返回
配置点到点的ipsec隧道举例

配置点到点的ipsec隧道举例

ID:30300667

大小:256.54 KB

页数:8页

时间:2018-12-28

配置点到点的ipsec隧道举例_第1页
配置点到点的ipsec隧道举例_第2页
配置点到点的ipsec隧道举例_第3页
配置点到点的ipsec隧道举例_第4页
配置点到点的ipsec隧道举例_第5页
资源描述:

《配置点到点的ipsec隧道举例》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、配置点到点的IPSec隧道举例对于小、中、大型的动态网络环境中,都推荐使用IKE协商建立IPSec隧道。采用IKE方式建立IPSec隧道与手工方式相比比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。组网需求如图1所示,网络A和网络B通过USG_A和USG_B连接到Internet。在USG_A和USG_B之间建立IPSec隧道,以保护两个网络进行安全通信。网络环境描述如下:网络A属于10.1.1.0/24子网,通过接口GigabitEthernet0/0/1与USG_A连接。网络B属于10.1.2.0/24子网,

2、通过接口GigabitEthernet0/0/1与USG_B连接。USG_A和USG_B路由可达。图1配置点到点的IPSec隧道组网图项目数据USG_A(1)接口号:GigabitEthernet0/0/1IP地址:10.1.1.1/24(2)接口号:GigabitEthernet0/0/2IP地址:202.38.163.1/24IPSec配置封装模式:隧道模式安全协议:ESPESP协议验证算法:MD5ESP协议加密算法:DESIKE协商模式:主模式IKE预共享密钥:abcdeIKE验证身份类型:IPIKE对端IP地址:202.38.169.1IKE

3、版本:IKEv2USG_B(3)接口号:GigabitEthernet0/0/2IP地址:202.38.169.1/24(4)接口号:GigabitEthernet0/0/1IP地址:10.1.2.1/24IPSec配置封装模式:隧道模式安全协议:ESPESP协议验证算法:MD5ESP协议加密算法:DESIKE协商模式:主模式IKE预共享密钥:abcdeIKE验证身份类型:IPIKE对端IP地址:202.38.163.1IKE版本:IKEv2配置思路两个网络的公网IP地址固定不变,且两个网络之间要互相访问,可建立IKE协商的点到点方式的IPSec隧道

4、,使两个网络中的设备都可以主动发起连接。根据组网需求,配置思路如下:1完成两端设备的基本配置、路由配置等。2在USG_A和USG_B上分别通过配置高级ACL规则组来定义需要保护的数据流,即网络A和网络B两个网段的通信数据。3在USG_A和USG_B上分别配置IPSec安全提议。4在USG_A和USG_B上分别配置IKE安全提议和IKE对等体。5在USG_A和USG_B上分别配置IPSec安全策略。6将IPSec安全策略分别应用到USG_A和USG_B的接口上。操作步骤7对于USG系列,将接口加入安全区域,并配置域间包过滤,以保证网络基本通信正常,具体

5、步骤略。对于USGBSR/HSR系列,不需要将接口加入安全区域以及配置包过滤。8如图1所示配置USG_A和USG_B的各接口IP地址,具体配置过程略。配置USG_A和USG_B的ACL,定义各自要保护的数据流。#配置USG_A的ACL,配置源IP地址为10.1.1.0/24、目的IP地址为10.1.2.0/24的规则。[USG_A]acl3000[USG_A-acl-adv-3000]rulepermitipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255[USG_A-acl-adv-3000]q

6、uit#配置USG_B的ACL,配置源IP地址为10.1.2.0/24、目的IP地址为10.1.1.0/24的规则。[USG_B]acl3000[USG_B-acl-adv-3000]rulepermitipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255[USG_B-acl-adv-3000]quit分别配置USG_A和USG_B到对端的静态路由。#配置USG_A到网络B的静态路由,此处假设到达网络B的下一跳地址为202.38.163.2。[USG_A]iproute-static10.1.2.

7、0255.255.255.0202.38.163.2#配置USG_B到网络A的静态路由,此处假设到达网络A的下一跳地址为202.38.169.2。[USG_B]iproute-static10.1.1.0255.255.255.0202.38.169.2分别在USG_A和USG_B上创建IPSec安全提议。#在USG_A上配置IPSec安全提议。[USG_A]ipsecproposaltran1[USG_A-ipsec-proposal-tran1]encapsulation-modetunnel#缺省情况下,IPSec协议的封装模式为隧道模式,可以

8、不配置。[USG_A-ipsec-proposal-tran1]transformesp[USG_A-ips

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。