22-IPSEC配置示例-基于路由动态IPSEC

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

动态IPSEC配置示例FOR4.0R4讲解人:朱建英2010、07注:该案例假设防火墙已完成了基本的上网配置示例功能描述Eth0/0:192.168.1.1/24Zone:trustEth0/1:218.240.143.219/29Zone:untrustInternet网络拓扑Network:192.168.1.0/24FW-BEth0/1:PPPOEZone:untrustNetwork:192.168.10.0/24Eth0/0:192.168.100.1/24Zone:trust•防火墙FW-A具有合法的静态IP地址,防火墙FW-B外网为PPPOE动态获取IP地址•其中防火墙FW-A的内部保护子网为192.168.1.0/24•防火墙FW-B的内部保护子网为192.168.100.0/24。要求在FW-A与FW-B之间创建IPSecVPN,使两端的保护子网能通过VPN隧道互相访问。拓扑环境描述本案例采用“预共享密钥认证”机制•第一步,创建IKE第一阶段提议•第二步,创建IKE第二阶段提议•第三步,创建VPN对端•第四步,创建IPSEC隧道•第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口•第六步,添加隧道路由•第七步,添加安全策略FW-A防火墙配置步骤•定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段协商内容需要一致。第一步,创建IKE第一阶段提议12345•定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商内容需要一致。第二步,创建IKE第二阶段提议51234•创建VPN对端,并定义相关参数第三步,创建VPN对端12345•创建到防火墙FW-B的VPN隧道,并定义相关参数。第四步,创建IPSEC隧道1234第四步,创建IPSEC隧道•创建到防火墙FW-B的VPN隧道,并定义相关参数。5678•创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道与其绑定第五步,创建隧道接口12345•在路由表中添加目的地为对端保护子网的路由,该路由的下一跳为隧道接口tunnel1。第六步,添加隧道路由1234•在添加安全策略之前先定义好表示两端保护子网的地址对象,下图中只列举其中一个地址簿第七步,添加安全策略---创建地址簿12345•添加安全策略,允许本地VPN保护子网访问对端VPN保护子网第七步,添加安全策略1234•添加安全策略,允许对端VPN保护子网访问本地VPN保护子网第七步,添加安全策略3124FW-B防火墙配置步骤本案例采用“预共享密钥认证”机制•第一步,创建IKE第一阶段提议•第二步,创建IKE第二阶段提议•第三步,创建VPN对端•第四步,创建IPSEC隧道•第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口•第六步,添加隧道路由•第七步,添加安全策略•定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段协商内容需要一致。第一步,创建IKE第一阶段提议12345•定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商内容需要一致。第二步,创建IKE第二阶段提议51234•创建VPN对端,并定义相关参数第三步,创建VPN对端12345•创建到防火墙FW-B的VPN隧道,并定义相关参数。第四步,创建IPSEC隧道1234第四步,创建IPSEC隧道•创建到防火墙FW-B的VPN隧道,并定义相关参数。567812345•创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道与其绑定第五步,创建隧道接口•在路由表中添加目的地为对端保护子网的路由,该路由的下一跳为隧道接口tunnel1。第六步,添加隧道路由1234•在添加安全策略之前先定义好表示两端保护子网的地址对象,下图中只列举其中一个地址簿第七步,添加安全策略---创建地址簿12345•添加安全策略,允许本地VPN保护子网访问对端VPN保护子网第七步,添加安全策略1234•添加安全策略,允许对端VPN保护子网访问本地VPN保护子网第七步,添加安全策略3124•查看FW-A防火墙上两个阶段的隧道状态查看A防火墙状态12•查看FW-B防火墙上两个阶段的隧道状态查看B防火墙状态12•1、需要ipsec隧道建立的条件必须要动态获取地址端触发•2、tunnel接口地址设置,如果未设置,从一端局域网无法ping通另外一端防火墙内网口地址;另外如果设置了tunnel地址,可以通过在防火墙A上ping防火墙B的tunnel地址来实现触发。•3、在IPSECVPN隧道中关于代理ID的概念,这个代理ID是指本地加密子网和对端加密子网。如果两端都为神州数码多核防火墙该ID可以设置为自动;如果只是其中一端为多核墙,那必须要设置成手工。•4、如果防火墙一端为动态获取IP地址,设置VPN对端中使用野蛮模式注意事项:THANKS!

1 / 29
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功