试验拓扑图:
两端地址static ip -----static ip
1.自动建立ipsec
1.自动建立ipsec
[fw-1]firewall zone untrust
[fw-1-zone-untrust]add interface Ethernet 0/3
[fw-1]firewall zone trust
[fw-1-zone-untrust]add interface Ethernet 0/2
[fw-1-zone-untrust]add interface Ethernet 0/3
[fw-1]firewall zone trust
[fw-1-zone-untrust]add interface Ethernet 0/2
[fw-1]int Ethernet0/3
[fw-1-Ethernet0/4]ip add 4.4.4.1 24
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/4]ip add 192.168.1.1 24
[fw-1-Ethernet0/4]loopback
[fw-1]ip route 0.0.0.0 0 4.4.4.1
[fw-1]acl number 3000
[fw-1-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[fw-1-acl-adv-3000]rule 20 deny ip source any destination any
[fw-1]ipsec proposal prop
[fw-1-ipsec-proposal-prop]encapsulation-mode tunnel
[fw-1-ipsec-proposal-prop]transform esp
[fw-1-ipsec-proposal-prop]esp authentication-algorithm md5
[fw-1-ipsec-proposal-prop]esp encryption-algorithm des
[fw-1-ipsec-proposal-prop]quit
[fw-1]ipsec policy policy 10 isakmp
[fw-1-ipsec-policy-isakmp-policy-10]security acl 3000
[fw-1-ipsec-policy-isakmp-policy-10]proposal prop
[fw-3-ipsec-policy-isakmp-policy-10]ike-peer peer
[fw-1-ipsec-policy-isakmp-policy-10]quit
[fw-1]ike peer peer
[fw-1-ike-peer-peer]local-address 3.3.3.3
[fw-1-ike-peer-peer]remote-address 4.4.4.4
[fw-1-ike-peer-peer]pre-shared-key simple 123456
[fw-1]int Ethernet0/3
[fw-1-Ethernet0/3]ipsec policy policy
[fw-1-Ethernet0/4]ip add 4.4.4.1 24
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/4]ip add 192.168.1.1 24
[fw-1-Ethernet0/4]loopback
[fw-1]ip route 0.0.0.0 0 4.4.4.1
[fw-1]acl number 3000
[fw-1-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[fw-1-acl-adv-3000]rule 20 deny ip source any destination any
[fw-1]ipsec proposal prop
[fw-1-ipsec-proposal-prop]encapsulation-mode tunnel
[fw-1-ipsec-proposal-prop]transform esp
[fw-1-ipsec-proposal-prop]esp authentication-algorithm md5
[fw-1-ipsec-proposal-prop]esp encryption-algorithm des
[fw-1-ipsec-proposal-prop]quit
[fw-1]ipsec policy policy 10 isakmp
[fw-1-ipsec-policy-isakmp-policy-10]security acl 3000
[fw-1-ipsec-policy-isakmp-policy-10]proposal prop
[fw-3-ipsec-policy-isakmp-policy-10]ike-peer peer
[fw-1-ipsec-policy-isakmp-policy-10]quit
[fw-1]ike peer peer
[fw-1-ike-peer-peer]local-address 3.3.3.3
[fw-1-ike-peer-peer]remote-address 4.4.4.4
[fw-1-ike-peer-peer]pre-shared-key simple 123456
[fw-1]int Ethernet0/3
[fw-1-Ethernet0/3]ipsec policy policy
[fw-3]firewall zone untrust
[fw-3-zone-untrust]add interface Ethernet 0/3
[fw-3]int Ethernet0/3
[fw-3-Ethernet0/3]ip add 4.4.4.1 24
[fw-3]int Ethernet0/2
[fw-3-Ethernet0/3]ip add 192.168.2.1 24
[fw-3]ip route 0.0.0.0 0 4.4.4.1
[fw-3]acl number 3000
[fw-3-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[fw-3-acl-adv-3000]rule 20 deny ip source any destination any
[fw-3]ipsec proposal prop
[fw-3-ipsec-proposal-prop]encapsulation-mode tunnel
[fw-3-ipsec-proposal-prop]transform esp
[fw-3-ipsec-proposal-prop]esp authentication-algorithm md5
[fw-3-ipsec-proposal-prop]esp encryption-algorithm des
[fw-3-ipsec-proposal-prop]quit
[fw-3]ipsec policy policy 10 isakmp
[fw-3-ipsec-policy-isakmp-policy-10]security acl 3000
[fw-3-ipsec-policy-isakmp-policy-10]proposal prop
[fw-3-ipsec-policy-isakmp-policy-10]ike-peer peer
[fw-3-ipsec-policy-isakmp-policy-10]quit
[fw-3]ike peer peer
[fw-3-ike-peer-peer]local-address 4.4.4.4
[fw-3-ike-peer-peer]remote-address 3.3.3.3
[fw-3-ike-peer-peer]pre-shared-key simple 123456
[fw-3]int Ethernet0/3
[fw-3-Ethernet0/3]ipsec policy policy
[fw-3-zone-untrust]add interface Ethernet 0/3
[fw-3]int Ethernet0/3
[fw-3-Ethernet0/3]ip add 4.4.4.1 24
[fw-3]int Ethernet0/2
[fw-3-Ethernet0/3]ip add 192.168.2.1 24
[fw-3]ip route 0.0.0.0 0 4.4.4.1
