利用IPSEC策略模板建立与分支机构动态IP的HUB-AND-SPOKE链路

发布时间:  2012-07-18 浏览次数:  81 下载次数:  0
问题描述
客户的总部与分支机构采用子策略方式建立IPSEC VPN,双方均采用固定IP形式通信。
因为业务的递增,需要新增办事处机构,客户也有意改造IPSEC VPNl链路使各个分支机构能使用动态IP形式和总部建立IPSEC VPN连接。
客户咨询该方案如何实施?
告警信息
处理过程

主要配置如下:

公司总部

1)配置到达分支机构的静态路由

[FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2

[FWA]acl 3000

[FWA-acl-adv-3000] rule permit ip

[FWA-acl-adv-3001]quit

3)配置trust与untrust域间包过滤规则

[FWA]firewall packet-filter default permit interzone trust untrust

4)配置untrust与local域间包过滤规则

[FWA]firewall packet-filter default permit interzone local untrust

5) 配置IPSec安全提议

[FWA]ipsec proposal tran1

6) 配置IKE提议。

[FWA] ike proposal 10


7) 配置IKE Peer

[FWA] ike peer a

# 引用IKE安全提议。

[FWA-ike-peer-a] ike-proposal 10

# 配置IKE的协商方式为野蛮模式。

[FWA-ike-peer-a] exchange-mode aggressive

# 配置验证字为“huawei”。

[FWA-ike-peer-a] pre-shared-key huawei

8) 配置安全策略模版

[FWA] ipsec policy-template map1tmp 10

# 引用ike-peer a。

[FWA-ipsec-policy-templet-map1tmp-10] ike-peer a

# 引用名为tran1的安全提议。

[FWA-ipsec-policy-templet-map1tmp-10] proposal tran1

# 引用组号为3000的ACL。

[FWA-ipsec-policy-templet-map1tmp-10] security acl 3000

# 退回系统视图。

[FWA-ipsec-policy-templet-map1tmp-10] quit

# 创建IPSEC安全策略map1

[FWA] ipsec policy map1 10 isakmp template map1tmp


9) 引用安全策略

[FWA] interface Ethernet 1/0/0

[FWA-Ethernet1/0/0] ipsec policy map1


分支机构1的配置:

1)配置到达总部和其他私网的静态路由
[FWB]ip route-static 0.0.0.0 0.0.0.0 200.0.1.2

[FWB]acl 3000
[FWB-acl-adv-3000] rule permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
[FWB-acl-adv-3000]quit

[FWB]firewall packet-filter default permit interzone trust untrust

[FWB]firewall packet-filter default permit interzone local untrust

配置IPSec安全提议


[FWB]ipsec proposal tran1


配置IKE提议。
[FWB] ike proposal 10

配置IKE Peer
[FWB] ike peer b
[FWB-ike-peer-b] ike-proposal 10
[FWB-ike-peer-b] exchange-mode aggressive
[FWB-ike-peer-b] remote-address 200.0.0.1
[FWB-ike-peer-b] pre-shared-key huawei

配置安全策略
[FWB] ipsec policy map1 10 isakmp
[FWB-ipsec-policy-isakmp-map1-10] ike-peer b
[FWB-ipsec-policy-isakmp-map1-10] proposal tran1
[FWB-ipsec-policy-isakmp-map1-10] security acl 3000
[FWB-ipsec-policy-isakmp-map1-10] quit

引用安全策略
[FWB] interface Ethernet 1/0/0
[FWB-Ethernet1/0/0] ipsec policy map1
[FWB-Ethernet1/0/0] quit

分支机构2的配置和1类似。

根因

目前,客户总部和分支机构采用的是子策略方式建立IPSEC VPN,采用固定IP。

新增办事处后,希望通过IPSEC的策略模板形式实现各个分支机构采用动态IP获取方式和总部通信。

建议与总结
利用策略模板方式,只需要在总部建立一条策略模板命令就可以实现和各个分支机构之间的IPSEC通信。
在IPsec server端设置IPsec策略模板,优点是服务器端可以不关心安全acl范围、PFS特性、可以使用发起端的配置参数,缺点是不能主动发起IPsec连接。

END