Hola a todos, el día de hoy les presentare un tema interesante que consiste en la interoperabilidad entre un firewall USG y un router comomparte de una solución que esta disponible a los clientes que lo requerian. Revisemos el tema a detalle.
Los valores predeterminados de las configuraciones IPSec en el firewall y en el router AR son diferentes. Debe comparar la configuración de los parámetros en ambos extremos para asegurarse de que coincidan.
Contexto
Como se muestra en la Figura 2-5, la sede y la sucursal acceden a Internet respectivamente a través de NGFW y AR. La empresa requiere que se establezca un túnel IPsec entre el NGFW y AR para que la sede y la sucursal se comuniquen.
Figura 2-5 Establecimiento de un túnel IPsec entre el NGFW y AR usando una política
Configuration Item | NGFW | AR | |
Device information | lDevice model: USG6330 lSoftware version: V100R001C30 | lDevice model: AR2220 lSoftware version: V200R005C20 | |
IPsec policy type | Policy-based | Policy-based | |
IPsec proposal | Encapsulation mode | Tunnel mode | Tunnel mode |
Security protocol | ESP | ESP | |
ESP authentication algorithm | SHA2-256 | SHA2-256 | |
ESP encryption algorithm | AES-128 | AES-128 | |
DH Group | GROUP2 | GROUP2 | |
IKE peer | Negotiation mode | Main mode | Main mode |
Encryption algorithm | AES-128 | AES-128 | |
Authentication algorithm | SHA2-256 | SHA2-256 | |
Pre-shared key | Key123 | Key123 | |
Identity type | IP address | IP address | |
Version | V1 | V1 |
Procedimiento
Configurar el NGFW.
1. Configure las direcciones IP para las interfaces y asígnelas a las zonas de seguridad.
[NGFW]interface GigabitEthernet 1/0/1
[NGFW-GigabitEthernet1/0/1]ip address 10.1.1.1 24
[NGFW-GigabitEthernet1/0/1]quit
[NGFW]interface GigabitEthernet 1/0/2
[NGFW-GigabitEthernet1/0/2]ip address 1.1.3.1 24
[NGFW-GigabitEthernet1/0/2]quit
[NGFW]firewall zone trust
[NGFW-zone-trust]add interface GigabitEthernet 1/0/1
[NGFW-zone-trust]quit
[NGFW]firewall zone untrust
[NGFW-zone-untrust]add interface GigabitEthernet 1/0/2
[NGFW-zone-untrust]quit
2. Configure una ruta predeterminada del NGFW a Internet. En el ejemplo, la dirección IP del siguiente salto
es 1.1.3.2
[NGFW]ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
3. Configure las políticas de seguridad entre zonas
a. Configure políticas de seguridad para la interzona Trust-Untrust para permitir que
los paquetes encapsulados y desencapsulados pasen a través del NGFW.
[NGFW]security-policy
[NGFW-policy-security]rule name 1
[NGFW-policy-security-rule-1]source-zone untrust
[NGFW-policy-security-rule-1]destination-zone trust
[NGFW-policy-security-rule-1]source-address 10.1.3.0 24
[NGFW-policy-security-rule-1]destination-address 10.1.1.0 24
[NGFW-policy-security-rule-1]action permit
[NGFW-policy-security-rule-1]quit
[NGFW-policy-security]rule name 2
[NGFW-policy-security-rule-2]source-zone trust
[NGFW-policy-security-rule-2]destination-zone untrust
[NGFW-policy-security-rule-2]source-address 10.1.1.0 24
[NGFW-policy-security-rule-2]destination-address 10.1.3.0 24
[NGFW-policy-security-rule-2]action permit
[NGFW-policy-security-rule-2]quit
b. Configure políticas de seguridad para la interzona Local-Untrust para
permitir que lospaquetes de negociación IKE pasen a través del NGFW
[NGFW-policy-security]rule name 3
[NGFW-policy-security-rule-3]source-zone local
[NGFW-policy-security-rule-3]destination-zone untrust
[NGFW-policy-security-rule-3]source-address 1.1.3.1 32
[NGFW-policy-security-rule-3]destination-address 1.1.5.1 32
[NGFW-policy-security-rule-3]action permit
[NGFW-policy-security-rule-3]quit
[NGFW-policy-security]rule name 4
[NGFW-policy-security-rule-4]source-zone untrust
[NGFW-policy-security-rule-4]destination-zone local
[NGFW-policy-security-rule-4]source-address 1.1.5.1 32
[NGFW-policy-security-rule-4]destination-address 1.1.3.1 32
[NGFW-policy-security-rule-4]action permit
[NGFW-policy-security-rule-4]quit
4. Configure una política IPsec
a. Configure una ACL para definir el flujo de datos a proteger
[NGFW]acl 3000
[NGFW-acl-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
[NGFW-acl-adv-3000]quit
b. Configurar una propuesta de IPsec.
