Hillstone防火墙配置IPSecVPN案例

基于路由模式需求：实现两个局域网之间互访，保证两个lan数据传输的安全性，数据的传输要求加密，拓扑如下：设备A、B，E0/0连接Internet，E0/1连接内网，两边网段分别为192.168.100.0/24，192.168.0.0/24一.A、B设备都为静态ip地址接入A设备基本上网配置1.配置接口信息SG-6000(config-if-eth0/1)#interfaceethernet0/0SG-6000(config-if-eth0/0)#zoneuntrustSG-6000(config-if-eth0/0)#ipadd222.1.1.2/24SG-6000(config-if-eth0/0)#interfaceethernet0/1SG-6000(config-if-eth0/1)#zonetrustSG-6000(config-if-eth0/1)#ipadd192.168.100.1/242.配置DHCPServerSG-6000(config)#dhcp-serverpoolpool1SG-6000(config-dhcp-server)#address192.168.100.2192.168.100.254SG-6000(config-dhcp-server)#netmask255.255.255.0SG-6000(config-dhcp-server)#dns202.106.0.20SG-6000(config-dhcp-server)#gateway192.168.100.1SG-6000(config-dhcp-server)#exitSG-6000(config)#interfaceethernet0/1SG-6000(config-if-eth0/1)#dhcp-serverenablepoolpool13.增加snatSG-6000(config)#natSG-6000(config-nat)#snatrulefromanytoanyeifethernet0/0trans-toeif-ipmodedynamicport4.增加默认路由SG-6000(config)#ipvroutertrust-vrSG-6000(config-vrouter)#iproute0.0.0.0/0222.1.1.15.增加从内到外允许访问的策略SG-6000(config)#policyfromtrusttountrustSG-6000(config-policy)#rulefromanytoanyserviceanypermitB设备基本上网配置1.配置接口信息SG-6000(config-if-eth0/1)#interfaceethernet0/0SG-6000(config-if-eth0/0)#zoneuntrustSG-6000(config-if-eth0/0)#ipadd200.1.1.2/24SG-6000(config-if-eth0/0)#interfaceethernet0/1SG-6000(config-if-eth0/1)#zonetrustSG-6000(config-if-eth0/1)#ipadd192.168.0.1/242.配置DHCPServerSG-6000(config)#dhcp-serverpoolpool1SG-6000(config-dhcp-server)#address192.168.0.2192.168.0.254SG-6000(config-dhcp-server)#netmask255.255.255.0SG-6000(config-dhcp-server)#dns202.106.0.20SG-6000(config-dhcp-server)#gateway192.168.0.1SG-6000(config-dhcp-server)#exitSG-6000(config)#interfaceethernet0/1SG-6000(config-if-eth0/1)#dhcp-serverenablepoolpool13.增加snatSG-6000(config)#natSG-6000(config-nat)#snatrulefromanytoanyeifethernet0/0trans-toeif-ipmodedynamicport4.增加默认路由SG-6000(config)#ipvroutertrust-vrSG-6000(config-vrouter)#iproute0.0.0.0/0200.1.1.15.增加从内到外允许访问的策略SG-6000(config)#policyfromtrusttountrustSG-6000(config-policy)#rulefromanytoanyserviceanypermitA设备ipsec配置：SG-6000(config)#isakmpproposalp1//创建第一阶段使用的安全策略，可以不用创建使用系统自定义的策略组合SG-6000(config-isakmp-proposal)#encryption3des//指定加密算法SG-6000(config-isakmp-proposal)#hashsha256//指定验证算法SG-6000(config-isakmp-proposal)#group2//指定DH算法密钥长度SG-6000(config-isakmp-proposal)#authenticationpre-share//指定IKE身份认证的方式，用来确认通信双方的身份SG-6000(config)#ipsecproposalp2//创建第二阶段安全策略，可以不用创建使用系统自定义的策略组合SG-6000(config-ipsec-proposal)#encryption3des//指定加密算法SG-6000(config-ipsec-proposal)#hashsha256//指定验证算法SG-6000(config-ipsec-proposal)#group2//指定DH算法SG-6000(config-ipsec-proposal)#protocolesp//指定协议SG-6000(config)#isakmppeerto-B//创建ISAKMP网关SG-6000(config-isakmp-peer)#interfaceethernet0/0//指定出接口SG-6000(config-isakmp-peer)#isakmp-proposalp1//指定安全提议SG-6000(config-isakmp-peer)#pre-sharehillstone//设置预共享密钥SG-6000(config-isakmp-peer)#modeaggressive//指定IKE协商模式为野蛮SG-6000(config-isakmp-peer)#peer200.1.1.2//指定对端的地址SG-6000(config)#tunnelipsectunnel-to-Bauto//创建隧道，指定使用IKE协商SG-6000(config-tunnel-ipsec-auto)#ipsec-proposalp2//指定安全提议SG-6000(config-tunnel-ipsec-auto)#isakmp-peerto-B//指定ISAKMP网关SG-6000(config)#zoneipsecSG-6000(config-zone-ipsec)#exitSG-6000(config)#interfacetunnel1//创建隧道接口SG-6000(config-if-tun1)#zoneipsec//加入到安全域SG-6000(config-if-tun1)#tunnelipsectunnel-to-B//绑定vpn隧道SG-6000(config)#ipvtrust-vrSG-6000(config-vrouter)#iproute192.168.0.0/24tunnel1//到对端网段经过vpn加密SG-6000(config)#policyfromtrusttoipsec//增加本端访问对端的策略SG-6000(config-policy)#rulefromanytoanyserviceanypermitSG-6000(config-policy)#exitSG-6000(config)#policyfromipsectotrust//增加对端访问本端的策略SG-6000(config-policy)#rulefromanytoanyserviceanypermit同理，B设备的ipsec配置SG-6000(config)#isakmpproposalp1//创建第一阶段使用的安全策略，可以不用创建使用系统自定义的策略组合SG-6000(config-isakmp-proposal)#encryption3des//指定加密算法SG-6000(config-isakmp-proposal)#hashsha256//指定验证算法SG-6000(config-isakmp-proposal)#group2//指定DH算法密钥长度SG-6000(config-isakmp-proposal)#authenticationpre-share//指定IKE身份认证的方式，用来确认通信双方的身份SG-6000(config)#ipsecproposalp2//创建第二阶段安全策略，可以不用创建使用系统自定义的策略组合SG-6000(config-ipsec-proposal)#encryption3des//指定加密算法SG-6000(config-ipsec-proposal)#hashsha256//指定验证算法SG-6000(config-ipsec-proposal)#group2//指定DH算法SG-6000(config-ipsec-proposal)#protocolesp//指定协议SG-6000(config)#isakmppeerto-A//创建ISAKMP网关SG-6000(config-isakmp-peer)#interfaceethernet0/0//指定出接口SG-6000(config-isakmp-peer)#isakmp-proposalp1//指定安全提议SG-6000(config-isakmp-peer)#pre-sharehillstone//设置预共享密钥,两边要一致SG-6000(config-isakmp-peer)#modeaggressive//指定IKE协商模式为野蛮SG-6000(config-isakmp-peer)#peer222.1.1.2//指定对端的地址SG-6000(config)#tunnelipsectunnel-to-Aauto//创建隧道，指定使用IKE协商SG-6000(config-tunnel-ipsec-auto)#ipsec-proposalp2//指定安全提议SG-6000(config-tunnel-ipsec-auto)#isakmp-peerto-A//指定ISAKMP网关SG-6000(config)#zoneipsecSG-6000(config-zone-ipsec)#exitSG-6000(config)#interfacetunnel1//创建隧道接口SG-6000(config-if-tun1)#zoneipsec//加入到安全域SG-6000(config-if-tun1)#tunnelipsectunnel-to-A//绑定vpn隧道SG-6000(config)#ipvtrust-vrSG-6000(config-vrouter)#iproute192.168.100.0/24tunnel1//到对端网段经过vpn加密SG-6000(config)#policyfromtrust