from:http://lulu1101.blog.51cto.com/4455468/817954

ipsec在企业网中的应用(IKE野蛮模式)

案例:
本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。
 
拓扑图:

配置: 
fw1 的配置:
 
配置ip和默认路由:
# firewall zone trust
# add interface Ethernet 0/4
# quit
# firewall zone untrust
# add interface Ethernet 0/1
# quit
 
# int e0/4
# ip add 192.168.1.1 24
# int e0/1
# ip add 192.168.10.200 24
# quit
# ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
配置两个访问控制列表:
# acl number 3000
# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# rule deny ip source any destination any
# quit
# acl number 3001
# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
# rule deny ip source any destination any
# quit
配置安全提议:
# ipsec proposal tran1  //创建名为tran1的安全协议
# encapsulation-mode tunnel  //报文封装形式采用隧道模式
# transform esp-new  //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
 
# ipsec proposal tran2   //创建名为tran2的安全协议
# encapsulation-mode tunnel   //报文封装形式采用隧道模式
# transform esp-new  //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
 
# ike local-name fw1  //配置IKE协商时的本地ID
 
创建IKE Peer并进入IKE Peer视图:
# ike peer peer1
# exchange-mode aggressive  //配置IKE协商方式为野蛮模式
# pre-shard-key simple 1234  //配置预共享密钥
# local-address 192.168.10.200  //配置本机地址
# id-type name   //配置对端ID类型
# remote-name fw2  //配置对端名称
# quit
创建IKE Peer:
# ike peer peer2  //创建IKE Peer
# exchange-mode aggressive  //配置IKE协商方式为野蛮模式
# pre-shard-key simple abcd  //配置预共享密钥
# local-address 192.168.10.200  //配置本机地址
# id-type name    //配置对端ID类型
# remote-name fw3   //配置对端名称
# quit
 
创建一条安全策略,协商方式为动态方式
# ipsec poli policy 10 isakmp
# proposal tran1   //引用安全提议
# security acl 3000   //引用访问列表
# ike-peer peer1 
# quit
 
 
创建安全策略,协商方式为动态方式
# ipsec poli policy 20 isakmp
# proposal tran2   //引用安全提议
# security acl 3001   //引用访问列表
# ike-peer peer1
# quit
 
 
在接口上应用安全策略组:
# int e0/1
# ipsec policy policy
  
###################################
fw2 的配置:
 
配置ip和默认路由:
# firewall zone trust
# add interface Ethernet 0/4
# quit
# firewall zone untrust
# add interface Ethernet 0/1
# quit
 
# int e0/4
# ip add 192.168.2.1 24
# int e0/1
# ip address dhcp-alloc  //配置dhcp动态获取地址
# quit
# ip route-static 0.0.0.0 0.0.0.0 192.168.20.1
配置两个访问控制列表:
# acl number 3000
# rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
# rule deny ip source any destination any
# quit
 
配置安全提议:
# ipsec proposal tran1  //创建名为tran1的安全协议
# encapsulation-mode tunnel  //报文封装形式采用隧道模式
# transform esp-new  //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
 
# ike local-name fw2  //配置IKE协商时的本地ID
 
创建IKE Peer并进入IKE Peer视图:
# ike peer peer1
# exchange-mode aggressive  //配置IKE协商方式为野蛮模式
# pre-shard-key simple 1234  //配置预共享密钥
# id-type name   //配置对端ID类型
# remote-name fw1  //配置对端名称
# remote-address 192.168.10.200  //配置对端地址
# quit
 
创建一条安全策略,协商方式为动态方式
# ipsec poli policy 10 isakmp
# proposal tran1   //引用安全提议
# security acl 3000   //引用访问列表
# ike-peer peer1 
# quit
 
在接口上应用安全策略组:
# int e0/1
# ipsec policy policy
 
#################################
fw3 的配置:
 
配置ip和默认路由:
# firewall zone trust
# add interface Ethernet 0/4
# quit
# firewall zone untrust
# add interface Ethernet 0/1
# quit
 
# int e0/4
# ip add 192.168.3.1 24
# int e0/1
# ip address dhcp-alloc  //配置dhcp动态获取地址
# quit
# ip route-static 0.0.0.0 0.0.0.0 192.168.30.1
配置两个访问控制列表:
# acl number 3000
# rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
# rule deny ip source any destination any
# quit
 
配置安全提议:
# ipsec proposal tran2  //创建名为tran1的安全协议
# encapsulation-mode tunnel  //报文封装形式采用隧道模式
# transform esp-new  //安全协议采用esp协议
选择加密算法和认证算法:
# esp-new encryption-algorithm des
# esp-new authentication-algorithm md5
# quit
 
# ike local-name fw3  //配置IKE协商时的本地ID
 
创建IKE Peer并进入IKE Peer视图:
# ike peer peer2
# exchange-mode aggressive  //配置IKE协商方式为野蛮模式
# pre-shard-key simple abcd  //配置预共享密钥
# id-type name   //配置对端ID类型
# remote-address 192.168.10.200  //配置对端地址
# remote-name fw1 //配置对端名称
# quit
 
创建一条安全策略,协商方式为动态方式
# ipsec poli policy 20 isakmp
# proposal tran2   //引用安全提议
# security acl 3001   //引用访问列表
# ike-peer peer2 
# quit
 
在接口上应用安全策略组:
# int e0/1
# ipsec policy policy
########################
Switch12 的配置:
 
划分三个vlan,并加入接口:
# vlan 10 
# port e1/0/1
# vlan 20
# port e1/0/5
# vlan 30
# port e1/0/3
 
分别为vlan 10、20、30配置地址:
# interface vlan-interface 10
# ip add 192.168.10.1 255.255.255.0
 
