IKE VPN配置举例

本节提供一个IKE VPN配置实例。

在Hillstone安全网关A和Hillstone安全网关B之间建立一个安全隧道，PC1作为Hillstone安全网关A端的主机，IP地址为10.1.1.1，网关为10.1.1.2；Server1作为Hillstone安全网关B端的服务器，IP地址为192.168.1.1，网关是192.168.1.2。要求对PC1代表的子网（10.1.1.0/24）与Server1代表的子网（192.168.1.0/24）之间的数据流进行安全保护（通过基于路由的VPN方式实现VPN的应用）。安全协议采用ESP协议，加密算法采用3DES，验证算法采用SHA1，压缩算法采用DEFLATE。

组网图如下：

请按照以下步骤进行配置：

第一步：配置安全网关接口。

安全网关A

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表中ethernet0/0<操作>栏中的『编辑』按钮，主窗口显示接口基本配置选项。具体配置信息如下：

• 安全域类型：三层安全域
• 安全域：从下拉菜单中选中“trust”
• 类型：静态IP
• IP/网络掩码：10.1.1.2/255.255.255.0
  

3. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表ethernet0/1<操作>栏中的『编辑』按钮，主窗口显示接口基本配置选项。具体配置信息如下：

• 安全域类型：三层安全域
• 安全域：从下拉菜单中选中“untrust”
• 类型：静态IP
• IP/网络掩码：1.1.1.1/255.255.255.0
  

3. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表中的『新建』按钮，并选中<隧道接口>，主窗口显示隧道接口基本配置选项。具体配置信息如下：

• 接口名：tunnel1
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选中“trust”

5. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。
   

安全网关B

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表中ethernet0/0<操作>栏中的『编辑』按钮，主窗口显示接口基本配置选项。具体配置信息如下：

• 安全域类型：三层安全域
• 安全域：从下拉菜单中选中“trust”
• 类型：静态IP
• IP/网络掩码：192.168.1.2/255.255.255.0
  

3. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表ethernet0/1<操作>栏中的『编辑』按钮，主窗口显示接口基本配置选项。具体配置信息如下：

• 安全域类型：三层安全域
• 安全域：从下拉菜单中选中“untrust”
• 类型：静态IP
• IP/网络掩码：1.1.1.2/255.255.255.0
  

3. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表中的『新建』按钮，并选中<隧道接口>，主窗口显示隧道接口基本配置选项。具体配置信息如下：

• 接口名：tunnel1
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选中“trust”

5. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回主配置页面。

第二步：配置安全网关策略规则。

安全网关A

1. 访问“防火墙策略”，进入策略列表页面。
2. 在列表<源安全域>下拉菜单中选中“trust”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：trust
• 源地址：Any
• 目的安全域：trust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
4. 在列表<源安全域>下拉菜单中选中“untrust”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：untrust
• 源地址：Any
• 目的安全域：trust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

5. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

安全网关B

1. 访问“防火墙策略”，进入策略列表页面。
2. 在列表<源安全域>下拉菜单中选中“trust”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：trust
• 源地址：Any
• 目的安全域：trust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
4. 在列表<源安全域>下拉菜单中选中“untrust”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：untrust
• 源地址：Any
• 目的安全域：trust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

5. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

第三步：配置路由。

安全网关A

1. 访问“网络路由目的路由”，进入目的路由列表页面。
2. 点击目的路由列表中『新建』按钮，弹出<目的路由配置>对话框，目的路由具体配置信息如下：

• 目的IP：192.168.1.0
• 子网掩码：255.255.255.0
• 下一跳：接口
• 接口：从下拉菜单中选中“tunnel1”

3. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。

安全网关B

1. 访问“网络路由目的路由”，进入目的路由列表页面。
2. 点击目的路由列表中『新建』按钮，弹出<目的路由配置>对话框，目的路由具体配置信息如下：

• 目的IP：10.1.1.0
• 子网掩码：255.255.255.0
• 下一跳：接口
• 接口：从下拉菜单中选中“tunnel1”

3. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。

第四步：配置P1提议。

安全网关A

1. 访问“VPNIPSec VPNP1提议”，进入P1提议列表页面。
2. 点击P1提议列表中『新建』按钮，弹出<阶段1提议配置>对话框。具体配置信息如下：

• 提议名称：P1
• 认证：Pre-Shared key
• 验证算法：SHA-1
• 加密算法：3DES
• DH组：Group2
• 生存时间：86400

3. 点击『确定』按钮将配置的P1提议添加进系统并且显示在P1提议列表中。

安全网关B

1. 访问“VPNIPSec VPNP1提议”，进入P1提议列表页面。
2. 点击P1提议列表中『新建』按钮，弹出<阶段1提议配置>对话框。具体配置信息如下：

• 提议名称：P1
• 认证：Pre-Shared key
• 验证算法：SHA-1
• 加密算法：3DES
• DH组：Group2
• 生存时间：86400

3. 点击『确定』按钮将配置的P1提议添加进系统并且显示在P1提议列表中。

第五步：配置ISAKMP网关。

安全网关A

1. 访问“VPNIPSec VPNVPN对端”，进入对端列表页面。
2. 点击对端列表中『新建』按钮，主窗口显示对端基本配置页面。具体配置信息如下：

• 对端名称：east
• 接口：从下拉菜单中选中“ethernet0/1”
• 模式：主模式
• 类型：静态IP
• 对端IP地址：1.1.1.2
• 提议1：从下拉菜单中选中“p1”
• 预共享密钥：hello1

