发布时间 : 星期二 文章华为防火墙配IPSEC更新完毕开始阅读
# 创建名为tran1的安全提议。
[Eudemon A] ipsec proposal tran1
# 配置采用ESP安全协议。
[Eudemon A-ipsec-proposal-tran1] transform esp
# 配置采用tunnel报文封装方式。
[Eudemon A-ipsec-proposal-tran1] encapsulation-mode tunnel
# 配置ESP协议认证算法。
[Eudemon A-ipsec-proposal-tran1] esp authentication-algorithm sha1
# 配置ESP协议加密算法。
[Eudemon A-ipsec-proposal-tran1] esp encryption-algorithm des
缺省情况下:
? Eudemon? ESP? ESP
采用隧道模式封装IPSec报文。
认证算法为MD5。 加密算法为DES。
# 退回系统视图。
[Eudemon A-ipsec-proposal-tran1] quit
# 创建一条安全策略,协商方式为manual。
[Eudemon A] ipsec policy map1 10 manual
# 引用ACL。
[Eudemon A-ipsec-policy-manual-map1-10] security acl 3000
此处仅能引用一个ACL。如果多次引用,最后一次引用有效。
# 引用安全提议。
[Eudemon A-ipsec-policy-manual-map1-10] proposal tran1
# 配置隧道对端IP地址。
[Eudemon A-ipsec-policy-manual-map1-10] tunnel remote 202.38.169.1
# 配置隧道本端IP地址。
[Eudemon A-ipsec-policy-manual-map1-10] tunnel local 202.38.163.1
# 配置SPI。
SPI需要与对端Eudemon镜像配置。sa spi命令需要与sa string-key或sa authentication-hex或sa encryption-hex共同使用,才能成功创建手工IPSec隧道。
[Eudemon A-ipsec-policy-manual-map1-10] sa spi outbound esp 12345 [Eudemon A-ipsec-policy-manual-map1-10] sa spi inbound esp 54321
# 配置密钥。
密钥需要与对端Eudemon镜像配置。
[Eudemon A-ipsec-policy-manual-map1-10] sa string-key outbound esp abcdefg [Eudemon A-ipsec-policy-manual-map1-10] sa string-key inbound esp gfedcba
# 退回系统视图。
[Eudemon A-ipsec-policy-manual-map1-10] quit
# 进入以太网接口视图。
[Eudemon A] interface Ethernet 0/0/1
此处的以太网接口为IPSec隧道的出接口。
# 应用安全策略。
[Eudemon A-Ethernet0/0/1] ipsec policy map1
步骤
2 配置Eudemon B。 # 进入系统视图。
# 配置本端设备的名字。
[Eudemon] sysname Eudemon B
# 进入Ethernet 0/0/0视图。
[Eudemon B] interface Ethernet 0/0/0
# 配置Ethernet 0/0/0的IP地址。
[Eudemon B-Ethernet0/0/0] ip address 202.38.169.1 16
# 关闭接口的快速转发功能。
[Eudemon B-Ethernet0/0/0] undo ip fast-forwarding qff
# 退回系统视图。
[Eudemon B-Ethernet0/0/0] quit
# 进入Ethernet 0/0/1视图。
[Eudemon B] interface Ethernet 0/0/1
# 配置Ethernet 0/0/1的IP地址。
[Eudemon B-Ethernet0/0/1] ip address 10.1.2.1 24
# 关闭接口的快速转发功能。
[Eudemon B-Ethernet0/0/1] undo ip fast-forwarding qff
# 退回系统视图。
[Eudemon B-Ethernet0/0/1] quit
# 进入Untrust区域视图。
[Eudemon B] firewall zone untrust
# 配置Ethernet 0/0/0加入Untrust区域。
[Eudemon B-zone-untrust] add interface Ethernet 0/0/0
# 退回系统视图。
[Eudemon B-zone-untrust] quit
# 进入Trust区域视图。
[Eudemon B] firewall zone trust
# 配置Ethernet 0/0/1加入Trust区域。
[Eudemon B-zone-trust] add interface Ethernet 0/0/1
# 退回系统视图。
[Eudemon B-zone-trust] quit
# 配置到Host1的静态路由。
[Eudemon B] ip route-static 10.1.1.0 24 202.38.169.2
# 配置ACL规则,允许来自10.1.2.0网段到10.1.1.0网段的报文通过Eudemon。
[Eudemon B] acl 3000
[Eudemon B-acl-adv-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
? ACL规则需要与对端Eudemon配置镜像。
? 此处的源地址为
Eudemon侧的用户IP地址。
# 退回系统视图。
[Eudemon B-acl-adv-3000] quit
# 配置ACL规则,允许10.1.1.0网段的报文通过Eudemon。
[Eudemon B] acl 3001
[Eudemon B-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255
# 退回系统视图。
[Eudemon B-acl-adv-3001] quit
# 进入Trust和Untrust域间视图。
[Eudemon B] firewall interzone trust untrust
# 配置域间包过滤规则。
[Eudemon B-interzone-trust-untrust] packet-filter 3001 inbound [Eudemon B-interzone-trust-untrust] packet-filter 3000 outbound
# 退回系统视图。
[Eudemon B-interzone-trust-untrust] quit
# 创建名为tran1的安全提议。
[Eudemon B] ipsec proposal tran1
# 配置采用ESP安全协议。
[Eudemon B-ipsec-proposal-tran1] transform esp
# 配置采用tunnel报文封装方式。
[Eudemon B-ipsec-proposal-tran1] encapsulation-mode tunnel
# 配置ESP协议认证算法。
[Eudemon B-ipsec-proposal-tran1] esp authentication-algorithm sha1
# 配置ESP协议加密算法。
[Eudemon B-ipsec-proposal-tran1] esp encryption-algorithm des
缺省情况下:
? Eudemon? ESP? ESP
采用隧道模式封装IPSec报文。
认证算法为MD5。 加密算法为DES。
# 退回系统视图。
[Eudemon B-ipsec-proposal-tran1] quit
# 创建一条安全策略,协商方式为manual。
[Eudemon B] ipsec policy map1 10 manual
# 配置对端IP地址。
[Eudemon B-ipsec-policy-manual-map1-10] tunnel remote 202.38.163.1
# 配置本端IP地址。
[Eudemon B-ipsec-policy-manual-map1-10] tunnel local 202.38.169.1
# 引用ACL规则。
[Eudemon B-ipsec-policy-manual-map1-10] security acl 3000
此处仅能引用一个ACL。如果多次引用,最后一次引用有效。
# 引用安全提议。
[Eudemon B-ipsec-policy-manual-map1-10] proposal tran1
# 配置SPI。
SPI需要与对端Eudemon镜像配置。