1 设置隧道接口
【应用场景】
隧道是一种封装技术,即在一种网络协议报文中封装其他协议的报文,然后在网络中进行传输。利用隧道,可实现在不兼容的网络中传输特定协议报文,以及在不安全的网络中为数据传输提供一条安全路径。隧道接口是用于实现隧道功能的三层虚拟接口,每一个隧道接口代表一个传输链路;隧道两端的设备通过创建隧道接口,实现数据报文的封装、传输和解封装等。
IPsec VPN场景下,可通过创建隧道接口并应用于IPsec隧道策略来实现IPsec隧道的建立,对路由到该隧道接口、且匹配感兴趣流的数据流进行加密传输。
【操作步骤】
(1) 点击[网络]>>[接口]>>[隧道接口]菜单项。
(2) 点击<新增>。
系统进入[新增隧道接口详情]页面。
(3) 设置隧道接口相关的配置项。
配置项 |
说明 |
配置方法 |
接口名称 |
隧道接口的名称。 |
接口名称只能由大小写字母和数字组成,且至少需要包含一个字母。 [示例] vti1 |
所属安全区域 |
接口所属的安全区域。 |
[示例] trust |
隧道源地址 |
隧道的源地址,即封装后的隧道报文的源IP地址。 |
两个隧道接口不允许配置相同的源地址和目的地址。 [示例] 10.1.1.10 |
隧道目的地址 |
隧道的目的地址,即封装后的隧道报文的目的IP地址。 |
● 可选配置。 ● 部分场景下,隧道本端可通过对端发送的报文动态学习到隧道的目的地址,隧道目的地址可设置为“动态”。 ● 两个隧道接口不允许配置相同的源地址和目的地址。 [示例] 10.1.1.20 |
描述 |
接口的描述字段,可以用于标注当前接口用途。 |
不能包含字符:`~!#%^&*+\|{};:'"/<>? [示例] IPsec tunnel |
(4) 确认配置无误后,点击<保存>。
【后续处理】
l 右上角搜索框支持根据隧道接口的名称,查询隧道接口信息。
l 点击<自定义字段>,设置页面展示的字段信息。
l 在隧道接口列表中,点击“编辑”可以对隧道接口配置进行修改;点击“删除”可删除隧道接口。
l 点击<刷新>,获取最新的隧道接口配置信息。
l 勾选接口表项后<删除>操作按钮,可对多个隧道接口进行批量删除。
2 自定义隧道
【应用场景】
除了向导式的配置方式,防火墙也支持手动配置IPsec隧道策略。相较于配置向导方式,自定义隧道方式更加灵活,但其配置方法也更加复杂;为防止配置错误导致IPsec VPN不可用,推荐优先使用配置向导方式配置IPsec隧道。
【前置条件】
配置IPsec VPN前,请先完成以下工作:
l 根据实际组网需求,提前创建IPsec隧道策略绑定的隧道接口。创建隧道接口的具体操作,请参见“设置隧道接口”。
l 点到点IPsec VPN场景下,提前获取对端设备的IP地址或域名,以及内网中需要访问的地址范围。
l 确保需要建立IPsec隧道的两端设备之间路由可达。
l 若隧道对端网络为域名格式,需要为防火墙配置可用的DNS服务器,以实现域名解析。
l 与对端设备的管理员共同协商确定IPsec隧道使用的安全参数以及预共享密钥口令。
注意
● IPsec隧道的建立需要通信双方的共同协商,IPsec隧道两端的设备均需部署IPsec VPN功能。
● IPsec隧道两端设备上配置的IKE参数、IPsec参数(安全协议、验证算法、加密算法、报文封装模式等)应相匹配,否则隧道无法协商成功。
【操作步骤】
(1) 点击[网络]>>[IPsec VPN]>>[自定义隧道]菜单项。 
(2) 在操作区,点击<新增>,进入[新增自定义隧道详情]页面。
配置项 |
说明 |
配置方法 |
部署场景 |
根据部署场景设置IPsec隧道的类型: ● 点到点:适用于对端拥有固定IP地址的场景,如企业分支机构的IPsec VPN部署。 ● 点到多点:适用于对端IP地址不固定或存在多个对端的场景,如企业总部的IPsec VPN部署;隧道协商需要由对端主动发起。 |
设备支持配置1条“点到多点”类型的IPsec隧道,以及多条“点到点”类型的IPsec隧道。 [示例] 点到点 |
隧道名称 |
输入IPsec隧道策略的名称。 |
不能包含以下字符:~!#%^&*+\|{};:",/<>? [示例] ipsec_1 |
描述 |
隧道的描述信息。合理的描述信息可让管理员快速了解该隧道的用途。 |
[示例] 分支11.1.1.2与总部10.1.1.2互访 |
启用状态 |
是否启用该IPsec隧道策略。 |
[示例] 启用 |
隧道接口 |
IPsec隧道策略关联的隧道接口。通过该接口实现对IPsec数据流的封装和解封装。 |
● 从下拉列表中选择已配置的隧道接口。 ● 如需新增隧道接口,点击“新增隧道接口”。 [示例] vti2 |
