#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer a
proposal tran1
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0/0
#
interface Ethernet0/0/1
#退回系统视图。
[FWA-ipsec-policy-isakmp-map1-10]quit
9)引用安全策略
#进入以太网接口视图。
[FWA]interface Ethernet1/0/0
#引用IPSec策略。
[FWA-Ethernet1/0/0]ipsec policy map1
配置FWB:与FWA配置相同
#引用ike-peer a。
[FWA-ipsec-policy-isakmp-map1-10]ike-peer a
#引用名为tran1的安全提议。
[FWA-ipsec-policy-isakmp-map1-10]proposal tran1
#引用组号为3000的ACL。
[FWA-ipsec-policy-isakmp-map1-10]security acl 3000
firewall packet-filter default permit interzone local untrust direction outbound
#
nat alg enable ftp
nat alg enable dns
nat alg enable icmp
nat alg enable netbios
11.6
FWA的配置
<FWA>display current-configuration
#
acl number 3000
rule 0 permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255
acl number 3001
rule 0 permit ip source 10.0.1.0 0.0.0.255
ike sa keepalive-timer interval 30
ike sa keepalive-timer timeout90
11
配置采用IKE方式建立SA, IKE自动协商方式相对比较简单，只需要配置好IKE协商安全策略的信息，由IKE自动协商来创建和维护安全联盟。当与Eudemon进行通信的对等体设备数量较少时，或是在小型静态环境中，手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中，我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置
#
user-interface con 0
user-interface aux 0
authentication-mode none
user-interface vty 0 4
#
return
FWB的配置
<FWB>display current-configuration
#
sysname FWB
#
firewall packet-filter default permit interzone local untrust direction inbound
des为默认ESP协议的加密算法,可以不配置
#退回系统视图
[FWA-ipsec-proposal-tran1]quit
6)配置IKE提议。
[FWA]ike proposal 10
#配置使用pre-shared-key验证方法。
[FWA-ike-proposal-10]authentication-method pre-share
undo nat alg enable rtsp
firewall permit sub-ip
#
firewall statistic system enable
#
ike proposal 10
#
ike peer b
pre-shared-key huawei
ike-proposal 10
remote-address 200.0.0.1
#
ipsec proposal tran1
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal tran1
#
interface Aux0
async mode flow
link-protocol ppp
[FWA]ipsec proposal tran1
#配置安全协议。
[FWA-ipsec-proposal-tran1]transform esp
Esp为默认安全协议,可以不配置
#配置报文封装类型。
[FWA-ipsec-proposal-tran1]encapsulation-mode tunnel
Tunnel为默认封装类型,可以不配置
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface GigabitEthernet4/0/0
#
interface Ethernet1/0/0
ip address 200.0.0.1 255.255.255.0
ipsec policy map1
#
interface Ethernet1/0/1
ip address 10.0.0.1 255.255.255.0
#
interface Ethernet1/0/2
pre-shared-key验证方法为默认验证方法,可以不配置
#配置使用SHA1验证算法。
[FWA-ike-proposal-10]authentication-algorithmsha1
Sha1为默认验证算法,可以不配置
#配置ISAKMP SA的生存周期为86400秒。
[FWA-ike-proposal-10]sa duration86400
11.1
图11IKE点到点网络典型组网图
11.2
PC1与PC2之间进行安全通信，在FWA与FWB之间使用IKE自动协商建立安全通道。
在FWA和FWB上均配置序列号为10的IKE提议。
为使用pre-shared key验证方法的提议配置验证字。
FWA与FWB均为固定公网地址
11.3
设备型号：Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000实验设备: FWA Eudemon500 FWB Eudemon200
[FWA]firewall packet-filter default permit interzone local untrust
配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信，使其能够协商SA。
5)配置IPSec安全提议
#创建名为tran1的IPSec提议。
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface Ethernet1/0/1
#
firewall zone untrust
set priority 5
[FWA-acl-adv-3000]quit
[FWA]acl 3001
[FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255
[FWA-acl-adv-3001]quit
3）配置trust与untrust域间包过滤规则
[FWA]firewall interzone trust untrust
软件版本：V2R1及以上实验版本Eudemon500V200R006C02B059Eudemon200V200R001B01D036
11.4
1）防火墙基本配置,包括IP地址,安全域
2）配置公网路由,一般情况下,防火墙上配置静态路由
3）定义用于包过滤和加密的数据流
4)域间通信规则
5）配置IPSec安全提议
#
sysname FWA
#
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
[FWA-interzone-trust-untrust]packet-filter 3000 outbound
[FWA-interzone-trust-untrust]packet-filter 3001 inbound
[FWA-interzone-trust-untrust]quit
4）配置untrust与local域间包过滤规则
86400秒为默认AKMP SA的生存周期
#退回系统视图。