SecPath系列防火墙IPSECVPN配置指导

1特性介绍

IPsec（IPsecurity）协议族是IETF制定的一系列协议，它为IP数据报供

给了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层

通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、

真实性和防重放。

IPsec作为一种重要的安全技术得到越来越广泛的应用，但是客户网络边缘

大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前，NAT和IPsec

之间存在的不兼容性问题主要可以分为以下三类：

地址和端口不匹配的问题

■IP

不能验证报文的问题

■IPsecNAT

超时影响的问题

■NATIPsec

针对此问题，我司在IKE野蛮模式的根底上实现NAT穿越，很好地解决了此

问题。

为了使TKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特

别状况一一即局端设备的IP地址为固定安排的，用户端设备的IP地址为动态猎

取的状况，在IKE阶段的协商模式中增加了IKE野蛮模式，它可以选择依据协商

发起端的IP地址或者ID来查找对应的身份验证字，并最终完成协商。IKE野蛮

模式相对于主模式来说更加敏捷，能够支持协商发起端为动态IP地址的状况。

在IPsec/TKE组建的VPN隧道中，假设存在NAT网关设备，且NAT网关设备

对VPN业务数据流进展了NAT转换的话，则必需配置IPsec/IKE的NAT穿越功能。

该功能删去了IKE协商过程中对UDP端口号的验证过程，同时实现了对VPN隧道

中NAT网关设备的觉察功能，即假设觉察NAT网关设备，则将在之后的IPsec

数据传输中使用UDP封装（马上IPsec报文封装到IKE协商所使用的UDP连接隧

道里）的方法，避开了NAT网关对IPsec报文进展篡改（NAT网关设备将只能够

修改最外层的1P和UDP报文头，对UDP报文封装的IPsec报文将不作修改），

从而保证了IPsec报文的完整性（IPsec数据加密解密验证过程中要求报文原封

不动地被传送到接收端）。目前仅在IKE野蛮模式下支持NAT穿越，主模式下不

支持。

2特性的优点

该特性适合IPsec隧道中间存在NAT设备的组网状况。同时，由于使用了IKE

野蛮模式，同样也适用于TP地址不固定的远程访问用户与总部之间建立IPsec

隧道的状况。

3使用指南

3.1使用场合

1)IPsec隧道中间存在NAT设备的组网状况

2)适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的状况。

3.2配置步骤

配置野蛮模式下IPsec穿越NAT,需要以下步骤：

配置访问掌握列表

配置IKE对等体

定义安全提议

创立安全策略

■

在接口上应用安全策略

■

1.配置访问掌握列表

IPsec使用高级访问掌握列表来推断哪些报文需要受到保护，哪些则不需要，

用于TPsec的扩展访问掌握列表可称为加密访问掌握列表。在本地和远端安全网关

上定义的加密访问掌握列表应当是相对应的(即互为镜像)，这样在某一端加密

的数据才能在对端上被解密。否则，会造成一端不能解密另一端发来的数据。

步骤操作说明操作命令

在系统视图下，创

[H3C]aclnumberacl-number[match-order

1建一个高级访府控

{configauto}]

制列表

[H3C-ac1-adv-3000]rule[rule-id]{permit

deny}protocol[source{sour-addr

sour-wildcardany}][destination{dest-addr

dest-wildcardany}]：source-portoperator

在高级访问掌握列

portl[port2]][destination-portoperator

表视图卜，配置ACL

2Dort1[port2]][icmp-type{icmp-type

规章

icmp-codeicmp-message}][precedence

precedence][dscpdscp][established][tos

tos][time-rangetime-name][logging]

[fragment]

2.配置IKE对等体

在实施IPsec的过程中，可以使用Internet密钥交换IKE(InternetKey

Exchange)协议来建立安全联盟，该协议建立在由Internet安全联盟和密钥治

理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)