[NGFW]ipsec proposal tran1
[NGFW-ipsec-proposal-tran1]transform esp
[NGFW-ipsec-proposal-tran1]encapsulation-mode tunnel
[NGFW-ipsec-proposal-tran1]esp authentication-algorithm sha2-256
[NGFW-ipsec-proposal-tran1]esp encryption-algorithm aes-128
[NGFW-ipsec-proposal-tran1]quit
c.Crear una propuesta IKE
[NGFW]ike proposal 1
[NGFW-ike-proposal-1]encryption-algorithm aes-128
[NGFW-ike-proposal-1]authentication-algorithm sha2-256
[NGFW-ike-proposal-1]dh group2
[NGFW-ike-proposal-1]quit
d. Configurar un par IKE
[NGFW]ike peer ar
[NGFW-ike-peer-ar]undo version 2
[NGFW-ike-peer-ar]exchange-mode main
[NGFW-ike-peer-ar]ike-proposal 1
[NGFW-ike-peer-ar]pre-shared-key Key123
[NGFW-ike-peer-ar]remote-address 1.1.5.1
[NGFW-ike-peer-ar]quit
e.Configurar una política IPsec ISAKMP
[NGFW]ipsec policy map1 1 isakmp
[NGFW-ipsec-policy-isakmp-map1-1]ike-peer ar
[NGFW-ipsec-policy-isakmp-map1-1]proposal tran1
[NGFW-ipsec-policy-isakmp-map1-1]security acl 3000
[NGFW-ipsec-policy-isakmp-map1-1]quit
f.Aplique la política de IPsec a la interfaz GigabitEthernet 1/0/2.
[NGFW]interface GigabitEthernet 1/0/2
[NGFW-GigabitEthernet1/0/2]ipsec policy map1
[NGFW-GigabitEthernet1/0/2]quit
Configurar el AR
1. Configure las direcciones IP de la interfaz para el AR
<Huawei>system-view
[Huawei]sysname AR
[AR]interface GigabitEthernet 0/0/1
[AR-GigabitEthernet0/0/1]ip address 10.1.3.1 24
[AR-GigabitEthernet0/0/1]quit
[AR]interface GigabitEthernet 0/0/2
[AR-GigabitEthernet0/0/2]ip address 1.1.5.1 24
[AR-GigabitEthernet0/0/2]quit
2. Configure una ruta predeterminada desde AR a Internet. En el ejemplo, la dirección IP del siguiente salto
es 1.1.5.2.
[AR]ip route-static 0.0.0.0 0.0.0.0 1.1.5.2
3. Configure una política de IPsec.
a. Configure una ACL para definir el flujo de datos a proteger.
[AR]acl 3000
[AR-acl-adv-3000]rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[AR-acl-adv-3000]quit
b. Configurar una propuesta de IPsec.
[AR]ipsec proposal tran1
[AR-ipsec-proposal-tran1]transform esp
[AR-ipsec-proposal-tran1]encapsulation-mode tunnel
[AR-ipsec-proposal-tran1]esp authentication-algorithm sha2-256
[AR-ipsec-proposal-tran1]esp encryption-algorithm aes-128
[AR-ipsec-proposal-tran1]quit
c. Crear una propuesta IKE.
[AR]ike proposal 1
[AR-ike-proposal-1]encryption-algorithm aes-cbc-128
[AR-ike-proposal-1]authentication-algorithm sha2-256
[AR-ike-proposal-1]dh group2
[AR-ike-proposal-1]quit
d. Configurar un par IKE.
[AR]ike peer ngfw v1 /* Parameterv1indicates that IKEv1 is used for negotiation./
[AR-ike-peer-ngfw]exchange-mode main
[AR-ike-peer-ngfw]ike-proposal 1
[AR-ike-peer-ngfw]pre-shared-key cipher Key123
[AR-ike-peer-ngfw]remote-address 1.1.3.1
[AR-ike-peer-ngfw]quit
e. Configurar una política IPsec ISAKMP
[AR]ipsec policy map1 1 isakmp
[AR-ipsec-policy-isakmp-map1-1]ike-peer ngfw
[AR-ipsec-policy-isakmp-map1-1]proposal tran1
[AR-ipsec-policy-isakmp-map1-1]security acl 3000
[AR-ipsec-policy-isakmp-map1-1]quit
f. Aplique la política de IPsec a la interfaz GigabitEthernet 0/0/2.