认证方式 |
隧道两端采用的身份认证方式。 当前暂时仅支持预共享密钥(pre-shared key)认证。 |
[示例] 预共享密钥 |
口令 |
预共享密钥认证方式下,用于身份认证的密钥字符串。 |
● 口令长度范围为6~16。 ● 通信双方需要配置相同的身份认证方式(预共享密钥)及认证口令。 [示例] Ruijie123 |
本端地址 |
本端设备与对端设备建立隧道所使用的接口或IP地址。 |
● 选择“接口”类型,则需要指定应用IPsec隧道策略的物理接口;若接口存在多个IP,则接口上的任一IP均可用于建立IPsec隧道。 ● 选择“IP地址”类型,则需要指定一个本机IP地址作为IPsec隧道的本端地址。 ● 本端地址需要与对端设备配置的“对端地址”相对应。 |
对端地址 |
对端设备建立隧道所使用的IP地址或域名。 |
● “点到点”场景下需要配置。 ● 输入IP地址或域名后,可点击<ping测试>检测两端之间是否路由可达。 ● 对端地址需要与对端设备配置的“本端地址”相对应。 [示例] 40.0.0.5 |
对端身份验证 |
是否对对端设备的身份进行认证。 |
点击开关设置是否启用本功能。启用后,需要设置对端设备的身份验证信息。 [示例] 启用 |
本端ID类型 |
本端ID用于标识本端设备的身份,供对端设备认证自身的合法性。支持以下类型: ● IPV4_ADDRESS:采用IPv4地址作为IKE协商过程中使用的本端ID。 ● FQDN:采用FQDN(Fully Qualified Domain Name,完全合格域名)类型的字符串作为IKE协商过程中使用的本端ID。 ● USER_FQDN:采用User FQDN(用户域名)类型的字符串作为IKE协商过程中使用的本端ID。 |
若选择“IPV4_ADDRESS”,则设备将直接使用本端地址作为本端ID。 [示例] IPV4_ADDRESS |
本端ID |
标识本端设备身份的字符串,用于身份认证。 |
● 需要与对端设备上设置的“对端ID”参数保持一致。 ● 根据本端ID类型,填写相应格式的字符串: ○ FQDN:本端的域名地址,如aaa.com。 ○ USER_FQDN:本端的用户域名,格式为“用户名@域名”,如julia@aaa.com。 |
对端ID类型 |
对端ID用于认证对端设备的身份,支持以下类型: ● IPV4_ADDRESS:对端采用IPv4地址作为ID进行认证。 ● FQDN:对端采用域名类型的字符串作为ID进行认证。 ● USER_FQDN:对端采用用户域名类型的字符串作为ID进行认证。 |
● 启用“对端身份验证”时需要配置。 ● 对端ID的类型与取值均需要与对端设备上设置的“本端ID”参数保持一致。请向对端管理员获取本参数。 [示例] IPV4_ADDRESS |
对端ID |
标识对端设备身份的字符串,用于认证对端设备的合法性。 |
● 启用“对端身份验证”时需要配置。 ● 对端ID取值需要与对端设备上设置的“本端ID”参数保持一致。请向对端管理员获取本参数。 ● 根据对端ID类型,填写相应格式的字符串: ○ IPV4_ADDRESS:对端的IP地址,如10.1.1.1 ○ FQDN:对端的域名地址,如bbb.com。 ○ USER_FQDN:对端的用户域名,格式为“用户名@域名”,如susan@bbb.com。 |
DPD类型 |
DPD探测用于检测IPsec隧道对端的存活状态,以便及时拆除异常的隧道。 DPD支持两种检测模式: ● 空闲模式:若本端发送报文后未收到对端的响应报文,则主动向对端发送DPD报文。 ● 定期模式:按照配置的DPD探测周期,定时发送DPD报文。 |
“点到点”场景下支持配置。 [示例] 空闲模式 |
DPD探测周期 |
定期模式下,两次DPD探测之间的时间间隔。单位为秒。 |
默认为30秒。 [示例] 30 |
DPD重试间隔 |
重新发送DPD探测报文的时间间隔。 本端发送DPD请求报文后,若在重试间隔时间内未收到响应报文,将重传DPD请求报文;若重传3次后,仍未收到对端的响应,则认为对端已经失效,自动拆除IPsec隧道。 |
默认为5秒。 [示例] 3 |
反向路由注入 |
设置是否启用反向路由注入功能。 开启反向路由注入功能后,设备会将把通往对端保护网段的路由自动添加到路由表中。 |
“点到多点”场景下支持配置。 [示例] 启用 |
下一跳地址 |
指定注入路由的下一跳地址。 |
● 仅在启用反向路由注入功能时生效。 ● 路由出接口默认为IPsec隧道接口。 [示例] 192.168.1.1 |
优先级 |
设置注入路由的优先级。 |