定义的框架上。IKE为IPscc供给了自动协商交换密钥、建立安全联盟的效劳，

能够简化IPsec的使用和治理。

步骤操作说明操作命令

配置一个IKE对等体并进

1ikepeerpeer-name

入ikepeer视图

2配置IKE阶段的协商模式।jxchange-mode{aggressivemain}

配置IKE阶段协商所使用

3pre-shared-keykey

的身份验证字

选择IKE阶段的协商过程

4id-type{ipname)

中使用1D的类型

5指定对端设备的名称remote-namename

remote-addresslow-ip-address

6配置对端设备的IP地址

[high-ip-address]

配置IKE/IPsec的NAT穿

7nat-traversal

越功能

3.定义安全提议

安全提议保存IPsec需要使用的特定安全性协议以及加密/验证算法，为IPsec

协商安全联盟供给各种安全参数。为了能够成功的协商IPsec的安全联盟，两端必

需使用一样的安全提议。

步骤操作说明操作命令

创立安全提议并

1进入安全提议视[H3C]ipsecproposalproposal-name

图

设置安全协议对

[H3C-ipsec-proposal-pro]encapsulation-mode

2IP报文的封装形

{transporttunnel}

式

设置安全提议承[H3C-ipsec-proposal-pro]transformtah

3

受的安全协议ah-espesp}

设置ESP协议承受[H3C-ipsec-proposal-proJesp

4

的加密算法encryption-algorithn{3desdes|aes)

5设置ESP协议承受[H3C-ipsec-proposal-pro]esp

I的验证算法md5shal)

4.创立安全策略

安全策略规定了对什么样的数据流承受什么样的安全提议。安全策略分为手

工安全策略和IKE协商安全策略，前者需要用户手工配置密钥、SPI等参数，在

隧道模式下还需要手工配置安全隧道两个端点的IP地址；后者则由IKE自动协

商生成这些参数。本文档仅介绍IKE方式创立安全策略。

步骤操作说明操作命令

用IKE创立安全

1策略，进入安全[H3C]ipsecpolicypolicy-nameseq-numberisakmp

策略视图

设置安全策略[H3C-ipsec-policy-isakmp-tran-10]proposal

2所引用的安全proposal-name1[proposal-name2...

提议proposal-name6]

设置安全策略

[H3C-ipsec-policy-isakmp-tran-10]securityacl

3引用的访问掌acl-number

握列表

在安全策略中

[H3C-ipsec-policy-isaknp-tran-10]ike-peer

4引用IKE对等

peer-name

体。

5.在接口上应用安全策略组

为使定义的安全联盟生效，应在每个要加密的出站数据、解密的入站数据所

在接口（规律的或物理的）上应用一个安全策略组，由这个接口依据所配置的安

全策略组和对端加密安全网关协作进展报文的加密处理。

步骤操作命令

1进入接口视图[H3C]interfacetypenumber

[H3C-GigabitEtheme10/0]ipsecpolicy

2应用安全策略组

policy-name

3.3留意事项

当配置野蛮模式IPsec穿越NAT时需要留意以下几点:

1)配置隧道发起端IKE对等体时，需要配置xeuioLe-addxess命令，而响应端只需要配置

remote-name命令即可。

2)肯定不要遗忘配置ikelocal-name命令。

3.4举例

3.4.1组网需求

本例使用一个通用组网图，使用的设备皆为SecPath系列防火墙。SecPathA

和SccPathC分别为两个局域网络的出口防火墙，在两个防火墙之间建立IPscc

隧道。SecPathB的Internet出口端配置了NAT,保护其后网络对Internet不行

见。网段17.1.1.0/24和17.2.1.0/24将通过IPsec隧道互通,在此情形下,就

需要野蛮模式与NAT穿越功能来实现IPsec隧道的建立。

3.4.2组网图

图1IPsecNAT穿越特性典型组网图

3.4.3配置

1.使用的版本

<H3C>displayversion

H3CComwarePlatformSoftware

Comwaresoftware,Version3.40,Release1607P03

Copyright(c)2022-2022HangzhouH3CTechnologiesCo.,Ltd.