3. 点击『确定』按钮将配置的ISAKMP网关添加进系统并且显示在对端列表中。

安全网关B

1. 访问“VPNIPSec VPNVPN对端”，进入对端列表页面。
2. 点击对端列表中『新建』按钮，主窗口显示对端基本配置页面。具体配置信息如下：

• 对端名称：east
• 接口：从下拉菜单中选中“ethernet0/1”
• 模式：主模式
• 类型：静态IP
• 对端IP地址：1.1.1.1
• 提议1：从下拉菜单中选中“p1”
• 预共享密钥：hello1

3. 点击『确定』按钮将配置的ISAKMP网关添加进系统并且显示在对端列表中。

注意：用户也可以通过访问“VPNIPSec VPNIPSec VPN”进入IPSec VPN列表页面，点击IKE VPN列表中的『新建』按钮，然后点击<步骤1：对端>，并且按照以上配置信息完成相关选项来配置ISAKMP网关（对端）。

第六步：配置P2提议。

安全网关A

1. 访问“VPNIPSec VPNP2提议”，进入P2提议列表页面。
2. 点击P2提议列表中『新建』按钮，弹出<阶段2提议配置>对话框。具体配置信息如下：

• 提议名称：P2
• 协议：ESP
• 验证算法1：SHA-1
• 加密算法1：3DES
• 压缩：Deflate
• PFS组：No PFS
• 生存时间：28800

3. 点击『确定』按钮将配置的P2提议添加进系统并且显示在P2提议列表中。

安全网关B

1. 访问“VPNIPSec VPNP2提议”，进入P2提议列表页面。
2. 点击P2提议列表中『新建』按钮，弹出<阶段2提议配置>对话框。具体配置信息如下：

• 提议名称：P2
• 协议：ESP
• 验证算法1：SHA-1
• 加密算法1：3DES
• 压缩：Deflate
• PFS组：No PFS
• 生存时间：28800

3. 点击『确定』按钮将配置的P2提议添加进系统并且显示在P2提议列表中。

第七步：配置名为VPN的隧道。

安全网关A

1. 访问“VPNIPSec VPNIPSec VPN”，进入IPSec VPN列表页面。
2. 点击IKE VPN列表中『新建』按钮，主窗口显示IKE VPN配置页面。点击<步骤1：对端>，然后点击<对端名称>文本框后的『导入』按钮，在下拉菜单中选择“east”。用户也可以直接在该页面新建对端（ISAKMP网关）。
3. 点击<步骤2：隧道>进行VPN隧道配置。具体配置信息如下：

• 名称：VPN
• 模式：tunnel
• 提议名称：P2
• 代理ID：手工
• 本地IP/掩码：10.1.1.0/24
• 远程IP/掩码：192.168.1.0/24
• 服务：any

3. 点击『确定』按钮将配置的隧道添加进系统并且显示在IKE VPN列表中。

安全网关B

1. 访问“VPNIPSec VPNIPSec VPN”，进入IPSec VPN列表页面。
2. 点击IKE VPN列表中『新建』按钮，主窗口显示IKE VPN配置页面。点击<步骤1：对端>，然后点击<对端名称>文本框后的『导入』按钮，在下拉菜单中选择“east”。用户也可以直接在该页面新建对端（ISAKMP网关）。
3. 点击<步骤2：隧道>进行VPN隧道配置。具体配置信息如下：

• 名称：VPN
• 模式：tunnel
• 提议名称：P2
• 代理ID：手工
• 本地IP/掩码：192.168.1.0/24
• 远程IP/掩码：10.1.1.0/24
• 服务：any

3. 点击『确定』按钮将配置的隧道添加进系统并且显示在IKE VPN列表中。

第八步：绑定隧道到隧道接口。

安全网关A

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表tunnel1<操作>栏中的『编辑』按钮，主窗口显示接口基本配置选项。在<隧道绑定管理>部分将隧道绑定到隧道接口。具体配置信息如下。

• 隧道类型：IPSec
• VPN名称：VPN

3. 点击『添加』按钮将隧道绑定信息添加进系统并且显示在隧道绑定列表中。

安全网关B

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表tunnel1<操作>栏中的『编辑』按钮，主窗口显示接口基本配置选项。在<隧道绑定管理>部分将隧道绑定到隧道接口。具体配置信息如下。

• 隧道类型：IPSec
• VPN名称：VPN

3. 点击『添加』按钮将隧道绑定信息添加进系统并且显示在隧道绑定列表中。

完成以上配置后，安全网关A和安全网关B之间的安全隧道便建立成功了。子网（10.1.1.0/24）与Server1代表的子网（192.168.1.0/24）之间的数据流将会被加密传输。