1.5.1 RD|A v1:1 public
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY
A--ALONE
【3】使用display ipsec sa命令查看IPSec的建立情况,可以看到IPSec SA也已建立成功。
<HUAWEI_A> display ipsec sa
===============================
Interface: GigabitEthernet1/0/2
path MTU: 1500
===============================
-----------------------------
IPSec policy name: "map1"
sequence number: 1
mode: isakmp
vpn: public
-----------------------------
connection id: 11
rule number: 5
encapsulation mode: tunnel
holding time: 0d 0h 0m 13s
tunnel local : 1.1.3.1 tunnel remote: 1.1.5.1
flow source: 10.1.1.0/255.255.255.0 0/0
flow destination: 10.1.3.0/255.255.255.0 0/0
[inbound ESP SAs]
spi: 4047945233 (0xf146be11)
vpn: public said: 4 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
sa remaining key duration (kilobytes/sec): 4608000/3587
max received sequence-number: 4
udp encapsulation used for nat traversal: Y
[outbound ESP SAs]
spi: 2917106907 (0xaddf84db)
vpn: public said: 5 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
sa remaining key duration (kilobytes/sec): 4608000/3587
max sent sequence-number: 5
udp encapsulation used for nat traversal: Y
如有侵权,请联系删除
原文始发于微信公众号(系统安全运维):华为防火墙与Cisco防火墙在NAT穿越场景下建立IPSec隧道(详解!)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论