● 仅在启用反向路由注入功能时生效。 ● 取值范围为1~255,默认为5。 [示例] 5 |
(3) 点击<下一步>,配置IPsec隧道的感兴趣流。
a 点击<新增>,进入[新增感兴趣流]配置页面。
b 根据隧道两端需要安全互访的网段或主机地址,添加感兴趣流。
配置项 |
说明 |
配置方法 |
代理方式 |
根据隧道两端需要安全互访的地址范围,设置感兴趣流的代理方式: ● 自动:本端不对保护的数据流范围进行限制,根据对端定义的感兴趣流自动识别需要进行加密传输的流量。 ● 子网到子网:对两个子网之间的数据流进行保护。 ● 主机到主机:对两个主机之间的数据流进行保护。 |
[示例] 子网到子网 |
本端网络 |
感兴趣流的源地址,通常为本端内网中需要保护的网段或特定主机。 |
不同代理方式下,填写格式不同: ● 子网到子网:填写IP网段,如192.168.1.0/255.255.255.0或192.168.1.0/24。 ● 主机到主机:填写单个IP地址,如192.168.1.1。 |
对端网络 |
感兴趣流的目的地址,通常为需要访问的对端内网网段或特定主机。 |
不同代理方式下,填写格式不同: ● 子网到子网:填写IP网段,如192.168.1.0/255.255.255.0或192.168.1.0/24。 ● 主机到主机:填写单个IP地址,如192.168.1.1。 |
c 点击<确认>,保存感兴趣流配置。支持配置多条感兴趣流,点击<新增>可继续创建。
(4) 点击<下一步>,配置IKE协商建立IPsec隧道过程中使用的安全参数。
配置项 |
说明 |
配置方法 |
IKE参数 VPN两端设备应至少拥有一组相同的IKE参数,才能成功建立起IKE SA。 以下IKE参数中,除“SA生存周期”之外,所有参数必须在对端设备的IPsec VPN配置中存在相同选项。 |
||
协商模式 |
设置IKE第一阶段的协商模式: ● 主模式:对身份信息进行加密保护,安全性更高。 ● 野蛮模式:协商速度更快,但不对身份信息进行加密保护。 |
[示例] IKEv1主模式 |
加密算法 |
设置IKE协商建立IPsec SA使用的加密算法: ● DES:采用密钥长度为56比特的DES加密算法。 ● 3DES:采用密钥长度为168比特(3*56比特)的3DES加密算法。 ● AES-128:采用密钥长度为128比特的AES加密算法。 ● AES-192:采用密钥长度为192比特的AES加密算法。 ● AES-256:采用密钥长度为256比特的AES加密算法。 按照安全性从高到低,依次为:AES-256 > AES-192 > AES128 > 3DES > DES |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用AES-128加密算法。 [示例] AES-192 |
验证算法 |
设置IKE协商使用的验证算法: ● MD5:采用MD5算法,可产生128比特的消息摘要。 ● SHA:采用SHA1算法,可产生160比特的消息摘要。 ● SHA-256:采用SHA2-256算法,可产生256比特的消息摘要。 ● SHA-384:采用SHA2-384算法,可产生384比特的消息摘要。 ● SHA-512:采用SHA2-512算法,可产生512比特的消息摘要。 消息摘要越长,安全性越高,同时计算速度也会越慢。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用SHA算法。 [示例] MD5 |
DH组 |
设置IKE协商使用的DH(Diffie-Hellman)组: ● GROUP1:采用768位的DH组 ● GROUP2:采用1024位的DH组 ● GROUP5:采用1536位的DH组 ● GROUP14:采用2048位的DH组 ● GROUP15:采用3072位的DH组 ● GROUP16:采用4096位的DH组 DH组确定了密钥交换过程中使用的密钥强度;组编号越大,安全性越高,同时计算密钥所耗费的时间也会越长。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用GROUP5。 [示例] GROUP14 |
SA生存周期 |
设置IKE SA的生存周期。 IKE SA实际的生存周期以两端最终协商结果为准。 |
● 取值范围为120~604800,单位为秒 ● 默认为86400秒(1天) [示例] 86400 |
IPsec参数 VPN两端设备应至少拥有一组相同的IPsec参数,才能成功建立起IPsec SA。 以下IPsec参数中,除“SA生存周期”之外,所有参数必须在对端设备的IPsec VPN配置中存在相同选项。 |