[AR]interface GigabitEthernet 0/0/2
[AR-GigabitEthernet0/0/2]ipsec policy map1
[AR-GigabitEthernet0/0/2]quit
FIN
Verificación
1. Haga ping a un usuario en la red de la sede desde la red de sucursales.
2. En casos normales, los flujos de datos desde la sucursal a la oficina central activan las puertas
de enlace para establecer un túnel IPsec. En el NGFW, verifique si se ha establecido una conexion IKE SA.
Si se muestra la siguiente información,se ha establecido una conexion IKE SA.
<NGFW>display ike sa
15:53:30 2015/12/26
current ike sa number: 2
--------------------------------------------------------------------------------
------------------
conn-id peer flag phase vpn
--------------------------------------------------------------------------------
------------------
179 1.1.5.1 RD|ST|A v1:2 public
178 1.1.5.1 RD|ST|D|A v1:1 public
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY
A--ALONE
3. Ejecute el comando display ipsec sa para verificar si se ha establecido una SA de IPsec. Si se muestra la siguiente
información, se establece una SA de IPsec
<NGFW>display ipsec sa
15:53:53 2015/12/26
===============================
Interface: GigabitEthernet1/0/2
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "map1"
sequence number: 1
mode: isakmp
vpn: public
-----------------------------
connection id: 179
rule number: 5
encapsulation mode: tunnel
holding time: 0d 0h 1m 53s
tunnel local : 1.1.3.1 tunnel remote: 1.1.5.1
flow source: 10.1.1.0/255.255.255.0 0/0
flow destination: 10.1.3.0/255.255.255.0 0/0
[inbound ESP SAs]
spi: 112877185 (0x6ba5e81)
vpn: public said: 36 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA2-256
sa remaining key duration (kilobytes/sec): 1843199/3487
max received sequence-number: 17
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 1572321462 (0x5db7b8b6)
vpn: public said: 37 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA2-256
sa remaining key duration (kilobytes/sec): 1843199/3487
max sent sequence-number: 18
udp encapsulation used for nat traversal: N
Se ha establecido un túnel IPsec, pero ¿cómo podemos determinar si el tráfico de servicio se transmite a través
del túnel IPsec?
Aquí el Dr. WoW introduce dos métodos para su referencia
Método 1: Verifique el valor del campo max sent sequence-numberenviado en la salida del comando de display ipsec sa.
El número de secuencia aumenta en 1 al enviar cada paquete desde el túnel IPsec. En este caso, los cambios en el
valor del campo se pueden usar para determinar si el tráfico se transmite a través del túnel IPsec.
Por ejemplo, un usuario de sucursal envía 5 paquetes ICMP a un usuario de la sede. Si los 5 paquetes ICMP se transmiten
a través del túnel IPsec, el número de secuencia en el SA de IPSec del túnel aumenta en 5.
Si el número de secuencia no aumenta o el número aumentado es incorrecto, los paquetes ICMP no se transmiten
a través del túnel IPsec o el túnel IPsec está defectuoso.
Método 2: Ejecute el comandodisplay ipsec statistics para ver las estadísticas. Puede verificar los cambios en el valor
del campo de input/output security packets para determinar si los paquetes se transmiten a través del túnel IPsec.
Por ejemplo, los cambios en el valor del campo de input/output security packets indican que el túnel IPsec
reenvió 3 paquetes y también recibió 3 paquetes.
<NGFW>display ipsec statistics
15:54:21 2015/12/26
the security packet statistics:
input/output security packets: 3/3
input/output security bytes: 252/252
input/output dropped security packets: 0/0
the encrypt packet statistics
send sae:3, recv sae:3, send err:0
local cpu:3, other cpu:0, recv other cpu:0
intact packet:2, first slice:0, after slice:0
the decrypt packet statistics
send sae:3, recv sae:3, send err:0
local cpu:0, other cpu:0, recv other cpu:0
reass first slice:0, after slice:0, len err:0
NOTE
El primer paquete de servicio que activa el establecimiento del túnel IPsec se descarta, porque el túnel no se ha establecido
en ese momento. Por ejemplo, un usuario de sucursal envía 10 paquetes ICMP a un usuario de la sede. Cuando ejecuta el comando de visualización de estadísticas ipsec, las estadísticas indican que solo se han reenviado 9 paquetes.El método 1 muestra los cambios de paquetes del túnel especificado, mientras que el método 2 muestra estadísticas globales en todos los túneles IPsec en el dispositivo. Si el dispositivo tiene varios túneles, se recomienda el método 1.
