ipsec在企业网中的应用(IKE野蛮模式)
生活随笔
收集整理的這篇文章主要介紹了
ipsec在企业网中的应用(IKE野蛮模式)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
? ?ipsec在企業網中的應用(IKE野蠻模式)
案例: 本實驗采用華為三臺F100防火墻,和一臺s3526交換機,實現ipsec野蠻模式下的***通道的建立。Fw1是總部,實現fw1可以與fw2的內部網絡互訪,fw1和fw3的內部網絡互訪。fw2和fw3通過DHCP服務器動態獲取地址。 拓撲圖: 配置:? fw1 的配置: ? 配置ip和默認路由: # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit ? # int e0/4 # ip add 192.168.1.1 24 # int e0/1 # ip add 192.168.10.200 24 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 配置兩個訪問控制列表: # acl number 3000 # rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # rule deny ip source any destination any # quit # acl number 3001 # rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 # rule deny ip source any destination any # quit 配置安全提議: # ipsec proposal tran1 ?//創建名為tran1的安全協議 # encapsulation-mode tunnel ?//報文封裝形式采用隧道模式 # transform esp-new ?//安全協議采用esp協議 選擇加密算法和認證算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ipsec proposal tran2 ? //創建名為tran2的安全協議 # encapsulation-mode tunnel ? //報文封裝形式采用隧道模式 # transform esp-new ?//安全協議采用esp協議 選擇加密算法和認證算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ike local-name fw1 ?//配置IKE協商時的本地ID ? 創建IKE Peer并進入IKE Peer視圖: # ike peer peer1 # exchange-mode aggressive ?//配置IKE協商方式為野蠻模式 # pre-shard-key simple 1234 ?//配置預共享密鑰 # local-address 192.168.10.200 ?//配置本機地址 # id-type name ? //配置對端ID類型 # remote-name fw2 ?//配置對端名稱 # quit 創建IKE Peer: # ike peer peer2 ?//創建IKE Peer # exchange-mode aggressive ?//配置IKE協商方式為野蠻模式 # pre-shard-key simple abcd ?//配置預共享密鑰 # local-address 192.168.10.200 ?//配置本機地址 # id-type name ? ?//配置對端ID類型 # remote-name fw3 ? //配置對端名稱 # quit ? 創建一條安全策略,協商方式為動態方式 # ipsec poli policy 10 isakmp # proposal tran1 ? //引用安全提議 # security acl 3000 ? //引用訪問列表 # ike-peer peer1? # quit ? ? 創建安全策略,協商方式為動態方式 # ipsec poli policy 20 isakmp # proposal tran2 ? //引用安全提議 # security acl 3001 ? //引用訪問列表 # ike-peer peer1 # quit ? ? 在接口上應用安全策略組: # int e0/1 # ipsec policy policy ?? ################################### fw2 的配置: ? 配置ip和默認路由: # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit ? # int e0/4 # ip add 192.168.2.1 24 # int e0/1 # ip address dhcp-alloc ?//配置dhcp動態獲取地址 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 配置兩個訪問控制列表: # acl number 3000 # rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # rule deny ip source any destination any # quit ? 配置安全提議: # ipsec proposal tran1 ?//創建名為tran1的安全協議 # encapsulation-mode tunnel ?//報文封裝形式采用隧道模式 # transform esp-new ?//安全協議采用esp協議 選擇加密算法和認證算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ike local-name fw2 ?//配置IKE協商時的本地ID ? 創建IKE Peer并進入IKE Peer視圖: # ike peer peer1 # exchange-mode aggressive ?//配置IKE協商方式為野蠻模式 # pre-shard-key simple 1234 ?//配置預共享密鑰 # id-type name ? //配置對端ID類型 # remote-name fw1 ?//配置對端名稱 # remote-address 192.168.10.200 ?//配置對端地址 # quit ? 創建一條安全策略,協商方式為動態方式 # ipsec poli policy 10 isakmp # proposal tran1 ? //引用安全提議 # security acl 3000 ? //引用訪問列表 # ike-peer peer1? # quit ? 在接口上應用安全策略組: # int e0/1 # ipsec policy policy ? ################################# fw3 的配置:
?
? 配置ip和默認路由: # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit ? # int e0/4 # ip add 192.168.3.1 24 # int e0/1 # ip address dhcp-alloc ?//配置dhcp動態獲取地址 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 配置兩個訪問控制列表: # acl number 3000 # rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # rule deny ip source any destination any # quit ? 配置安全提議: # ipsec proposal tran2 ?//創建名為tran1的安全協議 # encapsulation-mode tunnel ?//報文封裝形式采用隧道模式 # transform esp-new ?//安全協議采用esp協議 選擇加密算法和認證算法: # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ike local-name fw3 ?//配置IKE協商時的本地ID ? 創建IKE Peer并進入IKE Peer視圖: # ike peer peer2 # exchange-mode aggressive ?//配置IKE協商方式為野蠻模式 # pre-shard-key simple abcd ?//配置預共享密鑰 # id-type name ? //配置對端ID類型 # remote-address 192.168.10.200 ?//配置對端地址 # remote-name fw1 //配置對端名稱 # quit ? 創建一條安全策略,協商方式為動態方式 # ipsec poli policy 20 isakmp # proposal tran2 ? //引用安全提議 # security acl 3001 ? //引用訪問列表 # ike-peer peer2? # quit ? 在接口上應用安全策略組: # int e0/1 # ipsec policy policy ########################Switch12 的配置: ? 劃分三個vlan,并加入接口: # vlan 10? # port e1/0/1 # vlan 20 # port e1/0/5 # vlan 30 # port e1/0/3 ? 分別為vlan 10、20、30配置地址: # interface vlan-interface 10 # ip add 192.168.10.1 255.255.255.0 ? # interface vlan-interface 20 # ip add 192.168.20.1 255.255.255.0 ? # interface vlan-interface 30 # ip add 192.168.30.1 255.255.255.0 ? 配置dhcp服務: # dhcp server ip-pool fw2 # network 192.168.20.0 mask 255.255.255.0 # quit # dhcp server ip-pool fw3 # network 192.168.30.0 mask 255.255.255.0 # quit ? # dhcp server enable
測試:
查看fw2 ?fw3的e/1端口獲得地址信息以及dhcp服務器分配出的地址信息:
1.0網段的pc分別訪問2.0和3.0網段的pc:
2.0訪問1.0:
3.0訪問1.0:
此時可以查看它們之間建立的安全聯盟信息:
fw1:
fw2:
fw3:
?
轉載于:https://blog.51cto.com/lulu1101/817954
總結
以上是生活随笔為你收集整理的ipsec在企业网中的应用(IKE野蛮模式)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 在使用RegularExpression
- 下一篇: 开源websocket