採用手工方式建立IPSec隧道示例

配置採用手工方式建立IPSec隧道示例

一、組網需求

如圖所示，HX為企業分支閘道器，GY為企業總部閘道器，分支與總部透過公網建立通訊。分支子網為10.1.2.0/24，總部子網為10.1.1.0/24。GY和HX兩個站點使用者均可以正常訪問網際網路2.2.2.2。

企業希望對分支子網與總部子網之間相互訪問的流量進行安全保護。分支與總部透過公網建立通訊，可以在分支閘道器與總部閘道器之間建立一個IPSec隧道來實施安全保護。由於維護閘道器較少，可以考慮採用手工方式建立IPSec隧道。

二、操作步驟

1、分別在GY和HX上配置介面的IP地址和預設路由

2、分別在GY和HX上配置ACL，定義各自要保護的資料流

3、分別在GY和HX上建立IPSec安全提議

4、分別在GY和HX上建立安全策略，並引用ACL和IPSec安全提議，確定對何種資料流採取何種保護方法。

5、分別在GY和HX的介面上引用各自的安全策略，使介面具有IPSec的保護功能

三、配置檔案

1、GY相關配置檔案

#
 sysname GY
#
 acl number 3101  
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
acl number 3102  
 rule 10 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
 rule 20 permit ip 
#
ipsec proposal tran1
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128
#
ipsec policy map1 10 manual
 security acl 3101
 proposal tran1
 tunnel local 100.1.1.1
 tunnel remote 200.1.1.1
 sa spi inbound esp 54321
 sa string-key inbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$
 sa spi outbound esp 12345
 sa string-key outbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 100.1.1.1 255.255.255.252 
 ipsec policy map1
 nat outbound 3102

2、HX相關配置檔案

sysname HX
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
acl number 3101  
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 
acl number 3102  
 rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 
 rule 20 permit ip 
#
ipsec proposal tran1
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128
#
ipsec policy use1 10 manual
 security acl 3101
 proposal tran1
 tunnel local 200.1.1.1
 tunnel remote 100.1.1.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$
 sa spi outbound esp 54321
 sa string-key outbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.1.2.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 200.1.1.1 255.255.255.252 
 ipsec policy use1
 nat outbound 3102

3、ISP相關檔案

#
interface GigabitEthernet0/0/0
 ip address 100.1.1.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 200.1.1.2 255.255.255.252 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255