ipsec在企业网中的应用(IKE野蛮模式)
生活随笔
收集整理的这篇文章主要介绍了
ipsec在企业网中的应用(IKE野蛮模式)
小编觉得挺不错的,现在分享给大家,帮大家做个参考.
ipsec在企业网中的应用(IKE野蛮模式)
案例: 本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的***通道的建立。Fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。 拓扑图: 配置: fw1 的配置: 配置ip和默认路由: # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit # int e0/4 # ip add 192.168.1.1 24 # int e0/1 # ip add 192.168.10.200 24 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 配置两个访问控制列表: # acl number 3000 # rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # rule deny ip source any destination any # quit # acl number 3001 # rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 # rule deny ip source any destination any # quit 配置安全提议: # ipsec proposal tran1 //创建名为tran1的安全协议 # encapsulation-mode tunnel //报文封装形式采用隧道模式 # transform esp-new //安全协议采用esp协议 选择加密算法和认证算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit # ipsec proposal tran2 //创建名为tran2的安全协议 # encapsulation-mode tunnel //报文封装形式采用隧道模式 # transform esp-new //安全协议采用esp协议 选择加密算法和认证算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit # ike local-name fw1 //配置IKE协商时的本地ID 创建IKE Peer并进入IKE Peer视图: # ike peer peer1 # exchange-mode aggressive //配置IKE协商方式为野蛮模式 # pre-shard-key simple 1234 //配置预共享密钥 # local-address 192.168.10.200 //配置本机地址 # id-type name //配置对端ID类型 # remote-name fw2 //配置对端名称 # quit 创建IKE Peer: # ike peer peer2 //创建IKE Peer # exchange-mode aggressive //配置IKE协商方式为野蛮模式 # pre-shard-key simple abcd //配置预共享密钥 # local-address 192.168.10.200 //配置本机地址 # id-type name //配置对端ID类型 # remote-name fw3 //配置对端名称 # quit 创建一条安全策略,协商方式为动态方式 # ipsec poli policy 10 isakmp # proposal tran1 //引用安全提议 # security acl 3000 //引用访问列表 # ike-peer peer1 # quit 创建安全策略,协商方式为动态方式 # ipsec poli policy 20 isakmp # proposal tran2 //引用安全提议 # security acl 3001 //引用访问列表 # ike-peer peer1 # quit 在接口上应用安全策略组: # int e0/1 # ipsec policy policy ################################### fw2 的配置: 配置ip和默认路由: # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit # int e0/4 # ip add 192.168.2.1 24 # int e0/1 # ip address dhcp-alloc //配置dhcp动态获取地址 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 配置两个访问控制列表: # acl number 3000 # rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # rule deny ip source any destination any # quit 配置安全提议: # ipsec proposal tran1 //创建名为tran1的安全协议 # encapsulation-mode tunnel //报文封装形式采用隧道模式 # transform esp-new //安全协议采用esp协议 选择加密算法和认证算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit # ike local-name fw2 //配置IKE协商时的本地ID 创建IKE Peer并进入IKE Peer视图: # ike peer peer1 # exchange-mode aggressive //配置IKE协商方式为野蛮模式 # pre-shard-key simple 1234 //配置预共享密钥 # id-type name //配置对端ID类型 # remote-name fw1 //配置对端名称 # remote-address 192.168.10.200 //配置对端地址 # quit 创建一条安全策略,协商方式为动态方式 # ipsec poli policy 10 isakmp # proposal tran1 //引用安全提议 # security acl 3000 //引用访问列表 # ike-peer peer1 # quit 在接口上应用安全策略组: # int e0/1 # ipsec policy policy ################################# fw3 的配置:
配置ip和默认路由: # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit # int e0/4 # ip add 192.168.3.1 24 # int e0/1 # ip address dhcp-alloc //配置dhcp动态获取地址 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 配置两个访问控制列表: # acl number 3000 # rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # rule deny ip source any destination any # quit 配置安全提议: # ipsec proposal tran2 //创建名为tran1的安全协议 # encapsulation-mode tunnel //报文封装形式采用隧道模式 # transform esp-new //安全协议采用esp协议 选择加密算法和认证算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit # ike local-name fw3 //配置IKE协商时的本地ID 创建IKE Peer并进入IKE Peer视图: # ike peer peer2 # exchange-mode aggressive //配置IKE协商方式为野蛮模式 # pre-shard-key simple abcd //配置预共享密钥 # id-type name //配置对端ID类型 # remote-address 192.168.10.200 //配置对端地址 # remote-name fw1 //配置对端名称 # quit 创建一条安全策略,协商方式为动态方式 # ipsec poli policy 20 isakmp # proposal tran2 //引用安全提议 # security acl 3001 //引用访问列表 # ike-peer peer2 # quit 在接口上应用安全策略组: # int e0/1 # ipsec policy policy ########################
Switch12 的配置: 划分三个vlan,并加入接口: # vlan 10 # port e1/0/1 # vlan 20 # port e1/0/5 # vlan 30 # port e1/0/3 分别为vlan 10、20、30配置地址: # interface vlan-interface 10 # ip add 192.168.10.1 255.255.255.0 # interface vlan-interface 20 # ip add 192.168.20.1 255.255.255.0 # interface vlan-interface 30 # ip add 192.168.30.1 255.255.255.0 配置dhcp服务: # dhcp server ip-pool fw2 # network 192.168.20.0 mask 255.255.255.0 # quit # dhcp server ip-pool fw3 # network 192.168.30.0 mask 255.255.255.0 # quit # dhcp server enable
测试:
查看fw2 fw3的e/1端口获得地址信息以及dhcp服务器分配出的地址信息:
1.0网段的pc分别访问2.0和3.0网段的pc:
2.0访问1.0:
3.0访问1.0:
此时可以查看它们之间建立的安全联盟信息:
fw1:
fw2:
fw3:
转载于:https://blog.51cto.com/lulu1101/817954
总结
以上是生活随笔为你收集整理的ipsec在企业网中的应用(IKE野蛮模式)的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇: 在使用RegularExpression
- 下一篇: 开源websocket