IKE VPN配置举例

本节提供一个IKE VPN配置实例。

在安全网关A和安全网关B之间建立一个安全隧道，PC1作为安全网关A端的主机，IP地址为10.1.1.1，网关为10.1.1.2；Server1作为安全网关B端的服务器，IP地址为192.168.1.1，网关是192.168.1.2。要求对PC1代表的子网（10.1.1.0/24）与Server1代表的子网（192.168.1.0/24）之间的数据流进行安全保护（通过基于路由的VPN方式实现VPN的应用）。安全协议采用ESP协议，加密算法采用3DES，验证算法采用SHA1，压缩算法采用DEFLATE。

组网图如下：

请按照以下步骤进行配置：

第一步：配置安全网关接口。

安全网关A

1. 点击“配置网络网络连接”，进入网络连接页面。
2. 从接口列表中选中ethernet0/0，然后点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。在该对话框做以下配置：
   • 绑定安全域：三层安全域
   • 安全域：trust
   • 类型：静态IP
   • IP地址：10.1.1.2
   • 网络掩码：255.255.255.0
     
3. 点击『确定』按钮保存所做配置并返回网络连接页面。
4. 从接口列表中选中ethernet0/1，然后点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。在该对话框做以下配置：
   • 绑定安全域：三层安全域
   • 安全域：untrust
   • 类型：静态IP
   • IP地址1.1.1.1
   • 网络掩码：255.255.255.0
     
5. 点击『确定』按钮保存所做配置并返回网络连接页面。
6. 点击接口列表左上方的『新建』按钮，从下拉菜单中选择并点击<隧道接口>，弹出<接口配置>对话框。在该对话框做以下配置：
   • 名称：tunnel1
   • 绑定安全域：三层安全域
   • 安全域：trust
7. 点击『确定』按钮保存所做配置并返回网络连接页面。
   

安全网关B

1. 点击“配置网络网络连接”，进入网络连接页面。
2. 从接口列表中选中ethernet0/0，然后点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。在该对话框做以下配置：
   • 绑定安全域：三层安全域
   • 安全域：trust
   • 类型：静态IP
   • IP地址：192.168.1.2
   • 网络掩码：255.255.255.0
     
3. 点击『确定』按钮保存所做配置并返回网络连接页面。
4. 从接口列表中选中ethernet0/1，然后点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。在该对话框做以下配置：
   • 绑定安全域：三层安全域
   • 安全域：从下拉菜单中选中“untrust”
   • 类型：静态IP
   • IP地址：1.1.1.2
   • 网络掩码：255.255.255.0
     
5. 点击『确定』按钮保存所做配置并返回网络连接页面。
6. 点击接口列表左上方的『新建』按钮，从下拉菜单中选择并点击<隧道接口>，弹出<接口配置>对话框。在该对话框做以下配置：
   • 名称：tunnel1
   • 绑定安全域：三层安全域
   • 安全域：trust
7. 点击『确定』按钮保存所做配置并返回网络连接页面。

第二步：配置安全网关策略规则。

安全网关A

1. 点击“配置安全策略”，进入策略页面。
2. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。在该对话框做以下配置：
   • 源安全域：trust
   • 源地址：Any
   • 目的安全域：trust
   • 目的地址：Any
   • 服务簿：Any
   • 行为：允许
3. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
4. 再次点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。在该对话框做以下配置：
   • 源安全域：untrust
   • 源地址：Any
   • 目的安全域：trust
   • 目的地址：Any
   • 服务簿：Any
   • 行为：允许
5. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

安全网关B

1. 访问“配置安全策略”，进入策略页面。
2. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。在该对话框做以下配置：
   • 源安全域：trust
   • 源地址：Any
   • 目的安全域：trust
   • 目的地址：Any
   • 服务簿：Any
   • 行为：允许
3. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。
4. 再次点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。在该对话框做以下配置：
   • 源安全域：untrust
   • 源地址：Any
   • 目的安全域：trust
   • 目的地址：Any
   • 服务簿：Any
   • 行为：允许
5. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

第三步：配置路由。

安全网关A

1. 访问“配置网络路由”，进入目的路由页面。
2. 点击目的路由列表左上方的『新建』按钮，弹出<目的路由配置>对话框。在该对话框做以下配置：
   • 目的地：192.168.1.0
   • 子网掩码：255.255.255.0
   • 下一跳：接口
   • 接口：tunnel1
3. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。

安全网关B

1. 访问“配置网络路由”，进入目的路由页面。
2. 点击目的路由列表左上方的『新建』按钮，弹出<目的路由配置>对话框。在该对话框做以下配置：
   • 目的地：10.1.1.0
   • 子网掩码：255.255.255.0
   • 下一跳：接口
   • 接口：tunnel1
3. 点击『确定』按钮将配置的路由添加进系统并且显示在目的路由列表中。

第四步：配置P1提议。

安全网关A

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。点击『P1提议』标签，进入P1提议标签页。
2. 点击P1提议列表左上方的『新建』按钮，弹出<阶段1提议配置>对话框，在该对话框做以下配置：
   • 提议名称：P1
   • 认证：pre-share
   • 验证算法：SHA-1
   • 加密算法：3DES
   • DH组：Group2
   • 生存时间：86400
3. 点击『确定』按钮将配置的P1提议添加进系统并且显示在P1提议列表中。

