返回
ipsec(分支动态ip)

ipsec(分支动态ip)

ID:13054529

大小:157.23 KB

页数:19页

时间:2018-07-20

ipsec(分支动态ip)_第1页
ipsec(分支动态ip)_第2页
ipsec(分支动态ip)_第3页
ipsec(分支动态ip)_第4页
ipsec(分支动态ip)_第5页
资源描述:

《ipsec(分支动态ip)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、1.1IPSEC建立点到多点SA策略模版方式在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSECVPN隧道,各个分支机构之间的通信由总部节点转发和控制.实现HUB-Spoke组网的配置有2种配置方式,子策略方式与策略模版方式,其中子策略方式可以由双方主动发起IPSEC连接,适用于分支固定IP,策略模版方式只能由下端发起IPSEC连接,适用于分支动态IP.1.1.1组网图IPSECIKE方式建立点到多点SA组网图1.1.2组网需求1)总部FWA为固定公网地址,FWBFWC为动态公

2、网IP(实验环境配置静态IP模拟动态IP,不影响IPSEC的配置,现网可能是通过ADSL或PPPOE获得的IP)2)分支机构PC2PC3与能与总部PC1之间进行安全通信,在PC2PC3与PC1能够安全通信之后,PC2PC3能够通过FWA进行安全通信,FWA与FWBFWC之间使用IKE野蛮模式建立安全通道,FWBFWC不直接建立任何IPSEC连接。3)在FWAA和FWBFWC上均配置序列号为10的IKE提议。4)为使用pre-sharedkey验证方法的提议配置验证字。1.1.3适用产品、版本设备型号:Eudemon100/100S/200/20

3、0S,Eudemon300/500/1000,USG50/3000/5000实验设备:FWAEudemon500FWB/FWCEudemon200软件版本:V2R1及以上实验版本Eudemon500V200R006C02B059Eudemon200V200R001B01D0361.1.1配置思路和步骤1)防火墙基本配置,包括IP地址,安全域2)配置公网路由,一般情况下,防火墙上配置静态路由3)定义用于包过滤和加密的数据流4)配置域间通信规则5)配置IPSec安全提议6)配置IKE提议7)配置IKEPeer和野蛮模式8)配置安全策略模版9)配置和

4、引用安全策略1.1.2配置过程和解释(关键配置)配置总部FWA:1)配置到达分支机构的静态路由[FWA]iproute-static0.0.0.00.0.0.0200.0.0.22)定义用于包过滤和加密的数据流,ACL3000定义到所有分支机构FWBFWC网段的数据流,为了实现分支的互通,Soure定义为包括总部和分支的所有网段,destination定义为各个分支的明细网段.[FWA]acl3000[FWA-acl-adv-3000]rulepermitipsource10.0.0.00.255.255.255destination10.0.

5、1.00.0.0.255[FWA-acl-adv-3000]rulepermitipsource10.0.0.00.255.255.255destination10.0.2.00.0.0.255[FWA-acl-adv-3001]quit3)配置trust与untrust域间包过滤规则[FWA]firewallpacket-filterdefaultpermitinterzonetrustuntrust4)配置untrust与local域间包过滤规则[FWA]firewallpacket-filterdefaultpermitinterzone

6、localuntrustTrust和untrust的域间规则可以配置默认放开,也可以配置用ACL来放开.配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。5)配置IPSec安全提议#创建名为tran1的IPSec提议。[FWA]ipsecproposaltran1#配置安全协议。[FWA-ipsec-proposal-tran1]transformespEsp为默认安全协议,可以不配置#配置报文封装类型。[FWA-ipsec-proposal-tran1]encapsulation-mod

7、etunnelTunnel为默认封装类型,可以不配置#配置ESP协议的认证算法。[FWA-ipsec-proposal-tran1]espauthentication-algorithmmd5md5为默认ESP协议的认证算法,可以不配置#配置ESP协议的加密算法。[FWA-ipsec-proposal-tran1]espencryption-algorithmdesdes为默认ESP协议的加密算法,可以不配置#退回系统视图[FWA-ipsec-proposal-tran1]quit6)配置IKE提议。[FWA]ikeproposal10#配置使

8、用pre-shared-key验证方法。[FWA-ike-proposal-10]authentication-methodpre-sharepre-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。