收藏
下载资源

ipsec(分支动态IP)

上传人:m**** 文档编号:492562490 上传时间:2024-01-28 格式:DOC 页数:19 大小:157.23KB
返回 下载 相关 举报
ipsec(分支动态IP)_第1页
第1页 / 共19页
ipsec(分支动态IP)_第2页
第2页 / 共19页
ipsec(分支动态IP)_第3页
第3页 / 共19页
ipsec(分支动态IP)_第4页
第4页 / 共19页
ipsec(分支动态IP)_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《ipsec(分支动态IP)》由会员分享,可在线阅读,更多相关《ipsec(分支动态IP)(19页珍藏版)》请在金锄头文库上搜索。

1、1.1 IPSEC 建立点到多点SA策略模版方式在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSEC VPN隧道,各个分支机构之间的通信由总部节点转发和控制.实现HUB-Spoke组网的配置有2种配置方式,子策略方式与策略模版方式,其中子策略方式可以由双方主动发起IPSEC连接,适用于分支固定IP,策略模版方式只能由下端发起IPSEC连接,适用于分支动态IP.1.1.1 组网图IPSEC IKE方式建立点到多点SA组网图1.1.2 组网需求1) 总部FWA为固定公网地址, FWB FWC为动态公网IP(实验环境配置静态IP模拟

2、动态IP,不影响IPSEC的配置,现网可能是通过ADSL或PPPOE获得的IP)2) 分支机构PC2 PC3与能与总部PC1之间进行安全通信,在PC2 PC3与PC1能够安全通信之后,PC2 PC3能够通过FWA进行安全通信,FWA与FWB FWC之间使用IKE野蛮模式建立安全通道, FWB FWC不直接建立任何IPSEC连接。3) 在FWA A和FWB FWC上均配置序列号为10的IKE提议。4) 为使用pre-shared key验证方法的提议配置验证字。1.1.3 适用产品、版本设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG

3、50/3000/5000 实验设备: FWA Eudemon500 FWB/FWC Eudemon200软件版本: V2R1及以上 实验版本 Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D0361.1.4 配置思路和步骤1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由3)定义用于包过滤和加密的数据流 4)配置域间通信规则5)配置IPSec安全提议6) 配置IKE提议7) 配置IKE Peer和野蛮模式8) 配置安全策略模版9) 配置和引用安全策略1.1.5 配置过程和解释(关键配置)配置总部FW

4、A:1)配置到达分支机构的静态路由FWAip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流, ACL3000定义到所有分支机构FWB FWC网段的数据流,为了实现分支的互通,Soure定义为包括总部和分支的所有网段,destination定义为各个分支的明细网段.FWAacl 3000FWA-acl-adv-3000 rule permit ip source 10.0.0.0 0.255.255.255 destination 10.0.1.0 0.0.0.255FWA-acl-adv-3000 rule permit ip

5、source 10.0.0.0 0.255.255.255 destination 10.0.2.0 0.0.0.255 FWA-acl-adv-3001quit3)配置trust与untrust域间包过滤规则FWAfirewall packet-filter default permit interzone trust untrust 4)配置untrust与local域间包过滤规则FWAfirewall packet-filter default permit interzone local untrustTrust和untrust的域间规则可以配置默认放开,也可以配置用ACL来放开. 配

6、置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。5) 配置IPSec安全提议# 创建名为tran1的IPSec提议。FWAipsec proposal tran1# 配置安全协议。FWA-ipsec-proposal-tran1transform espEsp为默认安全协议,可以不配置# 配置报文封装类型。FWA-ipsec-proposal-tran1encapsulation-mode tunnelTunnel为默认封装类型,可以不配置# 配置ESP协议的认证算法。FWA-ipsec-proposal-tran1esp authent

7、ication-algorithm md5md5为默认ESP协议的认证算法, 可以不配置# 配置ESP协议的加密算法。FWA-ipsec-proposal-tran1esp encryption-algorithm desdes为默认ESP协议的加密算法, 可以不配置# 退回系统视图FWA-ipsec-proposal-tran1quit6) 配置IKE提议。FWA ike proposal 10# 配置使用pre-shared-key验证方法。FWA-ike-proposal-10 authentication-method pre-sharepre-shared-key验证方法为默认验证方