安全网关B

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。点击『P1提议』标签，进入P1提议标签页。
2. 点击P1提议列表左上方的『新建』按钮，弹出<阶段1提议配置>对话框，在该对话框做以下配置：
   • 提议名称：P1
   • 认证：pre-share
   • 验证算法：SHA-1
   • 加密算法：3DES
   • DH组：Group2
   • 生存时间：86400
3. 点击『确定』按钮将配置的P1提议添加进系统并且显示在P1提议列表中。

第五步：配置ISAKMP网关。

安全网关A

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。点击『VPN对端列表』标签，进入VPN对端列表标签页。
2. 点击VPN对端列表左上方的『新建』按钮，弹出<VPN对端配置>对话框，在该对话框做以下配置：
   • 对端名称：east
   • 接口：ethernet0/1
   • 模式：主模式
   • 类型：静态IP
   • 对端IP地址：1.1.1.2
   • 提议1：p1
   • 预共享密钥：hello1
3. 点击『确定』按钮将配置的ISAKMP网关添加进系统并且显示在对端列表中。

安全网关B

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。点击『VPN对端列表』标签，进入VPN对端列表标签页。
2. 点击VPN对端列表左上方的『新建』按钮，弹出<VPN对端配置>对话框，在该对话框做以下配置：
   • 对端名称：east
   • 接口：ethernet0/1
   • 模式：主模式
   • 类型：静态IP
   • 对端IP地址：1.1.1.1
   • 提议1：p1
   • 预共享密钥：hello1
3. 点击『确定』按钮将配置的ISAKMP网关添加进系统并且显示在对端列表中。

第六步：配置P2提议。

安全网关A

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。点击『P2提议』标签，进入P2提议标签页。
2. 点击P2提议列表左上方的『新建』按钮，弹出<阶段2提议配置>对话框，在该对话框做以下配置：
   • 提议名称：P2
   • 协议：ESP
   • 验证算法1：SHA-1
   • 加密算法1：3DES
   • 压缩：Deflate
   • PFS组：No PFS
   • 生存时间：28800
3. 点击『确定』按钮将配置的P2提议添加进系统并且显示在P2提议列表中。

安全网关B

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。点击『P2提议』标签，进入P2提议标签页。
2. 点击P2提议列表左上方的『新建』按钮，弹出<阶段2提议配置>对话框，在该对话框做以下配置：
   • 提议名称：P2
   • 协议：ESP
   • 验证算法1：SHA-1
   • 加密算法1：3DES
   • 压缩：Deflate
   • PFS组：No PFS
   • 生存时间：28800
3. 点击『确定』按钮将配置的P2提议添加进系统并且显示在P2提议列表中。

第七步：配置名为VPN的隧道。

安全网关A

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。
2. 点击IKE VPN列表左上方的『新建』按钮弹出<IKE VPN配置>对话框。在<步骤1：对端>部分点击<对端名称>文本框后的『导入』按钮，在下拉菜单中选择“east”。用户也可以直接在该页面新建对端（ISAKMP网关）。
3. 点击<步骤2：隧道>进行VPN隧道配置。具体配置信息如下：
   • 名称：VPN
   • 模式：tunnel
   • p2提议：P2
   • 代理ID：手工
   • 本地IP/掩码：10.1.1.0/24
   • 远程IP/掩码：192.168.1.0/24
   • 服务：Any
4. 点击『确定』按钮将配置的隧道添加进系统并且显示在IKE VPN列表中。

安全网关B

1. 从页面左侧导航树选择并点击“配置网络IPSec VPN”，进入IPSec VPN页面。
2. 点击IKE VPN列表左上方的『新建』按钮弹出<IKE VPN配置>对话框。在<步骤1：对端>部分点击<对端名称>文本框后的『导入』按钮，在下拉菜单中选择“east”。用户也可以直接在该页面新建对端（ISAKMP网关）。
3. 点击<步骤2：隧道>进行VPN隧道配置。具体配置信息如下：
   • 名称：VPN
   • 模式：tunnel
   • p2提议：P2
   • 代理ID：手工
   • 本地IP/掩码：192.168.1.0/24
   • 远程IP/掩码：10.1.1.0/24
   • 服务：Any
4. 点击『确定』按钮将配置的隧道添加进系统并且显示在IKE VPN列表中。

第八步：绑定隧道到隧道接口。

安全网关A

1. 点击“配置网络网络连接”，进入网络连接页面。
2. 从接口列表中选中tunnel1，然后点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。在该对话框<隧道绑定配置>部分做以下配置：
   • 隧道类型：IPSec
   • VPN名称：VPN
3. 点击『添加』按钮将隧道绑定信息添加进系统并且显示在隧道绑定列表中。

安全网关B

1. 点击“配置网络网络连接”，进入网络连接页面。
2. 从接口列表中选中tunnel1，然后点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。在该对话框<隧道绑定配置>部分做以下配置：
   • 隧道类型：IPSec
   • VPN名称：VPN
3. 点击『添加』按钮将隧道绑定信息添加进系统并且显示在隧道绑定列表中。

完成以上配置后，安全网关A和安全网关B之间的安全隧道便建立成功了。子网（10.1.1.0/24）与Server1代表的子网（192.168.1.0/24）之间的数据流将会被加密传输。