Allrightsreserved.

Withouttheownerwspriorwrittenconsent,nodecompiling

norreverse-engineeringshallbeallowed.

I13CSecPathF1OOO-Suptimeis0week,0day,0hour,1minute

CPUtype:MipsBCM1125H600MHz

512MbytesDDRSDRAMMemory

16MbytesFlashMemory

PcbVersion:3.0

LogicVcrsion:2.0

BootROMVersion:1.22

[SLOT0]2GBE(Hardware)3.0,(Driver;2.0,(Cpld)2.0

[SLOT1]2GBE(Hardware)3.0,(Driver;2.0,(Cpld)2.0

[SLOT2]NDEC(Hardware)3.0,(Driver;3.3,(Cpld)2.0

<H3C>vrbd

RoutingPlatformSoftware

VersionSccPathF1000-S8042V100R006B01D027SP01

(C0MWAREV300R002B40D028),RELEASESOFTWARE

CompiledMar13202217:38:39byxiedong

2.配置防火墙SecPathA

当前视图配置命令简洁说明

ikelocal-name配置本端设备的

[SecPathA]

SecPathA名称

firewal1

防火墙包过滤默

[SecPathA]packet-filter

认改为允许

defaultpermit

配置一个IKE对

[SecPathA]ikepeerpeer等体并进入ike

peer视图

exchange-mode配置IKE协商模

[SccPathA-ike-pcer-pcer]

aggressive式为野蛮模式

[SecPath/Vike-peer-peer]pre-shared-key配置TKE阶段协

当前视图配置命令简洁说明

123456商所使用的身份

验证字

配置IKE协商过

[SecPathA-ike-peer-peer]id-typename程中使用的ID类

型

配置对端设备的

[SecPathA-ike-peer-peer]remote-nameSecPathC

TD

使能NAT穿越功

[SecPathAikepeerpeer]nattraversal

能

退出ikepeer视

[SecPathA-ike-peer-peer]quit

图

创立安全提议并

[SecPathA]ipsecproposalpro进入安全提议视

图

[SecPath/Vipsec-proposal-pro]encapsulation-mode

tunnel

式

设置安全提议采

[SecPathA-ipsec-proposal-pro]transformesp

用的安全协议

esp

设置ESP协议采

[SccPathA-ipscc-proposal-pro]authentication-algor

用的加密算法

ithmshal

esp

设置ESP协议采

[SecPathA-ipsec-proposal-pro]encryption-algorithm

用的验证算法

退出安全提议视

[SecPathA-ipsec-proposal-pro]quit

图

用IKE创立安全

ipsecpolicypol10

[SecPathA]策略，进入安全策

isakmp

略视图

设置安全策略引

[SecPathA-ipsec-policy-isakmp-p

securityacl3000用的访问掌握列

ol-lO]

表

[SpcPathA-ipspc-pol'c.y-isakmp-p在安全策略中引

ike-peerpeer

ol-lO]用TKE对等仿

[SecPathA-ipsec-policy-isakmp-p设置安全策略所

proposalpro

ol-lO]引用的安全提议

[SecPathA-ipsec-policy-isakmp-p退出安全策略视

quit

ol-lO]图

创立一个高级访

[SecPathA]aclnumber3000

问掌握列表。

[SccPathA-acl-adv-3000]rule0permitip在高级访问掌握

当前视图配置命令简洁说明

source17.1.1.0列表视图下，配置

0.0.0.255ACL规章

destination17.2.1.0

0.0.0.255

退出高级访问掌

[SecPathA-acl-adv-3000]quit

握列表视图

interface进入

[SecPathA]GigabitEthernet

GigabitEthernet0/0

0/0接口

配置

[SecPathA-interfaceGigabitEtheripaddress1.1.1.1GigabitEthernet

netO/O]255.255.255.00/0接口的TP地

址

[SecPathA-interfaceGigabitEther

ipsecpolicypol应用安全策略组

netO/O]

