前言：

IPSec（InternetProtocolSecurity）是一种开放标准的框架结构，是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。通过使用加密的安全服务，以确保工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的保密而安全的通讯。

试验环境：

这里我们用一台华为s3526交换机模拟INTERNET   两台Quidway S2403H-HI交换机作为局域网连接设备

两边分别用华为的防火墙连接两个192.168.1.0和192.168.2.0网段的局域网

实现廉价连接使用×××技术

为了让两个局域网互相安全的通信，在两个防火墙之间采用IPSEC技术

实验目的：

通过在隧道上设置IPSEC实现192.168.1.0和192.168.2.0网段的局域网之间的互联。

S3526交换机的配置（模拟internet）

<Quidway>system-view

[Quidway]sysname isp

创建vlan并把端口加入到vlan

[isp]vlan 10

[isp-vlan10]port e0/10

[isp-vlan10]vlan 20

[isp-vlan20]port e0/20

配置接口地址

[isp-vlan20]int vlan 10

[isp-Vlan-interface10]ip add 61.130.130.2 255.255.255.0

[isp-Vlan-interface10]int vlan 20

[isp-Vlan-interface20]ip add 61.130.132.2 255.255.255.0

[isp-Vlan-interface20]dis ip routing-table查看路由表

一：基本接口配置

fw1的配置:

<H3C>system-view

[H3C]sysname fw1

配置接口地址

[fw1]interface eth0/0

[fw1-Ethernet0/0]ip add 192.168.1.254 24

[fw1-Ethernet0/0]int eth0/4

[fw1-Ethernet0/4]ip add 61.130.130.1 30

[fw1-Ethernet0/4]quit

把接口加入到区域

[fw1]firewall zone untrust 开启一个非信任区域

[fw1-zone-untrust]add interface eth0/4 把接口加入到区域

[fw1-zone-untrust]ping 61.130.130.2 测试和外网的连通性

[fw1]ip route-static 0.0.0.0 0 61.130.130.2 配默认路由

fw2的配置:

<H3C>system-view

[H3C]sysname fw2

配置接口地址

[fw2]int eth0/0

[fw2-Ethernet0/0]ip add 192.168.2.254 24

[fw2-Ethernet0/0]loopback  这里为了方便把e0/0口设置成loopback

[fw2-Ethernet0/0]int eth0/4

[fw2-Ethernet0/4]ip add 61.130.132.1 30

[fw2-Ethernet0/4]quit

把接口添加到区域

[fw2]firewall zone trust  开启一个信任区域

[fw2-zone-trust]add interface eth0/0

[fw2-zone-untrust]ping 61.130.132.2 测试与外网的连通性

[fw2]dis ip routing-table 查看路由表

[fw2]ip route-static 0.0.0.0 0 61.130.132.2 配置默认路由

[fw2]ping 61.130.130.1  测试与fw1的连通性

说明此时fw1与fw2之间已经能通信了

Pc1的配置

此时pc1与pc2之间不能访问既192.168.1.0和192.168.2.0之间不能访问

二：IPSEC的设置

fw1设置ipsec:

筛选流量

[fw1]acl number 3000 match-order auto 建立访问控制列表

[fw1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255设置访问控制列表规则，让所有1.0网段访问2.0网段的流量从隧道过去

[fw1-acl-adv-3000]rule 20 deny ip source any destination any 拒绝其他流量从隧道过去

设置安全提议

[fw1-acl-adv-3000]quit

[fw1]ipsec proposal abc1 设置安全提议名称为abc1

[fw1-ipsec-proposal-abc1]encapsulation-mode tunnel 设置封装模式隧道

[fw1-ipsec-proposal-abc1]transform esp 传输方式esp

[fw1-ipsec-proposal-abc1]esp authentication-algorithm md5验证方式md5

[fw1-ipsec-proposal-abc1]esp encryption-algorithm des 加密算法des

[fw1-ipsec-proposal-abc1]dis ipsec proposal 查看安全提议

设置策略既捆绑流量筛选和安全提议

[fw1]ipsec policy policy1 10 manual 设置安全提议为手工模式

[fw1-ipsec-policy-manual-policy1-10]security acl 3000

[fw1-ipsec-policy-manual-policy1-10]proposal abc1符合acl3000的走abc1

[fw1-ipsec-policy-manual-policy1-10]tunnel local 61.130.130.1设置隧道的本端地址

[fw1-ipsec-policy-manual-policy1-10]tunnel remote 61.130.132.1设置隧道的远端地址

[fw1-ipsec-policy-manual-policy1-10]sa spi outbound esp 12345

[fw1-ipsec-policy-manual-policy1-10]sa string-key outbound esp abcde出去的验证密钥abcde

[fw1-ipsec-policy-manual-policy1-10]sa spi inbound esp 54321

[fw1-ipsec-policy-manual-policy1-10]sa string-key inbound esp qazwsx进来的验证密钥

[fw1]dis cu

[fw1]int eth0/4

[fw1-Ethernet0/4]ipsec policy policy1 把策略应用到eth0/4接口

[fw1-Ethernet0/4]dis ipsec sa  查看ipsec的sa信息

fw2设置ipsec

筛选流量

[fw2]acl number 3000 match-order auto  建立访问控制列表

[fw2-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 设置访问控制列表规则，让所有2.0网段访问1.0网段的流量从隧道过去

[fw2-acl-adv-3000]rule 20 deny ip source any destination any 拒绝其他流量从隧道过去

设置安全提议

[fw2]ipsec proposal abc2 设置安全提议名称为abc2

[fw2-ipsec-proposal-abc2]encapsulation-mode tunnel 设置封装模式隧道

[fw2-ipsec-proposal-abc2]transform esp 传输方式esp

[fw2-ipsec-proposal-abc2]esp encryption-algorithm des加密算法des

[fw2-ipsec-proposal-abc2]esp authentication-algorithm md5 验证方式md5

[fw2-ipsec-proposal-abc2]quit

设置策略既捆绑流量筛选和安全提议

[fw2]ipsec policy policy2 10 manual  设置安全提议方式为手工

[fw2-ipsec-policy-manual-policy2-10]security acl 3000

[fw2-ipsec-policy-manual-policy2-10]proposal abc2    符合访问控制列表3000的走abc2

[fw2-ipsec-policy-manual-policy2-10]tunnel local 61.130.132.1 设置本端地址

[fw2-ipsec-policy-manual-policy2-10]tunnel remote 61.130.130.1 设置远端地址

[fw2-ipsec-policy-manual-policy2-10]sa spi inbound esp 12345 这里进来的要和fw1出去的sa一致

[fw2-ipsec-policy-manual-policy2-10]sa string-key inbound esp abcde 设置出去的验证密钥

[fw2-ipsec-policy-manual-policy2-10]sa spi outbound esp 54321

[fw2-ipsec-policy-manual-policy2-10]sa string-key outbound esp qazwsx 设置进来的验证密钥

[fw2-ipsec-policy-manual-policy2-10]int eth0/4

[fw2-Ethernet0/4]ipsec policy policy2 把策略应用得到eth0/4口

[fw2-Ethernet0/4]dis ipsec sa查看sa信息

实验结果：

此时pc1和pc2可以通信