• <acronym id="o3nfd"></acronym>
  • <table id="o3nfd"></table>
    <pre id="o3nfd"><ruby id="o3nfd"><menu id="o3nfd"></menu></ruby></pre>

    FW防火墻配置IPSec遂道參數解析

    2020年05月19日 · 技術幫助分享 · 網絡工程 · 1251次閱讀

    ------正---文------

     

    一.拓撲如下:

     

    1.png

    二.配置思路:

    配置接口IP與信任區域以及非信任區域

     

    int g1/0/0                  

    ip address 20.20.20.254 24

    int g0/0/0

    ip address 40.40.40.1 24

    fireware zone trust

    add int g1/0/0

    fireware zone untrust

    add int g0/0/0

     

    在接口下配置

    service-manage ping permit

    之后,PCFW1地址可以互訪

     

    配置默認出口路由

    ip route-static 0.0.0.0 0 41.41.41.1 

     

    配置IPsec遂道

    *******************************************************************************

    配置IKE Proposal

     

    ike proposal 10

    authentiaction-method pre-share

    authentication-algorithm sha1

    encryption-algorithm 3des

    dh group2

     

    配置IPsec proposal

    ipsec proposal myset  (myset_fw1/myset_fw2在不同防火墻上配置不同)

    transform esp

    esp authentication-algorithm sha1

    esp encryption-algorithm 3des

     

    配置IKE peer

    ike peer fw     (fw2/fw1,同上,在不同防火墻上配置不同)

    pre-shared-key huawei123(密碼,兩端必須設置一致)

    ike-proposal 10

    remote-address (配置為對端FW的非信任區IP,42.42.42.2/41.41.41.2,為遂道兩側地址,這邊設置為對端地址)

    遂道內流量匹配才可以通過,另外一個防火墻流量應該反過來

    *******************************************************************************

    配置遂道內流量放通策略 ,并且在對應接口上應用

    acl number 3000

    rule permit ip source 20.20.20.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

    配置FWIPsec Policy

    ipsec policy mymap 10 isakmp

    security acl 3000

    ike-peer fw2

    tunnel local (配置為本端FW的非信任區IP,41.41.41.2/42.42.42.2,為遂道兩側地址,這邊設置為本端地址)

    proposal myset  (myset_fw1/myset_fw2,同上,在不同防火墻上配置不同)

     

    配置應用IPsec policy 到接口(untrust流量出去的接口)

    interface g0/0/0

    ipsec policy mymap

    *******************************************************************************

     

    配置流量放通策略

    下面是FW2上配置數據,分別是

    到目標10.10.10.0的流量放通,從10.10.10.0出去流量放通

    到目標42.42.42.0的流量放通,從42.42.42.0出去流量放通

     

    FW1上配置數據,應該是

    到目標20.20.20.0的流量放通,從20.20.20.0出去流量放通

    到目標41.41.41.0的流量放通,從41.41.41.0出去流量放通

    [FW2-policy-security]

     #

    security-policy

     rule name 20in

      destination-zone trust

      destination-address 10.10.10.0 0.0.0.255

      action permit

     rule name test11

      source-address 42.42.42.0 mask 255.255.255.0

      action permit

     rule name test12

      destination-address 42.42.42.0 mask 255.255.255.0

      action permit

     rule name 20out

      source-zone trust

      source-address 10.10.10.0 mask 255.255.255.0

      action permit

    #return

    [FW2-policy-security]

    三.結果驗證:

    2.png

    PC1  ping  PC4,可達

    。

    3.png

    PC4  ping  PC1,可達。

     

    4.png

    抓包分析,可以看到上面PC1PC4互相ping 可達,在FW1--FW2之間抓包,PC1PC4IP地址已經隱藏,完全通過加密遂道傳輸,只能看到遂道兩側地址進行數據交互。



    ------結---束------

    推廣:AI工具網 | 專注人工智能工具推薦!
    『靜謐星河』采用《署名-相同方式共享 4.0 國際》進行許可。如需轉載請保留本文地址。
    本文地址:
    http://www.arabwrld.com/help/443.html
    AD

    支持我

    教程幫助解決方法網工華為

    靜謐星河最后編輯于4年前


    因本站不提供交互式服務,評論均需審核后顯示,敬請諒解。

    添加新評論

    captcha

    請輸入驗證碼

    成年女人毛片免费观看97_日本一二三区免费更新_亚洲嫩模乱视免费A级视频_国产乱仑av另类
  • <acronym id="o3nfd"></acronym>
  • <table id="o3nfd"></table>
    <pre id="o3nfd"><ruby id="o3nfd"><menu id="o3nfd"></menu></ruby></pre>