成都网站建设设计

将想法与焦点和您一起共享

动态ipsec的实现-创新互联

动态ipsec的配置

创新互联从2013年开始,是专业互联网技术服务公司,拥有项目做网站、成都网站设计网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元郴州做网站,已为上家服务,为郴州各地企业和个人服务,联系电话:13518219792

与静态主要不一样的是不用再指定安全联盟sa了,这是透过密钥协商的,主要用于配置较多的时候用到,快捷比静态的。

动态ipsec的实现

一、Fw-1的配置

1)接口地址的配置

[fw-1]inter eth0/0

[fw-1-Ethernet0/0]ip add 192.168.101.55 255.255.255.0

[fw-1-Ethernet0/0]inter eth0/4

[fw-1-Ethernet0/4]ip add 1.1.1.1 255.255.255.0

查看端口是否加入了区域,若没有加,要加入区域

2配置访问控制列表,起过滤数据流

[fw-1]acl number 3000

[fw-1-acl-adv-3000]rule 10 permit ip source 192.168.101.0 0.0.0.255 dest 192.168.102.0 0.0.0.255

[fw-1-acl-adv-3000]rule 20 deny ip source any dest any

3配置安全提议(系统默认,可选)

[fw-1]ipsec proposal tran1

[fw-1-ipsec-proposal-tran1]encapsulation-mode tunnel

[fw-1-ipsec-proposal-tran1]transform esp

[fw-1-ipsec-proposal-tran1]esp encryption-algorithm des

[fw-1-ipsec-proposal-tran1]esp authentication-algorithm md5

4配置邻居参数。在全局了配置    //这里是与静态手工配置不一样的地方

[fw-1]ike peer fw-2

[fw-1-ike-peer-fw-2]pre-shared-key simple 123456(定义与共享密钥)

[fw-1-ike-peer-fw-2]remote-address 1.1.2.2(定义对端的地址)

5配置安全策略

[fw-1]ipsec policy policy1 10 isakmp(动态配置安全策略)

[fw-1-ipsec-policy-isakmp-policy1-10]security acl 3000

[fw-1-ipsec-policy-isakmp-policy1-10]proposal tran1

[fw-1-ipsec-policy-isakmp-policy1-10]ike-peer fw-2

应用安全策略

[fw-1]inter eth0/4

[fw-1-Ethernet0/4]ipsec policy policy1

二、路由器配置

[Router]inter e0

[Router-Ethernet0]ip add 1.1.1.2 255.255.255.0

[Router-Ethernet0]inter e1

[Router-Ethernet1]ip add 1.1.2.1 255.255.255.0

三、fw-2的配置

[fw-2]inter eth0/0

[fw-2-Ethernet0/0]ip add 192.168.102.90 255.255.255.0

[fw-2-Ethernet0/0]loop

[fw-2-Ethernet0/0]inter eth0/4

[fw-2-Ethernet0/4]ip add 1.1.2.2 255.255.255.0

把端口加入区域(如端口在默认区域,不用在添加)

[fw-2]firewall zone untrust

[fw-2-zone-untrust]add interface eth0/4

[fw-2-zone-untrust]q

[fw-2]firewall zone trust

[fw-2-zone-trust]add interface eth0/0

配置访问控制列表,起过滤作用

[fw-2]acl number 3000

[fw-2-acl-adv-3000]rule 10 permit ip source 192.168.102.0 0.0.0.255 dest 192.168.101.0 0.0.0.255

[fw-2-acl-adv-3000]rule 20 deny ip source any dest any

配置安全提议(系统默认,可选)

[fw-2]ipsec proposal tran1

[fw-2-ipsec-proposal-tran1]encapsulation-mode tunnel

[fw-2-ipsec-proposal-tran1]transform esp

[fw-2-ipsec-proposal-tran1]esp encryption-algorithm des

[fw-2-ipsec-proposal-tran1]esp authentication-algorithm md5

配置邻居参数

[fw-2]ike peer fw-1

[fw-2-ike-peer-fw-1]pre-shared-key simple 123456

[fw-2-ike-peer-fw-1]remote-address 1.1.1.1

配置安全策略

[fw-2]ipsec policy policy1 10 isakmp

[fw-2-ipsec-policy-isakmp-policy1-10]security acl 3000

[fw-2-ipsec-policy-isakmp-policy1-10]proposal tran1

[fw-2-ipsec-policy-isakmp-policy1-10]ike-peer fw-1

应用安全策略

[fw-2]inter eth0/4

[fw-2-Ethernet0/4]ipsec policy policy

测试结果

动态ipsec的实现

注:红色部分是与静态配置不一样的地方。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章名称:动态ipsec的实现-创新互联
标题URL:http://chengdu.cdxwcx.cn/article/cdeiie.html