from:http://lulu1101.blog.51cto.com/4455468/817954
ipsec在企业网中的应用(IKE野蛮模式)
案例:
本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。
拓扑图:
配置:
fw1 的配置:
配置ip和默认路由:
# firewall zone trust
# add interface Ethernet 0/4
# quit
# firewall zone untrust
# add interface Ethernet 0/1
# quit
# int e0/4
# ip add 192.168.1.1 24
# int e0/1
# ip add 192.168.10.200 24
# quit
# ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
配置两个访问控制列表:
# acl number 3000
# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# rule deny ip source any destination any
# quit
# acl number 3001
# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
# rule deny ip source any destination any
# quit
配置安全提议:
# ipsec proposal tran1 //创建名为tran1的安全协议
# encapsulation-mode tunnel //报文封装形式采用隧道模式
# transform esp-new //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
# ipsec proposal tran2 //创建名为tran2的安全协议
# encapsulation-mode tunnel //报文封装形式采用隧道模式
# transform esp-new //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
# ike local-name fw1 //配置IKE协商时的本地ID
创建IKE Peer并进入IKE Peer视图:
# ike peer peer1
# exchange-mode aggressive //配置IKE协商方式为野蛮模式
# pre-shard-key simple 1234 //配置预共享密钥
# local-address 192.168.10.200 //配置本机地址
# id-type name //配置对端ID类型
# remote-name fw2 //配置对端名称
# quit
创建IKE Peer:
# ike peer peer2 //创建IKE Peer
# exchange-mode aggressive //配置IKE协商方式为野蛮模式
# pre-shard-key simple abcd //配置预共享密钥
# local-address 192.168.10.200 //配置本机地址
# id-type name //配置对端ID类型
# remote-name fw3 //配置对端名称
# quit
创建一条安全策略,协商方式为动态方式
# ipsec poli policy 10 isakmp
# proposal tran1 //引用安全提议
# security acl 3000 //引用访问列表
# ike-peer peer1
# quit
创建安全策略,协商方式为动态方式
# ipsec poli policy 20 isakmp
# proposal tran2 //引用安全提议
# security acl 3001 //引用访问列表
# ike-peer peer1
# quit
在接口上应用安全策略组:
# int e0/1
# ipsec policy policy
###################################
fw2 的配置:
配置ip和默认路由:
# firewall zone trust
# add interface Ethernet 0/4
# quit
# firewall zone untrust
# add interface Ethernet 0/1
# quit
# int e0/4
# ip add 192.168.2.1 24
# int e0/1
# ip address dhcp-alloc //配置dhcp动态获取地址
# quit
# ip route-static 0.0.0.0 0.0.0.0 192.168.20.1
配置两个访问控制列表:
# acl number 3000
# rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
# rule deny ip source any destination any
# quit
配置安全提议:
# ipsec proposal tran1 //创建名为tran1的安全协议
# encapsulation-mode tunnel //报文封装形式采用隧道模式
# transform esp-new //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
# ike local-name fw2 //配置IKE协商时的本地ID
创建IKE Peer并进入IKE Peer视图:
# ike peer peer1
# exchange-mode aggressive //配置IKE协商方式为野蛮模式
# pre-shard-key simple 1234 //配置预共享密钥
# id-type name //配置对端ID类型
# remote-name fw1 //配置对端名称
# remote-address 192.168.10.200 //配置对端地址
# quit
创建一条安全策略,协商方式为动态方式
# ipsec poli policy 10 isakmp
# proposal tran1 //引用安全提议
# security acl 3000 //引用访问列表
# ike-peer peer1
# quit
在接口上应用安全策略组:
# int e0/1
# ipsec policy policy
#################################
fw3 的配置:
配置ip和默认路由:
# firewall zone trust
# add interface Ethernet 0/4
# quit
# firewall zone untrust
# add interface Ethernet 0/1
# quit
# int e0/4
# ip add 192.168.3.1 24
# int e0/1
# ip address dhcp-alloc //配置dhcp动态获取地址
# quit
# ip route-static 0.0.0.0 0.0.0.0 192.168.30.1
配置两个访问控制列表:
# acl number 3000
# rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
# rule deny ip source any destination any
# quit
配置安全提议:
# ipsec proposal tran2 //创建名为tran1的安全协议
# encapsulation-mode tunnel //报文封装形式采用隧道模式
# transform esp-new //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
# ike local-name fw3 //配置IKE协商时的本地ID
创建IKE Peer并进入IKE Peer视图:
# ike peer peer2
# exchange-mode aggressive //配置IKE协商方式为野蛮模式
# pre-shard-key simple abcd //配置预共享密钥
# id-type name //配置对端ID类型
# remote-address 192.168.10.200 //配置对端地址
# remote-name fw1 //配置对端名称
# quit
创建一条安全策略,协商方式为动态方式
# ipsec poli policy 20 isakmp
# proposal tran2 //引用安全提议
# security acl 3001 //引用访问列表
# ike-peer peer2
# quit
在接口上应用安全策略组:
# int e0/1
# ipsec policy policy
########################
Switch12 的配置:
划分三个vlan,并加入接口:
# vlan 10
# port e1/0/1
# vlan 20
# port e1/0/5
# vlan 30
# port e1/0/3
分别为vlan 10、20、30配置地址:
# interface vlan-interface 10
# ip add 192.168.10.1 255.255.255.0
# interface vlan-interface 20
# ip add 192.168.20.1 255.255.255.0
# interface vlan-interface 30
# ip add 192.168.30.1 255.255.255.0
配置dhcp服务:
# dhcp server ip-pool fw2
# network 192.168.20.0 mask 255.255.255.0
# quit
# dhcp server ip-pool fw3
# network 192.168.30.0 mask 255.255.255.0
# quit
# dhcp server enable
测试:
查看fw2 fw3的e/1端口获得地址信息以及dhcp服务器分配出的地址信息:
1.0网段的pc分别访问2.0和3.0网段的pc:
2.0访问1.0:
3.0访问1.0:
此时可以查看它们之间建立的安全联盟信息:
fw1:
fw2:
fw3: