v3防火墙和v7防火墙ipsec对接-主模式-都是固定ip

更新时间：2023-04-09 12:18:01 阅读量：实用文档文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

web防火墙和防火墙区别推荐度：
相关推荐

V3防火墙和V 防火墙ipsec 对接-主模式

功能需求:

?防火墙A 和防火墙B 之间建立一个ipsec 隧道，对Host A 所在的子网 (192.168.5.1 )与Host B 所在的子网(192.168.7.1 )之间的数据流进行安全保护。

?防火墙A 和防火墙B 之间采用IKE 协商方式建立IPsec SA 。

?使用IKE 主模式进行协商，防火墙 A 向防火墙B 发起方隧道触发

?使用缺省的预共享密钥认证方法。此案例适用于：两边都是固定 ip ，中间公网ip 不经过nat 设备的组网。

组网信息及描述：

此案例中，以防火墙A 的loopbackO 口代表A 设备的内网hostA ,以防火墙B 的loopbackO 口代表B 设备的内网hostB , A 设备的E1/1作为连接外网的接口，ip : 1.1.1.1。B 设备的G1/0/1 口作为连接外网的接口， ip : 2.2.2.1 。 loopback 口代表各自的内网。1.1.1.1和2.2.2.1作为公网ip 能相互通信

LoopBackO : 192.168.7.1

Ipsec 丁 hmtB gl/0/l 2.2.2.1

V3防火墙A

配置步骤：

防火墙A

配置接口的ip ，路由，安全域等基本配置

定义要保护由子网192.168.5.0/24 去往子网192.168.7.0/24 的数据流 LoopBackO : 192.168,S.1

hostA —r

acl number 3001

rule 1 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255 配置nat 转换的流，拒绝ipsec 保护的流

acl number 3000

rule 0 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255 rule 1 permit ip

配置外网接口ip

interface Ethernet1/1

ip address 1.1.1.1 255.255.255.0

nat outbound 3000

配置内网接口

interface LoopBack0

ip address 192.168.5.1 255.255.255.255 配置去上外网的路由，1.1.1.2 是E1/1 公网接口的网关ip

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 使用的接口加入安全域，loopback 除外firewall zone untrust

add interface Ethernet1/1

firewall packet-filter enable

firewall packet-filter default permit

ike 提议参数，需要和对方B 设备的ike 提议参数一致

指定IKE提议使用的认证算法为md5，加密算法3des-cbc

ike proposal 1

encryption-algorithm 3des-cbc

authentication-algorithm md5

配置ike对等体名称v3，默认主模式，默认使用ip进行双方身份验证，remote-address 的ip 需要和对端B 设备ike profile 中local-identity 的ip 一致，反之，local-address 的ip 是对端的match remote identity address 的ip。使用admin密码为域共享密码，和对方设备一致即可，

ike peer v3

pre-shared-key cipher admin

remote-address 2.2.2.1

local-address 1.1.1.1

配置ipsec 的安全提议，保持和 B 设备配置的安全提议一致

配置安全协议对IP 报文的封装形式为隧道模式，默认采用的安全协议为ESP，配置ESP协议采用的加密算法为3DES，默认认证算法为md5。

ipsec proposal 1

esp encryption-algorithm 3des

配置ipsec策略，名称为v3序列号为1，引用ike对等体v3，引用acl 3001，

引用ipsec 安全提议1

ipsec policy v3 1 isakmp

security acl 3001

ike-peer v3

proposal 1

proposal 1 外网接口上引用ipsec 策略

interface Ethernet1/1

ipsec policy v3

防火墙 B 配置

配置接口的ip ，路由，安全域等基本配置

定义要保护由子网192.168.7.0/24 去往子网192.168.5.0/24 的数据流acl advanced 3001

rule 5 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 配置nat 转换的流，拒绝ipsec 保护的流

acl advanced 3333

rule 0 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 5 permit ip

配置外网接口ip

interface GigabitEthernet1/0/1

port link-mode route

ip address 2.2.2.1 255.255.255.0

nat outbound 3333

配置内网接口

interface LoopBack0

ip address 192.168.7.1 255.255.255.255

配置去上外网的路由,2.2.2.2 是外网接口的网关ip

ip route-static 0.0.0.0 0 2.2.2.2

接口加入安全域及放通安全域。V7 防火墙的域间规则默认都是禁止的，本实验放通域间所有流量为例子，具体的域间规则，请以实际的需求为准。

security-zone name Trust

import interface LoopBack0

security-zone name Untrust

import interface GigabitEthernet1/0/1

acl advanced 3000

rule 0 permit ip

zone-pair security source Any destination Any

packet-filter 3000

zone-pair security source Any destination Local

packet-filter 3000

zone-pair security source Local destination Any

packet-filter 3000

ike 提议参数，需要和对方A 设备的ike 提议参数一致

指定IKE提议使用的认证算法为md5，加密算法3des-cbc

ike proposal 1

encryption-algorithm 3des-cbc

authentication-algorithm md5

配置和对方1.1.1.1 建立vpn 时使用ike 域共享密码。使用admin ，和对方设备一致即可

ike keychain 1

pre-shared-key address 1.1.1.1 255.255.255.0 key simple admin

配置ike 对等体名称v7 ，默认主模式，使用ip 进行双方身份验证，match remote identity address 的ip 需要和对端A 设备ike 对等体中local-address 的ip 一致，反之，local-identity address 是对端的remote-address 的ip 。使用admin 密码为域共享密码，和对方设备一致即可，

ike profile v7

keychain 1

local-identity address 2.2.2.1

match remote identity address 1.1.1.1 255.255.255.0

proposal 1

配置ipsec 的安全提议，保持和 A 设备配置的安全提议一致

配置安全协议对IP 报文的封装形式为隧道模式，默认采用的安全协议为ESP，配置ESP协议采用的加密算法为3DES，认证算法为md5。

ipsec transform-set 1

esp encryption-algorithm 3des-cbc

esp authentication-algorithm md5

配置ipsec策略，名称为-v7序列号为1，引用ike对等体v7,引用acl 3001 ,

引用ipsec 安全提议 1 ，配置好本端和对端的隧道地址