一、组网需求

如图所示，通过在NGFW与H3C路由之间建立ipsec VPN，将2个局域网连接起来，实现192.168.0.0/24与192.168.1.0/24两个网段的通信。

二、网络拓扑

三、配置要点    

       1、配置NGFW1

             1）基本上网配置

             2）IKE阶段1

             3）IKE阶段2    

             4）配置路由    

              5）配置策略         

       2、配置H3C路由器

四、配置步骤    

1、配置NGFW1    

1)基本上网配置

配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节：

接口IP配置如下：

路由配置如下

2)创建VPN           

进入：网络配置---IPSec向导，按照向导的提示进行配置：

            名称： VPN，用于标识作用，接口模式下，将用于VPN虚拟接口的名字

            远程网关：  对端防火墙的外网接口的ＩＰ地址200.1.1.2

　　　  流出接口:  防火墙与对端设备建立VPN所使用的接口，通常为外网接口.

            认证方法：  与共享秘钥

            与共享秘钥：  秘钥，两端设备相同即可。

          本地外联端口：  内网所在的接口

          本地子网： 本地网络所保护的子网，该参数用于配置网络的IPSEC感兴趣流

          远程子网： 远程网络所保护的子网，该参数用于配置网络的IPSEC感兴趣流

          点击 ‘完成。

            3)修改VPN参数（可选，本例中无需修改）        如需要，可以双击上图中的vpn来修改参数。

         更多有关IPSEC阶段1和阶段2 的参数可以通过点击‘转换为自定义通道’来进行修改。

            名称： VPN，用于标识作用，接口模式下，将用于VPN虚拟接口的名字

            远程网关：  静态IP地址

            IP地址： 对端防火墙的外网接口的ＩＰ地址，200.1.1.2

　　　  接口:  防火墙与对端设备建立VPN所使用的接口，通常为外网接口.

            NAT穿越：  如果VPN设备之间有NAT，则需要勾选。

　　　  保持存活频率:  通过发送数据包来保持NAT的转换的存活，防止NAT表超时而消失

            认证方式：  与共享秘钥

            预共享秘钥：  秘钥，两端设备相同即可          

            其他参数适用默认参数，参数细节请参考《阶段1参数》一节      

           可以点击  阶段2 选择器 下面的 ‘编辑’按钮来编辑阶段2.参数，务必勾选 ‘自动密钥保持存活’。

    4）配置vpn路由和策略

          该部分配置由向导自动完成，可以点击查看，并根据要求进行修改。

            路由：  网络设置--路由--静态路由

       VPN访问策略：VPN向导自动生成所需的防火墙地址对象和策略。

            菜单： 安全策略--策略---策略，默认为全通策略，可根据业务需求来对策略进行修改。

2、配置H3C路由器

acl number 3001                                         //定义acl，与RGW的快速选择器相对应，定义IPsec加密流。

 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

#                            

ike peer xzxfj                                               //定义阶段1

 exchange-mode aggressive                        //野蛮模式     

 pre-shared-key simple xzfgw@123            //预共享密钥

 id-type name

 remote-name xzxfj1

 remote-address 100.1.1.2                           //远程网管地址，RGW的外网口地址

 local-address 202.1.1.2                               // 本地地址

 dpd 1                                                         //是否开启dpd

 nat traversal                                                //是否开启nat穿越

#

ipsec proposal xzxfj                                      //定义阶段2

 transform esp                                              //定义阶段2使用的封装模式，RGW默认使用ESP    

 esp authentication-algorithm sha1

#

ipsec policy test 1 isakmp                               //定义ipsec 策略， acl 3001的数据流会匹配相应的阶段1和阶段2

 security acl 3001

 ike-peer xzxfj

 proposal xzxfj

#

interface GigabitEthernet0/0                              //内网接口

 port link-mode route

 description Link_To_NE40-E1/1/15

 ip address 192.168.1.0 255.255.255.0

 tcp mss 1300

#

interface GigabitEthernet0/1                              //互联网接口

 port link-mode route

 description Link_To_Internet

 ip address 202.1.1.2 255.255.255.192

 tcp mss 1300

 ipsec policy test                                                //ipsec 策略应用到外网接口上

#

 ip route-static 0.0.0.0 0.0.0.0 202.1.1.1              //配置默认网关

#    

五、检查配置结果   

查看VPN监视器，观察状态： 进入“虚拟专网”--“监视器”--"IPsec监测”    

两个网络采用 ping测试方式，192.168.1.0/24和192.168.0.0/24两个内网可以相互访问。

             h3c路由器参考命令:

            （1）display ipsec sa

            <H3C>dis ipsec sa

            Interface: Ethernet3/0

                path MTU: 1500

              -----------------------------

              IPsec policy name: "ipsec"         

              sequence number: 10               

              mode: isakmp                       

              -----------------------------

                connection id: 3    

                encapsulation mode: tunnel      

                perfect forward secrecy: None

                tunnel:

                    local  address: 10.0.0.1     

                    remote address: 10.0.0.2     

                flow:    (0 times matched)       

                    sour addr: 192.168.0.0/255.255.255.0  port: 0  protocol: IP

                    dest addr: 10.0.0.2/255.255.255.255  port: 0  protocol: IP

                [inbound ESP SAs]             

                  spi: 198902729 (0xbdb03c9)

                  proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5

                  sa key duration (bytes/sec): 1887436800/3600

                  sa remaining key duration (bytes/sec): 1887436800/3595

                  max received sequence-number: 1

                  udp encapsulation used for nat traversal: N

                [outbound ESP SAs]              

                  spi: 1513366915 (0x5a342583)

                  proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5

                  sa key duration (bytes/sec): 1887436800/3600

                  sa remaining key duration (bytes/sec): 1887436800/3595

                  max sent sequence-number: 1

                  udp encapsulation used for nat traversal: N

            （2）display ipsec sa brief

            <H3C>dis ipsec sa br

            total phase-2 SAs: 2

            Src Address     Dst Address     SPI        Protocol  Algorithm

            -------------------------------------------------------------------------------------

            10.0.0.1        10.0.0.2        1513366915 ESP       E:DES;

                                                              A:HMAC-MD5-96;

            10.0.0.2        10.0.0.1        198902729  ESP       E:DES;

                                                              A:HMAC-MD5-96;

            （3）display ike sa

            <H3C>dis ike sa

            total phase-1 SAs:  1

               connection-id     peer            flag        phase   doi

              ------------------------------------------------------------------------------------------------------

                 3             10.0.0.2        RD|ST         2     IPSEC

                 2             10.0.0.2        RD|ST         1     IPSEC

            （4）display ipsec statistics all

            <H3C>dis ipsec statistics all

              the security packet statistics:

            input/output security packets: 10/10         

                input/output security bytes: 840/840        

                input/output dropped security packets: 0/1

                dropped security packet detail:             

                  no enough memory: 0

                  can't find SA: 1

                  queue is full: 0

                  authentication is failed: 0

                  wrong length: 0

                  replay packet: 0

                  too long packet: 0

                  wrong SA: 0

            如果想清空数据以便重新统计，可运行命令：reset ipsec statistics。