动态ipsec的配置
目前成都创新互联已为近1000家的企业提供了网站建设、域名、网页空间、网站改版维护、企业网站设计、龙亭网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
与静态主要不一样的是不用再指定安全联盟sa了,这是透过密钥协商的,主要用于配置较多的时候用到,快捷比静态的。
一、Fw-1的配置
1)接口地址的配置
[fw-1]inter eth0/0
[fw-1-Ethernet0/0]ip add 192.168.101.55 255.255.255.0
[fw-1-Ethernet0/0]inter eth0/4
[fw-1-Ethernet0/4]ip add 1.1.1.1 255.255.255.0
查看端口是否加入了区域,若没有加,要加入区域
2)配置访问控制列表,起过滤数据流
[fw-1]acl number 3000
[fw-1-acl-adv-3000]rule 10 permit ip source 192.168.101.0 0.0.0.255 dest 192.168.102.0 0.0.0.255
[fw-1-acl-adv-3000]rule 20 deny ip source any dest any
3)配置安全提议(系统默认,可选)
[fw-1]ipsec proposal tran1
[fw-1-ipsec-proposal-tran1]encapsulation-mode tunnel
[fw-1-ipsec-proposal-tran1]transform esp
[fw-1-ipsec-proposal-tran1]esp encryption-algorithm des
[fw-1-ipsec-proposal-tran1]esp authentication-algorithm md5
4)配置邻居参数。在全局了配置 //这里是与静态手工配置不一样的地方
[fw-1]ike peer fw-2
[fw-1-ike-peer-fw-2]pre-shared-key simple 123456(定义与共享密钥)
[fw-1-ike-peer-fw-2]remote-address 1.1.2.2(定义对端的地址)
5)配置安全策略
[fw-1]ipsec policy policy1 10 isakmp(动态配置安全策略)
[fw-1-ipsec-policy-isakmp-policy1-10]security acl 3000
[fw-1-ipsec-policy-isakmp-policy1-10]proposal tran1
[fw-1-ipsec-policy-isakmp-policy1-10]ike-peer fw-2
应用安全策略
[fw-1]inter eth0/4
[fw-1-Ethernet0/4]ipsec policy policy1
二、路由器配置
[Router]inter e0
[Router-Ethernet0]ip add 1.1.1.2 255.255.255.0
[Router-Ethernet0]inter e1
[Router-Ethernet1]ip add 1.1.2.1 255.255.255.0
三、fw-2的配置
[fw-2]inter eth0/0
[fw-2-Ethernet0/0]ip add 192.168.102.90 255.255.255.0
[fw-2-Ethernet0/0]loop
[fw-2-Ethernet0/0]inter eth0/4
[fw-2-Ethernet0/4]ip add 1.1.2.2 255.255.255.0
把端口加入区域(如端口在默认区域,不用在添加)
[fw-2]firewall zone untrust
[fw-2-zone-untrust]add interface eth0/4
[fw-2-zone-untrust]q
[fw-2]firewall zone trust
[fw-2-zone-trust]add interface eth0/0
配置访问控制列表,起过滤作用
[fw-2]acl number 3000
[fw-2-acl-adv-3000]rule 10 permit ip source 192.168.102.0 0.0.0.255 dest 192.168.101.0 0.0.0.255
[fw-2-acl-adv-3000]rule 20 deny ip source any dest any
配置安全提议(系统默认,可选)
[fw-2]ipsec proposal tran1
[fw-2-ipsec-proposal-tran1]encapsulation-mode tunnel
[fw-2-ipsec-proposal-tran1]transform esp
[fw-2-ipsec-proposal-tran1]esp encryption-algorithm des
[fw-2-ipsec-proposal-tran1]esp authentication-algorithm md5
配置邻居参数
[fw-2]ike peer fw-1
[fw-2-ike-peer-fw-1]pre-shared-key simple 123456
[fw-2-ike-peer-fw-1]remote-address 1.1.1.1
配置安全策略
[fw-2]ipsec policy policy1 10 isakmp
[fw-2-ipsec-policy-isakmp-policy1-10]security acl 3000
[fw-2-ipsec-policy-isakmp-policy1-10]proposal tran1
[fw-2-ipsec-policy-isakmp-policy1-10]ike-peer fw-1
应用安全策略
[fw-2]inter eth0/4
[fw-2-Ethernet0/4]ipsec policy policy
测试结果
注:红色部分是与静态配置不一样的地方。