解决USG5500与Juniper SSG550 IPSec主模式对接问题

发布时间:  2013-03-23 浏览次数:  594 下载次数:  0
问题描述
 某局点客户需求采用我司USG5500 防火墙和友商Juniper SSG550 对接IPSEC VPN ,实现内部网段互通问题。 

拓扑图



需求如下:

    在SSG550和USG5500之间建立一个IPSec隧道,对子网100.0.0.0与3.0.0.0之间的数据流进行安全保护。

IPSec安全参数:    

    第一阶段采用3des加密、md5验证,DH组为group2;
    第二阶段采用esp的3des加密、sha1验证,PFS为group1;
    使用自动协商主模式IP认证。


告警信息
处理过程
USG5500配置

#接口配置ip地址
[usg5500]interface Ethernet 0/0/0
[usg5500-Ethernet0/0/0]ip address 9.9.9.1 8
[usg5500]interface Ethernet 0/0/1
[usg5500-Ethernet0/0/1]ip address 3.1.1.1 8

将接口加入域
[usg5500-Ethernet0/0/1]firewall zone untrust
[usg5500-zone-untrust]add interface Ethernet 0/0/0
[usg5500-zone-untrust]firewall zone trust
[usg5500-zone-trust]add interface Ethernet 0/0/1
[usg5500-zone-trust]quit

开放域间包过滤
[usg5500]firewall packet-filter default permit all

配置路由
[usg5500]ip route-static 100.0.0.0 8 9.9.9.2
[usg5500]ip route-static 200.0.0.0 8 9.9.9.2

#配置感兴趣流
[usg5500]acl 3000
[usg5500-acl-adv-3000]rule permit ip source 3.0.0.0 0.255.255.255 destination 100.0.0.0 0.255.255.255

#配置ike提议
[usg5500]ike proposal 1
[usg5500-ike-proposal-1]encryption-algorithm 3des-cbc
[usg5500-ike-proposal-1]authentication-algorithm md5
[usg5500-ike-proposal-1]dh group2

#配置ike对等体
[usg5500]ike peer a
[usg5500-ike-peer-a]remote-address 200.1.1.1
[usg5500-ike-peer-a]pre-shared-key 123456
[usg5500-ike-peer-a]ike-proposal 1  

#配置ipsec提议
[usg5500]ipsec proposal a
[usg5500-ipsec-proposal-a]esp authentication-algorithm sha1
[usg5500-ipsec-proposal-a]esp encryption-algorithm 3des

#配置自动协商方式的安全策略“isa”
[usg5500]ipsec policy isa 1 isakmp
[usg5500-ipsec-policy-isakmp-isa-1] security acl 3000
[usg5500-ipsec-policy-isakmp-isa-1] pfs dh-group1
[usg5500-ipsec-policy-isakmp-isa-1] ike-peer a
[usg5500-ipsec-policy-isakmp-isa-1] proposal a

#在接口下应用安全策略“isa”
[usg5500]interface e0/0/0
[usg5500-Ethernet0/0/0]ipsec policy isa



SSG550配置

#接口配置ip地址,将接口加入域,允许报文通过。

SSG550-> set interface ethernet0/2 ip 100.1.1.1/24

SSG550-> set interface ethernet0/2 route   //配置接口的工作模式,默认为route

SSG550-> set interface ethernet0/3 ip 200.1.1.1/24

SSG550-> set interface ethernet0/3 route

SSG550-> set interface ethernet0/2 zone trust

SSG550-> set interface ethernet0/3 zone untrust

SSG550-> set policy default-permit-all

#配置用于建立IPSec隧道的虚拟接口,并加入域

SSG550-> set interface tunnel.1 ip unnumbered interface ethernet0/3

SSG550-> set interface tunnel.1 zone untrust

#配置路由

SSG550-> set route 3.0.0.0/8 interface tunnel.1 gateway 200.1.1.2

SSG550-> set route 9.0.0.0/8 gateway 200.1.1.2

#配置第一阶段安全参数,相当于ike proposal,命名为“ike-1”

SSG550-> set ike p1-proposal ike-1 preshare group2 esp 3des md5

#配置第二阶段安全参数,相当于ipsec proposal,命名为“ike-2”

SSG550-> set ike p2-proposal ike-2 group1 esp 3des sha-1

#配置第一阶段协商的对端参数并与接口关联,相当于ike peer,命名为“ike-gate”

SSG550-> set ike gateway ike-gate address 9.9.9.1 main outgoing-interface e0/3 preshare 123456 proposal ike-1

#配置安全策略“isa”

SSG550-> set vpn isa gateway ike-gate tunnel proposal ike-2

#将安全策略“isa”与虚拟接口绑定

SSG550-> set vpn isa id 5 bind interface tunnel.1

#配置需要安全保护的数据流

SSG550-> set vpn isa proxy-id local-ip 100.0.0.0/8 remote-ip 3.0.0.0/8 any




配置后,测试对接结果:

1、  PC1 ping PC2,由SSG550端发起协商,查看SA。
<usg5500>display ike sa

<usg5500>display ipsec sa

#在SSG550上只能查看ipsec sa,可见其状态(Sta)为A/-

SSG550-> get sa
total configured sa: 1
HEX ID    Gateway         Port Algorithm     SPI      Life:sec kb Sta   PID vsys
00000005<         9.9.9.1  500 esp:3des/sha1 3480ee2e  3597 1800M A/-    -1 0
00000005>         9.9.9.1  500 esp:3des/sha1 5bc649e5  3597 1800M A/-    -1 0

//“00000005<”为入方向,“00000005>”为出方向。


2、  把两个阶段的SA都清除,PC2 ping PC1,由USG5500端发起协商。
<usg5500>reset ipsec sa
<usg5500>reset ike sa

#在SSG550上清除SA,只通知了对端(USG5500)清除ipsec sa,在USG5500上ike sa仍然存在。查看SA,可见其状态(Sta)为I/I
SSG550-> clear sa 00000005

SSG550-> get sa
total configured sa: 1
HEX ID    Gateway         Port Algorithm     SPI      Life:sec kb Sta   PID vsys
00000005<         9.9.9.1  500 esp:3des/sha1 3680ee2e  3519 1799M I/I    -1 0
00000005>         9.9.9.1  500 esp:3des/sha1 61687ccd  3519 1799M I/I    -1 0


根因
建议与总结

END