||
协议 |
设置IPsec使用的安全协议,当前仅支持ESP(Encapsulating Security Payload,报文安全封装)协议。 ESP协议支持对报文进行加密和认证。 |
[示例] ESP |
封装模式 |
IPsec的封装模式,当前仅支持配置为Tunnel(隧道模式)。 |
[示例] Tunnel |
加密算法 |
设置IPsec隧道使用的加密算法: ● DES:采用密钥长度为56比特的DES加密算法。 ● 3DES:采用密钥长度为168比特(3*56比特)的3DES加密算法。 ● AES-128:采用密钥长度为128比特的AES加密算法。 ● AES-192:采用密钥长度为192比特的AES加密算法。 ● AES-256:采用密钥长度为256比特的AES加密算法。 ● NULL:不对数据进行加密。 按照安全性从高到低,依次为:AES-256 > AES-192 > AES128 > 3DES > DES |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用AES-128加密算法。 [示例] AES-192 |
验证算法 |
设置IPsec隧道使用的认证算法: ● MD5:采用MD5算法,可产生128比特的消息摘要。 ● SHA:采用SHA1算法,可产生160比特的消息摘要。 ● SHA-256:采用SHA2-256算法,可产生256比特的消息摘要。 ● SHA-384:采用SHA2-384算法,可产生384比特的消息摘要。 ● SHA-512:采用SHA2-512算法,可产生512比特的消息摘要。 消息摘要越长,安全性越高,同时计算速度也会越慢。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 默认使用SHA算法。 [示例] MD5 |
完美前向保密 |
设置是否开启完美前向保密功能。 完美前向保密通过执行一次额外的DH交换,确保即使IKE SA使用的密钥被破解,IPsec SA使用的密钥的安全性也不会受到影响。 |
[示例] 启用 |
DH组 |
设置PFS特性使用的DH组: ● GROUP1:采用768位的DH组 ● GROUP2:采用1024位的DH组 ● GROUP5:采用1536位的DH组 ● GROUP14:采用2048位的DH组 ● GROUP15:采用3072位的DH组 ● GROUP16:采用4096位的DH组 组编号越大,安全性越高,同时计算密钥所耗费的时间也会越长。 |
● 点击输入框,在下拉列表中进行选择;支持多选。 ● 开启完美前向加密功能后,默认使用GROUP5。 [示例] GROUP14 |
SA生存周期 |
设置IPsec SA的生存周期。 当IPsec SA存活时间超过该值时,设备会将使用新协商建立的SA取代旧SA。 IPsec SA实际的生存周期以两端协商结果为准。 |
● 取值范围为60~604800,单位为秒 ● 默认为3600秒(1小时) [示例] 3000 |
隧道MTU |
设置IPsec隧道单次可传输的数据包的最大字节数。 |
● 默认为1400。 ● 隧道MTU应小于出接口的MTU。 [示例] 1480 |
(5) 确认配置无误后,点击<完成>保存配置。如需修改前面步骤中的配置,可点击<上一步>返回。
【后续处理】
l 不同于向导方式,创建自定义IPsec隧道后,系统不会自动生成IPsec VPN工作所需的其他配置(如安全策略、路由等),设备至少还需要拥有以下配置,才能使IPsec VPN正常工作:
配置项 |
说明 |
配置示例(仅供参考) |
路由 |
通过路由,将需要经过IPsec隧道传输的流量转发到隧道接口上进行IPsec处理。 |
● 目的网段/掩码:感兴趣流中的对端网络地址 ● 出接口:IPsec隧道关联的隧道接口 ● 优先级:5 |
安全策略 |
放行隧道两端内网的通信流量的安全策略(包括入方向和出方向)。 |
● 入方向(in)安全策略: ○ 源安全区域:untrust ○ 源地址:感兴趣流中的对端网络地址 ○ 目的安全区域:trust ○ 目的地址:感兴趣流中的本端网络地址 ○ 动作:允许 ● 出方向(out)安全策略: ○ 源安全区域:any ○ 源地址:感兴趣流中的本端网络地址 ○ 目的安全区域:untrust ○ 目的地址:感兴趣流中的对端网络地址 ○ 动作:允许 |
l 可对自定义隧道策略进行修改或删除。
○ 点击 
开关可设置是否启用隧道策略。
○ 点击<查看详细配置>,可查看IPsec隧道的详细协商参数配置。
○ 点击<编辑>,可对隧道配置进行修改。
○ 点击<删除>,可删除配置的IPsec隧道策略。