資源描述:
《配置點對點方式建立IPSec-隧道.doc》由會員上傳分享,免費在線閱讀��,更多相關內容在教育資源-天天文庫��。
1��、配置點對點方式建立IPSec隧道對于小、中�����、大型的動態(tài)網絡環(huán)境中,都推薦使用IKE協商建立IPSec隧道�����。采用IKE方式建立IPSec隧道與手工方式相比比較簡單��,只需要配置好IKE協商安全策略的信息��,由IKE自動協商來創(chuàng)建和維護安全聯盟����。本例將使用路由接口實現IKEv2方式協商的IPSec隧道的配置。組網需求如圖9-15所示�����,某公司組網如下:網絡A和網絡B通過USG_A和USG_B連接到Internet���。USG_A和USG_B均為固定公網地址���。USG_A和USG_B路由可達。該網絡需實現以下需求:網絡A和網絡B之間要相互傳輸數
2�、據,且傳輸的數據需要進行加密�。圖9-15配置點對點方式建立IPSec隧道組網圖網絡規(guī)劃根據組網需求,網絡規(guī)劃如下:由于兩個網絡之間要傳輸內網數據��,而路由不可達���,所以需要建立一條VPN隧道�����,實現兩個網絡之間的互訪����。由于傳輸數據需要加密,采用IPSecVPN方式建立隧道���。兩個網絡的公網IP地址固定不變����,且兩個網絡之間要互相訪問�,需要建立點到點方式的IPSec隧道,使兩個網絡中的設備都可以主動發(fā)起連接�。操作步驟步驟1配置相關接口加入安全區(qū)域。#配置USG_A接口加入安全區(qū)域��。[USG_A]firewallzonetrust[USG_
3�����、A-zone-trust]addinterfaceGigabitEthernet0/0/0[USG_A]firewallzoneuntrust[USG_A-zone-untrust]addinterfaceGigabitEthernet0/0/1SecospaceUSG2100/2200/5100#配置USG_B接口加入安全區(qū)域���。[USG_B]firewallzonetrust[USG_B-zone-trust]addinterfaceGigabitEthernet0/0/0[USG_B]firewallzoneuntrust
4、[USG_B-zone-untrust]addinterfaceGigabitEthernet0/0/1步驟2開啟域間包過濾規(guī)則����,確保各種業(yè)務順利進行��。說明當對網絡安全性要求較高時����,建議通過policy命令對域間數據流進行訪問控制����。#配置USG_A域間包過濾規(guī)則。[USG_A]firewallpacket-filterdefaultpermitall#配置USG_B域間包過濾規(guī)則��。[USG_B]firewallpacket-filterdefaultpermitall步驟3如圖9-15所示配置USG_A和USG_B的各接口IP
5���、地址���,具體配置過程略。步驟4配置USG_A和USG_B的ACL�����,定義各自要保護的數據流�。#配置USG_A的ACL,配置源IP地址為10.1.1.0/24�����、目的IP地址為10.1.2.0/24的規(guī)則。[USG_A]acl3000[USG_A-acl-adv-3000]rulepermitipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255[USG_A-acl-adv-3000]quit#配置USG_B的訪問控制列表��,配置源IP地址為10.1.2.0/24���、目的IP地址為10.
6��、1.1.0/24的規(guī)則�。[USG_B]acl3000[USG_B-acl-adv-3000]rulepermitipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255[USG_B-acl-adv-3000]quit步驟5分別配置USG_A和USG_B到對端的靜態(tài)路由�����。#配置USG_A到網絡B的靜態(tài)路由���,此處假設到達網絡B的下一跳地址為202.38.163.2��。[USG_A]iproute-static10.1.2.0255.255.255.0202.38.163.2#配置US
7�����、G_B到網絡A的靜態(tài)路由���,此處假設到達網絡A的下一跳地址為202.38.169.2�����。[USG_B]iproute-static10.1.1.0255.255.255.0202.38.169.2步驟6分別在USG_A和USG_B上創(chuàng)建IPSec安全提議。#在USG_A上配置IPSec安全提議����。[USG_A]ipsecproposaltran1[USG_A-ipsec-proposal-tran1]encapsulation-modetunnel#缺省情況下,IPSec協議的封裝模式為隧道模式����,可以不配置。[USG_A-ipsec
8��、-proposal-tran1]transformesp#缺省情況下��,IPSec的安全協議為ESP�,可以不配置。[USG_A-ipsec-proposal-tran1]espauthentication-algorithmsha1[USG_A-ipsec-proposal-t
