某机场H3C SR6608与山石网科防火墙实现IPSec VPN典型案例


一、需求分析

某机场希望与其他大型国际机场实现数据互访和共享,以提高本机场运营和生产能力。但由于两机场之间物理位置较远,采用专线互联成本过高,通过互联网传输生产数据不安全。在此背景下希望在两机场公网出口之间建立IPSec隧道来实施流量安全保护。

该机场出口使用H3C SR6608连接到公网,大型机场使用山石网科防火墙连接到公网,通过公网建立IPSec VPN隧道,以此实现所有数据流安全保护。同时,为近一步保护内部服务器,隐藏服务器真实IP地址,通过地址转换来实现。

二、方案说明

1、组网拓扑图

        1.jpg                                      

2、配置步骤

(1)H3C SR6608配置

ike local-name KM      //配置本端安全网关设备名称

acl number 3120      //创建IPSec的感兴趣数据流

rule 5 permit ip source 10.43.11.0 0.0.0.255 destination 10.43.10.0 0.0.0.255

ike proposal 10       //配置IKE 安全提议

 encryption-algorithm aes-cbc 128

 dh group2

ike peer peer1       //配置IKE 对等体peer

 exchange-mode aggressive

 proposal 10

 pre-shared-key cipher $c$3$ERkH6I6zP94XUxflG2pR72 ==

 id-type name

 remote-name CAH

ipsec transform-set km    //创建IPsec 安全提议km

 encapsulation-mode tunnel

 transform esp

 esp authentication-algorithm sha1

 esp encryption-algorithm aes-cbc-128

ipsec policy xxia_xxia 10 isakmp   //创建IPsec安全策略,并指定通过IKE建立SA

 security acl 3120

 ike-peer peer1

 transform-set km

interface GigabitEthernet3/2/0    //配置公网接口IP 地址并引用

 ip address 61.166.241.130 255.255.255.224

 ipsec policy xxia_xxia

ip route-static 0.0.0.0 0.0.0.0 61.166.241.129    //配置静态路由

ip route-static 10.43.11.0 255.255.255.0 10.0.252.169

(2)山石网科防火墙配置

zone "VPN"

exit

isakmp proposal "p1"       //配置P1 提议

authentication pre-share

hash sha

encryption aes128

group 2

exit

isakmp peer " CAH "    //配置ISAKMP 网关

interface ethernet0/1

  isakmp-proposal "p1"

  pre-share "4XcxMajqMfkdJa3NxXFeUGuLRWcG"

  mode aggressive

  peer 61.166.241.130

  exit

ipsec proposal "p2"           //配置P2 提议

authentication pre-share

hash sha

encryption aes128

group 2

exit

tunnel ipsec "km" auto   //配置名为VPN 的隧道

isakmp-peer " CAH "

ipsec-proposal "p2"

id local 10.43.10.0/24 remote 10.43.11.0/24 service "any"

exit

interface ethernet0/0     //配置安全网关接口

zone "trust"

ip address 10.43.10.254 255.255.255.0

exit

interface ethernet0/1

zone "untrust"

ip address 210.75.250.120 255.255.255.0

exit

interface tunnel1

zone "VPN"

tunnel ipsec "km"

exit

ip vrouter "trust-vr"

ip route 0.0.0.0/0 210.75.250.1    //配置路由

ip route 10.43.11.0/24 tunnel1

exit

policy from "trust" to "VPN"     //配置安全网关策略规则

rule id 1

action permit

src-addr "Any"

dst-addr "Any"

service "Any"

exit

policy from "VPN" to "trust"

rule id 2

action permit

src-addr "Any"

dst-addr "Any"

service "Any"

exit

(3)H3C F5000-C配置

nat address-group 1 10.43.11.1 10.43.11.1 level 1

#

acl number 2010

 rule 5 permit source 10.11.0.98 0

#

interface GigabitEthernet0/15

 port link-mode route

 nat outbound 2010 address-group 1

 nat server protocol any global 10.43.11.1 inside 10.11.0.98

 ip address 10.0.252.169 255.255.255.252

#

interface GigabitEthernet0/16

 port link-mode route

 ip address 10.11.0.254 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 10.0.252.170

三、配置要点

实施前需要协商H3C与山石网科IPSec VPN相关参数。由于各厂商默认的参数不一致,为保证项目的顺利进行,前期沟通非常重要。

需要协商的参数包括:IKE安全提议认证方式、认证算法、加密算法、IKE SA硬生存周期和IKE对等体协商模式、协商本端对端名称、协商本端对端IP地址、认证密钥等。

3、该案例与IPSec VPN NAT环境中野蛮模式有所差异。NAT环境中地址转换发生在IPSec 加密隧道的报头剥离前,需要在IKE对等体中配置NAT 穿越。该案例属于在IPSec加密隧道报头剥离之后,对所保护数据流进行二次转换,以实现隐藏真实服务器IP地址的目的


2018年06月

本期文章