随着企業信息化發展，ERP、OA、DB等大規模應用，分部與總部之間内網安全的互聯的需求越來越強烈。專線是最安全的選擇，但價格昂貴，一般企業難以承受其成本；實際工作中各種基于互聯網的VPN則是最常見的選擇。這裡以華為防火牆為例，介紹IPSEC VPN的相關配置，用以在保證企業數據安全的前提下，内網互通。

IPSec VPN就是指采用IPSec協議來實現遠程接入的一種VPN技術，IPSec全稱為Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定義的安全标準框架，在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接的安全——在兩個公共網關間提供私密數據封包服務。

實驗拓撲

實驗要求

總部内網與分部内網通過IPSEC VPN互通

實驗拓撲說明

AR1模拟總部内部設備 FW1作為總部的網關接入ISP

AR2模拟分部内部設備 FW2作為分部的網關接入ISP

ISP模拟互聯網

實驗基礎配置

ISP部分

sysname ISP

interface GigabitEthernet0/0/0

ip address 10.1.12.1 255.255.255.0

interface GigabitEthernet0/0/1

ip address 10.1.23.1 255.255.255.0

總部AR1配置

sysname ar1

interface GigabitEthernet0/0/0

ip address 192.168.1.100 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.1.254

分部AR2配置

sysname AR2

interface GigabitEthernet0/0/0

ip address 192.168.2.100 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 192.168.2.254

總部與分部的防火牆IPSEC VPN配置

總部防火牆FW1配置

sysname FW1

acl number 3000

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

//配置感興趣流，匹配從總部到分部的流量

IKE proposal 10

ike peer 2_FW2

pre-shared-key Huawei@123

ike-proposal 10

remote-address 10.1.23.254

//配置IKE參數，提議默認，預共享密鑰和對端地址

ipsec proposal 10

ipsec policy ipsec 10 isakmp

security acl 3000

ike-peer 2_FW2

proposal 10

//配置IPSEC參數，提議默認，匹配感興趣流和鄰居

interface GigabitEthernet1/0/0

ip address 192.168.1.254 255.255.255.0

interface GigabitEthernet1/0/1

ip address 10.1.12.254 255.255.255.0

ipsec policy ipsec

//接口應用IPSEC策略

firewall zone trust

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/1

//接口加入對應的安全區域

ip route-static 0.0.0.0　0.0.0.0　 10.1.12.1

ip route-static 192.168.2.0 255.255.255.0 10.1.23.254

　　　　　//配置默認路由和分部内網的明細路由，分部内網路由下一跳指向FW2的應用IPSEC VPN策略的互聯接口

security-policy

default action permit

//放通安全策略，根據需要設置，這裡為了式樣放通所有

分部防火牆FW2設置與總一緻

sysname FW2

acl number 3000

rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

ike proposal 10

ike peer 2_FW1

pre-shared-key Huawei@123

ike-proposal 10

remote-address 10.1.12.254

ipsec proposal 10

ipsec policy ipsec 10 isakmp

security acl 3000

ike-peer 2_FW1

proposal 10

interface GigabitEthernet1/0/0

ip address 192.168.2.254 255.255.255.0

interface GigabitEthernet1/0/1

ip address 10.1.23.254 255.255.255.0

ipsec policy ipsec

firewall zone trust

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/1

ip route-static 0.0.0.0 0.0.0.0 10.1.23.1

ip route-static 192.168.1.0 255.255.255.0 10.1.12.254

security-policy

default action permit

實驗結果驗證

從AR1和AR2互ping對方私網地址，可以看到互通正常，查看防火牆的會話表，可以看到互聯應用采用的協議和端口，後期可根據此表項設置明細安全策略。

在總部防火牆上查看IKE SA 和IPSEC SA的信息，可以看到IPSEC VPN保護的數據詳細信息

至此，實驗成功。

本實驗環境為華為ENSP模拟器。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!