退出当前接口视

[SecPathA]quit图

进入

interface

[SecPathA]GigabitEthcrnct

GigabitEthernetO/1

0/1接口

配置

[SecPathA-interfaceGigabitEtheripaddress17.1.1.1(iigabitEthcrnet

netO/1]255.255.255.00/1接口的IP地

址

退出当前接口视

[SecPathA]quit图

进入trust安全

[SecPathA]firewallzonetrust或

添加

addinterfaceGigabitEthernet

[SecPath/Vzone-trust]

GigabitEthernetO/10/1接口到trust

安全域

退出当前安全域

[SecPathA-zone-trust]quit

视图

进入untrust安

[SecPathA]firewallzoneuntrust

全域

添加

addinterfaceGigabitEthernet

[SecPathA-zone-untrust]

GigabitEthernet0/00/0接口到trust

安全域

退出当前安全域

[SecPathA-zone-untrust]quit

视图

当前视图配置命令简洁说明

iproute-static

17.2.1.0添加到对端及域

[SecPathA]

255.255.255.0网的静态路由

1.1.1.2

3.配置防火墙SecPathB

当前视图配置命令简洁说明

firewall

防火墙包过滤默认

[SecPathB]packet-filter

改为允许

defaultpermit

创立一个根本访问

[SecPathB]aclnumber2022

掌握列表

在根本访问掌握列

[SecPathB-ac1-basic-2022]rulepermit表视图下，配置ACL

规章

退出根本访问掌握

[SecPathB-acl-basic-2022]quit

列表视图

interface进入

[SecPathB]GigabitEthernetOGigabitEthernetO

/o/0接口

ipaddress配置

[SecPathB-interfaceGigabitEthernet

1.1.1.2GigabitEthernetO

0/0]

255.255.255.0/0接口的IP地址

[SecPathB-interfaceGigabitEthernetnatoutbound2022配置访问掌握列表

0/01和接口地址关联

[SecPathB-interfaceGigabitEthernet

quit退出当前接口视图

0/0]

interface进入

[SecPathB]GigabitEthernetOGigabitEthernetO

/I/I接口

ipaddress配置

[SecPathB-interfaceGigabitEthernet

2.1.1.2GigabitEthernetO

0/1]

255.255.255.0/I接口的1P地址

[SecPathB-interfaceGigabitEthernet

quit退出当前接口视图

0/1]

firewallzone

[SecPathB]进入trust安全域

trust

addinterface添加

[SecPathB-zone-trust]

GigabitEthernetOGigabitEthernetO

当前视图配置命令简洁说明

/I/I接口到trust安

全域

退出当前安全域视

[SccPathB-zonc-trust]quit

图

firewallzone进入untrust安全

[SecPathB]

untrust域

添加

addinterface

GigabitEthernetO

[SecPathB-zone-untrust]GigabitEthornet0

/0接口到trust安

/O

全域

4.配置防火墙SecPathC

当前视图配置命令简洁说明

ikelocal-name配置本端设备的

[SecPathC]

SecPathC名称

firewall

防火墙包过漉默

[SecPathC]packet-filter

认改为允许

defaultpermit

配置一个IKE对

[SecPathC]ikepeerpeer等体并进入ike

peer视图

exchange-modeBBSIKE协商模

[SecPathC-ike-peer-peer]

aggressive式为野蛮模式

配置IKE阶段协

pre-sharcd-kcy

[SecPathC-ike-peer-peer]商所使用的身份

123456

验证字

配置IKE协,商过

[SecPathC-ike-peer-peer]id-typename程中使用的ID类

型

配置对端设备的

[SecPathC-ike-peer-peer]remote-nameSecPathA

ID

remote-address配置对端设备的

[SecPathC-ike-peer-peer]

