配置採用手工方式建立IPSec隧道示例
一、組網需求
如圖所示,HX為企業分支閘道器,GY為企業總部閘道器,分支與總部透過公網建立通訊。分支子網為10.1.2.0/24,總部子網為10.1.1.0/24。GY和HX兩個站點使用者均可以正常訪問網際網路2.2.2.2。
企業希望對分支子網與總部子網之間相互訪問的流量進行安全保護。分支與總部透過公網建立通訊,可以在分支閘道器與總部閘道器之間建立一個IPSec隧道來實施安全保護。由於維護閘道器較少,可以考慮採用手工方式建立IPSec隧道。
二、操作步驟
1、分別在GY和HX上配置介面的IP地址和預設路由
2、分別在GY和HX上配置ACL,定義各自要保護的資料流
3、分別在GY和HX上建立IPSec安全提議
4、分別在GY和HX上建立安全策略,並引用ACL和IPSec安全提議,確定對何種資料流採取何種保護方法。
5、分別在GY和HX的介面上引用各自的安全策略,使介面具有IPSec的保護功能
三、配置檔案
1、GY相關配置檔案
# sysname GY # acl number 3101 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 acl number 3102 rule 10 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 rule 20 permit ip # ipsec proposal tran1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ipsec policy map1 10 manual security acl 3101 proposal tran1 tunnel local 100.1.1.1 tunnel remote 200.1.1.1 sa spi inbound esp 54321 sa string-key inbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$ sa spi outbound esp 12345 sa string-key outbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$ # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 100.1.1.1 255.255.255.252 ipsec policy map1 nat outbound 3102
2、HX相關配置檔案
sysname HX # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load flash:/portalpage.zip # drop illegal-mac alarm # undo info-center enable # wlan ac-global carrier id other ac id 0 # set cpu-usage threshold 80 restore 75 # acl number 3101 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 acl number 3102 rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 rule 20 permit ip # ipsec proposal tran1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ipsec policy use1 10 manual security acl 3101 proposal tran1 tunnel local 200.1.1.1 tunnel remote 100.1.1.1 sa spi inbound esp 12345 sa string-key inbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$ sa spi outbound esp 54321 sa string-key outbound esp cipher %$%$HqV9'^.AY<;@@wEMv,CQ,.2n%$%$ # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 200.1.1.1 255.255.255.252 ipsec policy use1 nat outbound 3102
3、ISP相關檔案
# interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.252 # interface GigabitEthernet0/0/1 ip address 200.1.1.2 255.255.255.252 # interface GigabitEthernet0/0/2 # interface NULL0 # interface LoopBack0 ip address 2.2.2.2 255.255.255.255