8、法,可以不配置# 配置使用SHA1验证算法。FWA-ike-proposal-10 authentication-algorithm sha1Sha1为默认验证算法,可以不配置# 配置ISAKMP SA的生存周期为86400秒。FWA-ike-proposal-10 sa duration 8640086400秒为默认AKMP SA的生存周期# 退回系统视图。FWA-ike-proposal-10 quit7) 配置IKE Peer# 创建名为a的IKE peerFWA ike peer a# 引用IKE安全提议。FWA-ike-peer-a ike-proposal 10# 配置IKE的协商

9、方式为野蛮模式。FWA-ike-peer-a exchange-mode aggressive# 配置验证字为“huawei”。FWA-ike-peer-a pre-shared-key huawei验证字的配置需要与对端设备相同。8) 配置安全策略模版# 创建安全策略模版map1tmp。FWA ipsec policy-template map1tmp 10# 引用ike-peer a。FWA-ipsec-policy-templet-map1tmp-10 ike-peer a# 引用名为tran1的安全提议。FWA-ipsec-policy-templet-map1tmp-10 propo

10、sal tran1# 引用组号为3000的ACL。FWA-ipsec-policy-templet-map1tmp-10 security acl 3000# 退回系统视图。FWA-ipsec-policy-templet-map1tmp-10 quit# 创建IPSEC安全策略map1FWA ipsec policy map1 10 isakmp template map1tmp9) 引用安全策略# 进入以太网接口视图。FWA interface Ethernet 1/0/0# 引用IPSec策略。FWA-Ethernet1/0/0 ipsec policy map1# 内网接口关闭快速转发

11、 Center-Vlanif1undo ip fast-forwarding qffFWB的配置:1)配置到达总部和其他私网的静态路由FWBip route-static 0.0.0.0 0.0.0.0 200.0.1.2 2)定义用于包过滤和加密的数据流,为了实现和总部及分支的通信,source定义为分支节点的明细网段,destination定义为总部和分支的所有网段.FWBacl 3000FWB-acl-adv-3000 rule permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 FWB-acl-a

12、dv-3000quit3)配置trust与untrust域间包过滤规则FWBfirewall packet-filter default permit interzone trust untrust4)配置untrust与local域间包过滤规则FWBfirewall packet-filter default permit interzone local untrust配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。5) 配置IPSec安全提议# 创建名为tran1的IPSec提议。FWBipsec proposal tran1# 配

13、置安全协议。FWB-ipsec-proposal-tran1transform espEsp为默认安全协议,可以不配置# 配置报文封装类型。FWB-ipsec-proposal-tran1encapsulation-mode tunnelTunnel为默认封装类型,可以不配置# 配置ESP协议的认证算法。FWB-ipsec-proposal-tran1esp authentication-algorithm md5md5为默认ESP协议的认证算法, 可以不配置# 配置ESP协议的加密算法。FWB-ipsec-proposal-tran1esp encryption-algorithm desd

14、es为默认ESP协议的加密算法, 可以不配置# 退回系统视图FWB-ipsec-proposal-tran1quit6) 配置IKE提议。FWB ike proposal 10# 配置使用pre-shared-key验证方法。FWB-ike-proposal-10 authentication-method pre-sharepre-shared-key验证方法为默认验证方法,可以不配置# 配置使用SHA1验证算法。FWB-ike-proposal-10 authentication-algorithm sha1Sha1为默认验证算法,可以不配置# 配置ISAKMP SA的生存周期为86400

15、秒。FWB-ike-proposal-10 sa duration 8640086400秒为默认IAKMP SA的生存周期# 退回系统视图。FWB-ike-proposal-10 quit7) 配置IKE Peer# 创建名为b的IKE peerFWB ike peer b# 引用IKE安全提议。FWB-ike-peer-b ike-proposal 10# 配置IKE的协商模式为野蛮模式FWB-ike-peer-b exchange-mode aggressive# 配置隧道对端IP地址。FWB-ike-peer-b remote-address 200.0.0.1# 配置验证字为“huawei”。FWB-ike-peer-b pre-shared-key huawei验证字的配置需要与对端设备相同。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号