1.1.1.1IPW

使能NAT穿越功

[SecPathC-ike-peer-peer]

nattraversal能

退出ikepeer视

[SecPathC-ike-peer-peer]quit

佟

创立安全提议并

[SecPathC]ipsecproposalpro

进入安全提议视

当前视图配置命令简洁说明

图

encapsulation-mode设置安全协议对

[SecPathC-ipsec-proposal-pro]

IP报文的封装形

tunnel

式

殳置安全提议米

[SecPathC-ipsec-proposal-pro]transformesp

用的安全协议

esp

设置ESP协议承

[SecPathC-ipsec-proposal-pro]authentication-algor

受的加密算法

ithmshal

esp

设置ESP协议采

[SecPathC-ipsec-proposal-pro]encryption-algorithm

用的验证算法

退出安全提议视

[SecPathC-ipsec-proposal-pro]quit

图

用IKE创立安全

ipsecpolicypol10

[SecPathC]策略，进入安全策

isakmp

略彻图

设置安全策略引

[SecPathC-ipsec-policy-isakmp-p

securityacl3000用的访问掌握列

ol-lO]

表

[SecPathC-ipsec-policy-isakmp-p在安全策略中引

ike-peerpeer

ol-lO]mIKE对等依

[SecPathC-ipsec-policy-isakmp-p设置安全策略所

proposalpro

ol-lO]引用的安全提议

[SecPathC-ipsec-policy-isakmp-p退出安全策略视

quit

ol-lO]图

创立一个高级访

[SecPathC]Aclnumber3000

问掌握列表

rule0permitip

source17.2..1.0在高级访问掌握

[SecPathC-acl-adv-3000]0.0.0.255列表视图下，配置

destination17.1.1.0ACL规章

0.0.0.255

退出高级访问控

[SccPathC-acl-adv-3000]quit

制列表视图

进入

interface

[SecPathC]GigabitEthernet

GigabitEthcrnct0/0

0/0辖口

配置

[SecPathC-interfaceGigabitEtheripaddress2.1.1.1GigabitEthernet

netO/O]255.255.255.00/0接口的IP地

址

当前视图配置命令简洁说明

[SecPathC-interfaccGigabitEthcr

ipsecpolicypol应用安全策略组

netO/O]

退出当前接口现

[SecPathC]quit

图

进入

interface

[SccPathC]GigabitEthcrnct

GigabitEthernetO/1

0/1接口

配置

[SecPathC-interfaccGigabitEthcripaddress17.2.1.1GigabitEthernet

netO/1]255.255.255.00/1接口的IP地

址

退出当前接口视

[SecPathC]quit

图

进入trust安全

[SecPathC]firewallzonetrust

域

添加

addinterfaceGigabitEthernet

[SecPathC-zone-trust]

GigabitEthernetO/10/1接口到trust

安全域

退出当前安全域

[SecPathC-zone-trust]quit

视图

进入untrust安

[SecPathC]firewallzoneuntrust

全域

添加

addinterfaceGigabitEthernet

[SecPathC-zone-untrust]

GigabitEthernetO/O0/0接口至ljtrust

安全域

退出当前安全域

[SccPathC-zone-untrust]quit

视图

iproute-static

17.1.1.0添加指向对端局

[SecPathC]

255.255.255.0域网的静态路由

2.1.1.2

iproute-static

1.1.1.0

[SecPathC]添加静态路由

255.255.255.0

2.1.1.2

3.4.4验证结果

1)查看SecPathA与SocPathC之间IKESA是否正常建立

[SecPathA]displayikesa

connection-idpeerflagphasedoi

221.1.1.2RD1IPSEC

231.1.1.2RD21PSEC

flagmeaning

RD—READYST-STAYALIVERL-REPLACEDFD-FADINGTO—TIMEOUT

[SecPathA]

2)检查NAT穿越功能是否开启

[SecPathA]displayikesaverbose

connectionid:22

transmittingentity:responder

localip:1.1.1.1

localidtype:FQDN

local