# interface vlan-interface 20
# ip add 192.168.20.1 255.255.255.0
 
# interface vlan-interface 30
# ip add 192.168.30.1 255.255.255.0
 
配置dhcp服务:
# dhcp server ip-pool fw2
# network 192.168.20.0 mask 255.255.255.0
# quit
# dhcp server ip-pool fw3
# network 192.168.30.0 mask 255.255.255.0
# quit
 
# dhcp server enable
 

测试:

查看fw2  fw3的e/1端口获得地址信息以及dhcp服务器分配出的地址信息

1.0网段的pc分别访问2.0和3.0网段的pc:

2.0访问1.0:

3.0访问1.0:

此时可以查看它们之间建立的安全联盟信息:

fw1:

fw2:

fw3:

ipsec在企业网中的应用(IKE野蛮模式)(转)的更多相关文章

  1. 在WildFly中运行多个standalone模式的实例

      WildFly作为一款优秀的EJB容器,其前身为JBoss AS.JBoss作为一款开源的应用服务器,被广泛的应用在各种项目当中.假设我们现在有这样一个项目,他是以standalone的模式运行在 ...

  2. VMware Workstation虚拟机中的Linux通过NAT模式共享上网配置教程

    VMware Workstation虚拟机中的Linux通过NAT模式共享上网配置教程 在VMware Workstation虚拟机下面,Linux虚机要上网,一般是桥接模式,但我自己的电脑上网的环境 ...

  3. 内存中 OLTP - 常见的工作负荷模式和迁移注意事项(三)

    ----------------------------我是分割线------------------------------- 本文翻译自微软白皮书<In-Memory OLTP – Comm ...

  4. 内存中 OLTP - 常见的工作负荷模式和迁移注意事项(二)

    ----------------------------我是分割线------------------------------- 本文翻译自微软白皮书<In-Memory OLTP – Comm ...

  5. 内存中 OLTP - 常见的工作负荷模式和迁移注意事项(一)

    ----------------------------我是分割线------------------------------- 本文翻译自微软白皮书<In-Memory OLTP – Comm ...

  6. Activity中的四种启动模式

    在Android中每个界面都是一个Activity,切换界面操作其实是多个不同Activity之间的实例化操作.在Android中Activity的启动模式决定了Activity的启动运行方式. An ...

  7. CDC不同模式在ODI中体现系列之一 同步模式

    CDC不同模式在ODI中体现系列之一 同步模式 Oracle Database Change Data Capture feature 变化数据捕获是一个通称,是用来描述捕捉增量变化应用到数据存储.随 ...

  8. 详解 Java 中的三种代理模式

    代理模式 代理(Proxy)是一种设计模式,提供了对目标对象另外的访问方式;即通过代理对象访问目标对象.这样做的好处是:可以在目标对象实现的基础上,增强额外的功能操作,即扩展目标对象的功能. 这里使用 ...

  9. 协议中UART的两种模式 【转】

    转自:http://wjf88223.blog.163.com/blog/static/3516800120104179327286/ ^^…… 协议栈中UART有两种模式:1.中断2.DMA 对于这 ...

随机推荐

  1. Android -- EventBus使用

    EventBus EventBus是一个Android端优化的publish/subscribe消息总线,简化了应用程序内各组件间.组件与后台线程间的通信.比如请求网络,等网络返回时通过Handler ...

  2. Introduction to Learning to Trade with Reinforcement Learning

    http://www.wildml.com/2015/12/implementing-a-cnn-for-text-classification-in-tensorflow/ The academic ...

  3. windows 查看动态连接库和静态连接库的方法

    在window下查看动态库的导出函数可以用vs自带的Dependenc工具: 查看静态库的信息要用命令行来实现: dumpbin   /LINKERMEMBER   Test.lib   >   ...

  4. 谢宝友:会说话的Linux内核

    我们本次开源专访的对象是一位认真钻研技术的工程师,谢宝友,他目前任职中兴通讯操作系统团队,他个人在业余时间前后共花费了6年时间完成了对Linux内核Linux 2.6.12内核源代码注释工作. 我们本 ...

  5. 抽屉柜式MCC柜中PROFIBUS设备推荐波特率及相应传输距离

    抽屉柜式MCC柜中PROFIBUS设备推荐波特率及相应传输距离.例如以下图所看到的: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L ...

  6. memory拷贝与string拷贝的区别

    1.memory拷贝,根据拷贝的字节个数,从src一个一个字节拷贝到dst,拷贝过程不管src的取值,也不管dst是否能容纳.2.因此,对于memory拷贝,src中NULL字符(取值为0的字符)后面 ...

  7. JAVA Eclipse打开报错failed to load the jni shared library怎么办

    JRE是64位的,但是Eclipse是32位的   一般都用绿色版的了,可以直接解压运行  

  8. Swift语言精要 - 序列化和反序列化

    在swift中你可以把一个对象转换成为数据,你所要做的就是 首先,你需要让对象实现NSObject和NSCoding协议. 其次,实现以下两个方法: encodeWithCoder init(code ...

  9. 在CentOS7(虚拟机)下通过源码安装Postgresql10以及基本配置

    操作系统:CentOS7 安装文件:postgresql-10.0.tar.gz 系统环境:gcc.Python 1:源码安装 [postgres@localhost ~]# tar zxvf pos ...

  10. 算法笔记_203:第四届蓝桥杯软件类决赛真题(C语言B组)

    目录 1 猜灯谜 2 连续奇数和 3 空白格式化 4 高僧斗法 5 格子刷油漆 6 农场阳光   前言:以下代码仅供参考,若有错误欢迎指正哦~ 1 猜灯谜 标题:猜灯谜 A 村的元宵节灯会上有一迷题: ...