v3防火墙和v7防火墙ipsec对接-主模式-都是固定ip

更新时间:2023-04-30 05:45:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

V3防火墙和V 防火墙ipsec 对接-主模式

功能需求:

?防火墙A 和防火墙B 之间建立一个ipsec 隧道,对Host A 所在的子网 (192.168.5.1 )与Host B 所在的子网(192.168.7.1 )之间的数据流进行安全 保护。

?防火墙A 和防火墙B 之间采用IKE 协商方式建立IPsec SA 。

?使用IKE 主模式进行协商,防火墙 A 向防火墙B 发起方隧道触发

?使用缺省的预共享密钥认证方法。此案例适用于:两边都是固定 ip ,中间 公网ip 不经过nat 设备的组网。

组网信息及描述:

此案例中,以防火墙A 的loopbackO 口代表A 设备的内网hostA ,以防火 墙B 的loopbackO 口代表B 设备的内网hostB , A 设备的E1/1作为连接外网 的接口,ip : 1.1.1.1。B 设备的G1/0/1 口作为连接外网的接口, ip : 2.2.2.1 。 loopback 口代表各自的内网。1.1.1.1和2.2.2.1作为公网ip 能相互通信

LoopBackO : 192.168.7.1

Ipsec 丁 hmtB gl/0/l 2.2.2.1

V3防火墙A

配置步骤:

防火墙A

配置接口的ip ,路由,安全域等基本配置

定义要保护由子网192.168.5.0/24 去往子网192.168.7.0/24 的数据流 LoopBackO : 192.168,S.1

hostA —r

acl number 3001

rule 1 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255 配置nat 转换的流,拒绝ipsec 保护的流

acl number 3000

rule 0 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255 rule 1 permit ip

配置外网接口ip

interface Ethernet1/1

ip address 1.1.1.1 255.255.255.0

nat outbound 3000

配置内网接口

interface LoopBack0

ip address 192.168.5.1 255.255.255.255 配置去上外网的路由,1.1.1.2 是E1/1 公网接口的网关ip

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 使用的接口加入安全域,loopback 除外firewall zone untrust

add interface Ethernet1/1

firewall packet-filter enable

firewall packet-filter default permit

ike 提议参数,需要和对方B 设备的ike 提议参数一致

指定IKE提议使用的认证算法为md5,加密算法3des-cbc

ike proposal 1

encryption-algorithm 3des-cbc

authentication-algorithm md5

配置ike对等体名称v3,默认主模式,默认使用ip进行双方身份验证,remote-address 的ip 需要和对端B 设备ike profile 中local-identity 的ip 一致,反之,local-address 的ip 是对端的match remote identity address 的ip。使用admin密码为域共享密码,和对方设备一致即可,

ike peer v3

pre-shared-key cipher admin

remote-address 2.2.2.1

local-address 1.1.1.1

配置ipsec 的安全提议,保持和 B 设备配置的安全提议一致

配置安全协议对IP 报文的封装形式为隧道模式,默认采用的安全协议为ESP,配置ESP协议采用的加密算法为3DES,默认认证算法为md5。

ipsec proposal 1

esp encryption-algorithm 3des

配置ipsec策略,名称为v3序列号为1,引用ike对等体v3,引用acl 3001,

引用ipsec 安全提议1

ipsec policy v3 1 isakmp

security acl 3001

ike-peer v3

proposal 1

proposal 1 外网接口上引用ipsec 策略

interface Ethernet1/1

ipsec policy v3

防火墙 B 配置

配置接口的ip ,路由,安全域等基本配置

定义要保护由子网192.168.7.0/24 去往子网192.168.5.0/24 的数据流acl advanced 3001

rule 5 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 配置nat 转换的流,拒绝ipsec 保护的流

acl advanced 3333

rule 0 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 5 permit ip

配置外网接口ip

interface GigabitEthernet1/0/1

port link-mode route

ip address 2.2.2.1 255.255.255.0

nat outbound 3333

配置内网接口

interface LoopBack0

ip address 192.168.7.1 255.255.255.255

配置去上外网的路由,2.2.2.2 是外网接口的网关ip

ip route-static 0.0.0.0 0 2.2.2.2

接口加入安全域及放通安全域。V7 防火墙的域间规则默认都是禁止的,本实验放通域间所有流量为例子,具体的域间规则,请以实际的需求为准。

security-zone name Trust

import interface LoopBack0

security-zone name Untrust

import interface GigabitEthernet1/0/1

acl advanced 3000

rule 0 permit ip

zone-pair security source Any destination Any

packet-filter 3000

#

zone-pair security source Any destination Local

packet-filter 3000

#

zone-pair security source Local destination Any

packet-filter 3000

ike 提议参数,需要和对方A 设备的ike 提议参数一致

指定IKE提议使用的认证算法为md5,加密算法3des-cbc

ike proposal 1

encryption-algorithm 3des-cbc

authentication-algorithm md5

配置和对方1.1.1.1 建立vpn 时使用ike 域共享密码。使用admin ,和对方设备一致即可

ike keychain 1

pre-shared-key address 1.1.1.1 255.255.255.0 key simple admin

配置ike 对等体名称v7 ,默认主模式,使用ip 进行双方身份验证,match remote identity address 的ip 需要和对端A 设备ike 对等体中local-address 的ip 一致,反之,local-identity address 是对端的remote-address 的ip 。使用admin 密码为域共享密码,和对方设备一致即可,

ike profile v7

keychain 1

local-identity address 2.2.2.1

match remote identity address 1.1.1.1 255.255.255.0

proposal 1

配置ipsec 的安全提议,保持和 A 设备配置的安全提议一致

配置安全协议对IP 报文的封装形式为隧道模式,默认采用的安全协议为ESP,配置ESP协议采用的加密算法为3DES,认证算法为md5。

ipsec transform-set 1

esp encryption-algorithm 3des-cbc

esp authentication-algorithm md5

配置ipsec策略,名称为-v7序列号为1,引用ike对等体v7,引用acl 3001 ,

引用ipsec 安全提议 1 ,配置好本端和对端的隧道地址

ipsec policy v7 1 isakmp

transform-set 1

security acl 3001

local-address 2.2.2.1

remote-address 1.1.1.1

ike-profile v7

外网接口上引用ipsec 策略

interface GigabitEthernet1/0/1

ipsec apply policy v7

配置结果:

A 设备作为发起方能促发ipsec 的sa

内网之间能通过ipsec vpn 相互通信

本文来源:https://www.bwwdw.com/article/7dye.html

Top