動態(tài)ipsec的配置
創(chuàng)新互聯(lián)從2013年開始,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項目做網(wǎng)站、成都網(wǎng)站設(shè)計網(wǎng)站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元郴州做網(wǎng)站,已為上家服務(wù),為郴州各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792與靜態(tài)主要不一樣的是不用再指定安全聯(lián)盟sa了,這是透過密鑰協(xié)商的,主要用于配置較多的時候用到,快捷比靜態(tài)的。
一、Fw-1的配置
1)接口地址的配置
[fw-1]inter eth0/0
[fw-1-Ethernet0/0]ip add 192.168.101.55 255.255.255.0
[fw-1-Ethernet0/0]inter eth0/4
[fw-1-Ethernet0/4]ip add 1.1.1.1 255.255.255.0
查看端口是否加入了區(qū)域,若沒有加,要加入?yún)^(qū)域
2)配置訪問控制列表,起過濾數(shù)據(jù)流
[fw-1]acl number 3000
[fw-1-acl-adv-3000]rule 10 permit ip source 192.168.101.0 0.0.0.255 dest 192.168.102.0 0.0.0.255
[fw-1-acl-adv-3000]rule 20 deny ip source any dest any
3)配置安全提議(系統(tǒng)默認(rèn),可選)
[fw-1]ipsec proposal tran1
[fw-1-ipsec-proposal-tran1]encapsulation-mode tunnel
[fw-1-ipsec-proposal-tran1]transform esp
[fw-1-ipsec-proposal-tran1]esp encryption-algorithm des
[fw-1-ipsec-proposal-tran1]esp authentication-algorithm md5
4)配置鄰居參數(shù)。在全局了配置 //這里是與靜態(tài)手工配置不一樣的地方
[fw-1]ike peer fw-2
[fw-1-ike-peer-fw-2]pre-shared-key simple 123456(定義與共享密鑰)
[fw-1-ike-peer-fw-2]remote-address 1.1.2.2(定義對端的地址)
5)配置安全策略
[fw-1]ipsec policy policy1 10 isakmp(動態(tài)配置安全策略)
[fw-1-ipsec-policy-isakmp-policy1-10]security acl 3000
[fw-1-ipsec-policy-isakmp-policy1-10]proposal tran1
[fw-1-ipsec-policy-isakmp-policy1-10]ike-peer fw-2
應(yīng)用安全策略
[fw-1]inter eth0/4
[fw-1-Ethernet0/4]ipsec policy policy1
二、路由器配置
[Router]inter e0
[Router-Ethernet0]ip add 1.1.1.2 255.255.255.0
[Router-Ethernet0]inter e1
[Router-Ethernet1]ip add 1.1.2.1 255.255.255.0
三、fw-2的配置
[fw-2]inter eth0/0
[fw-2-Ethernet0/0]ip add 192.168.102.90 255.255.255.0
[fw-2-Ethernet0/0]loop
[fw-2-Ethernet0/0]inter eth0/4
[fw-2-Ethernet0/4]ip add 1.1.2.2 255.255.255.0
把端口加入?yún)^(qū)域(如端口在默認(rèn)區(qū)域,不用在添加)
[fw-2]firewall zone untrust
[fw-2-zone-untrust]add interface eth0/4
[fw-2-zone-untrust]q
[fw-2]firewall zone trust
[fw-2-zone-trust]add interface eth0/0
配置訪問控制列表,起過濾作用
[fw-2]acl number 3000
[fw-2-acl-adv-3000]rule 10 permit ip source 192.168.102.0 0.0.0.255 dest 192.168.101.0 0.0.0.255
[fw-2-acl-adv-3000]rule 20 deny ip source any dest any
配置安全提議(系統(tǒng)默認(rèn),可選)
[fw-2]ipsec proposal tran1
[fw-2-ipsec-proposal-tran1]encapsulation-mode tunnel
[fw-2-ipsec-proposal-tran1]transform esp
[fw-2-ipsec-proposal-tran1]esp encryption-algorithm des
[fw-2-ipsec-proposal-tran1]esp authentication-algorithm md5
配置鄰居參數(shù)
[fw-2]ike peer fw-1
[fw-2-ike-peer-fw-1]pre-shared-key simple 123456
[fw-2-ike-peer-fw-1]remote-address 1.1.1.1
配置安全策略
[fw-2]ipsec policy policy1 10 isakmp
[fw-2-ipsec-policy-isakmp-policy1-10]security acl 3000
[fw-2-ipsec-policy-isakmp-policy1-10]proposal tran1
[fw-2-ipsec-policy-isakmp-policy1-10]ike-peer fw-1
應(yīng)用安全策略
[fw-2]inter eth0/4
[fw-2-Ethernet0/4]ipsec policy policy
測試結(jié)果
注:紅色部分是與靜態(tài)配置不一樣的地方。
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。
網(wǎng)站標(biāo)題:動態(tài)ipsec的實現(xiàn)-創(chuàng)新互聯(lián)
新聞來源:http://muchs.cn/article4/cdeiie.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供關(guān)鍵詞優(yōu)化、云服務(wù)器、微信小程序、品牌網(wǎng)站建設(shè)、App開發(fā)、網(wǎng)站內(nèi)鏈
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容