Resolución de problemas de túneles IPsec
La configuración de IPsec implica ajustes y procedimientos de parámetros complicados. Es común que la primera configuración falle.
Aquí, el Dr. WoW presenta cómo usar los comandos de depuración para localizar rápidamente las fallas
1. Habilitar la opcion de debug
<NGFW>terminal monitor
15:43:17 2015/12/26
Info: Current terminal monitor is on
<NGFW>terminal debugging
15:43:20 2015/12/26
Info: Current terminal debugging is on
<NGFW>debugging ike error
15:43:27 2015/12/26
Tenga en cuenta que cuando habilita la depuración de IKE, seleccionar ike indica la depuración de la negociación
del túnel IKEv1 y seleccionar ikev2 indica la negociación de la depuración del túnel IKEv2 Debe seleccionar el parámetro según la versión de IKE configurada para el túnel. Además, puede usar solo el error de depuración aquí para evitar que el dispositivo muestre información de depuración de IPsec irrelevante.
2. Ejecute el comando ping para activar la negociación del túnel y verifique la información de debug. Por ejemplo, si se
muestra la siguiente información, la falla ocurre en la fase uno de la negociación IKE, y la causa de la falla es que las
propuestas IKE son inconsistentes. Debe comparar y verificar las propuestas de IKE en las dos puertas de enlace.
2015-12-26 02:47 NGFW %IKE/4/WARNING(l):phase1:proposal mismatch, please check ike proposal configuration
3. Ejecute el comando ping para activar la negociación del túnel y verifique la información de depuración. Por ejemplo, si se
muestra la siguiente información, la falla ocurre en la fase dos de la negociación IKE, y la causa de la falla es que las ACL
son inconsistentes. Es necesario comparar las ACL en las dos puertas de enlace. Las ACL de una puerta de enlace deben
reflejar las de la otra puerta de enlace.
2015-12-26 02:47 NGFW %IKE/4/WARNING(l):phase2:security acl mismatch.
Comentarios del Dr. WoW
En este ejemplo, el método de autenticación de identidad utiliza la dirección IP predeterminada y la clave precompartida
predeterminada. Los valores predeterminados se utilizan porque las configuraciones predeterminadas de NGFW y AR son consistentes.
Sin embargo, esto no significa que todos los valores predeterminados de NGFW y AR sean los mismos. Preste atención a eso durante la
configuración. Por ejemplo, el valor de Grupo DH predeterminado en el NGFW es Grupo 2, pero el valor de Grupo DH
predeterminado en el AR es Grupo1. Si no está seguro de los valores predeterminados de los pares, configúrelos manualmente.
En la configuración de interconexión, la propuesta IKE y la propuesta IPsec en ambos extremos deben utilizar los mismos
algoritmos de autenticación y cifrado. De lo contrario, el túnel puede no ser establecido.
Sugerencias y resumen
Si un túnel IPSec se ha establecido entre los servicios se interrumpe, verifique si se produce una falla de enrutamiento.
Si el dispositivo local no tiene ninguna ruta al segmento de red privada del dispositivo remoto, el dispositivo local descartalos paquetes.
Para más detalles, vea el HUAWEI USG6000 Series Interoperability Configuration Guide for VPN.
Paso 1 Inicie sesión en el sitio web de soporte técnico de la empresa en http://support.huawei.com/enterprise.
Paso 2 Haga clic en Seguridad.
Paso 3 Haga clic en el nombre del producto que desea consultar, por ejemplo, Secospace USG6600.
Paso 4 Seleccione Documentación> Instalación y actualización> ConfiguraciónCommissioning> Guía de configuración,
y luego seleccione la documentación del producto correspondiente.
HUAWEI USG6000 Series Interoperability Configuration Guide for VPN
Esperando que esta información sea de utilidad para futuras referencias cuando realicen alguna prueba de interoperabilidad.
FIN
Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums
#ComunidadEnterprise
#OneHuawei