[fw-3]acl number 3000
[fw-3-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[fw-3-acl-adv-3000]rule 20 deny ip source any destination any
[fw-3]ipsec proposal prop
[fw-3-ipsec-proposal-prop]encapsulation-mode tunnel
[fw-3-ipsec-proposal-prop]transform esp
[fw-3-ipsec-proposal-prop]esp authentication-algorithm md5
[fw-3-ipsec-proposal-prop]esp encryption-algorithm des
[fw-3-ipsec-proposal-prop]quit
[fw-3]ipsec policy policy 10 isakmp
[fw-3-ipsec-policy-isakmp-policy-10]security acl 3000
[fw-3-ipsec-policy-isakmp-policy-10]proposal prop
[fw-3-ipsec-policy-isakmp-policy-10]ike-peer peer
[fw-3-ipsec-policy-isakmp-policy-10]quit
[fw-3]ike peer peer
[fw-3-ike-peer-peer]local-address 4.4.4.4
[fw-3-ike-peer-peer]remote-address 3.3.3.3
[fw-3-ike-peer-peer]pre-shared-key simple 123456
[fw-3]int Ethernet0/3
[fw-3-Ethernet0/3]ipsec policy policy
[R10]int e1
[R10-Ethernet1]ip add 4.4.4.1 24
[R10-Ethernet1]int e0
[R10-Ethernet0]ip add 3.3.3.1 24
两端地址static ip ---- dynamic ip
野蛮模式建立ipsec
(1) 配置fw1 静态一端
# 配置本端防火墙设备的名字。
[fw1] ike local-name fw1
# 配置acl。
[fw1] acl number 3000
[fw1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#配置默认路由到internet
[fw1]ip route 0.0.0.0 0 3.3.3.1
# 配置IKE对等体peer。
[fw1] ike peer peer //IKE网关名 peer
[fw1-ike-peer-peer] exchange-mode aggressive /野蛮模式
[fw1-ike-peer-peer] pre-shared-key 123456 //双方共享密钥
[FW1-ike-peer-peer] id-type name /name 设置名字作为ID
[FW1-ike-peer-peer] remote-name fw3 //指定对方名称
# 创建IPsec安全提议prop。
[FW1] ipsec proposal prop /配置IPSec安全提议
[FW1-ipsec-proposal-prop] encapsulation-mode tunnel /提议走隧道
[FW1-ipsec-proposal-prop] transform esp /transform 设置用于对报文进行转换的安全协议
[FW1-ipsec-proposal-prop] esp encryption-algorithm des /des加密算法
[FW1-ipsec-proposal-prop] esp authentication-algorithm sha1 /sha验证
# 创建安全策略policy并指定通过IKE协商建立安全联盟。
[FW1] ipsec policy policy 10 isakmp
# 配置安全策略policy引用ike对等体peer。
[FW1-ipsec-policy-isakmp-policy-10] ike-peer peer
# 配置安全策略policy引用访问控制列表3000。
[FW1-ipsec-policy-isakmp-policy-10] security acl 3000
# 配置安全策略policy引用IPsec安全提议prop。
[FW1-ipsec-policy-isakmp-policy-10] proposal prop
# 进入E0/3并配置IP地址。
[FW1] interface Ethernet0/3
[FW1-Ethernet0/3] ip address 3.3.3.3 255.255.255.0
# 配置E0/3引用安全策略组policy。
[FW1-Ethernet0/3] ipsec policy policy
(2) 配置SecPathB 动态一端
# 配置本端防火墙设备的名字。
[FW3] ike local-name fw3 /指定设置本端ID
# 配置acl。
[FW3] acl number 3000
[FW3-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 配置IKE对等体peer。
[FW3] ike peer peer
[FW3-ike-peer-peer] exchange-mode aggressive
[FW3-ike-peer-peer] pre-shared-key 123456
[FW3-ike-peer-peer] id-type name
[FW3-ike-peer-peer] remote-name fw1
[FW3-ike-peer-peer] remote-address 3.3.3.3
# 创建IPsec安全提议prop。
[FW3] ipsec proposal prop
[FW3-ipsec-proposal-prop] encapsulation-mode tunnel
[FW3-ipsec-proposal-prop] transform esp
[FW3-ipsec-proposal-prop] esp encryption-algorithm des
[FW3-ipsec-proposal-prop] esp authentication-algorithm sha1
# 创建安全策略policy并指定通过IKE协商建立安全联盟。
[FW3] ipsec policy policy 10 isakmp
# 配置安全策略policy引用ike对等体peer。
[FW3-ipsec-policy-isakmp-policy-10] ike-peer peer
# 配置安全策略policy引用访问控制列表3000。
[FW3-ipsec-policy-isakmp-policy-10] security acl 3000
# 配置安全策略policy引用IPsec安全提议prop。
[FW3-ipsec-policy-isakmp-policy-10] proposal prop
# 进入E0/3并配置接口动态协商IP地址。
# 配置Ethernet0/3引用安全策略组policy。
[FW3- Ethernet0/3] ipsec policy policy
我们这是模拟动态ip端口,不能从isp获得动态的拨号地址,只能手动修改此端口的ip地址。但是地址只能与路由器端的地址在一个ip网段。
[FW3- Ethernet0/3]ip add 4.4.4.4 24
野蛮模式建立ipsec
(1) 配置fw1 静态一端
# 配置本端防火墙设备的名字。
[fw1] ike local-name fw1
# 配置acl。
[fw1] acl number 3000
[fw1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#配置默认路由到internet
[fw1]ip route 0.0.0.0 0 3.3.3.1
# 配置IKE对等体peer。
[fw1] ike peer peer //IKE网关名 peer
[fw1-ike-peer-peer] exchange-mode aggressive /野蛮模式
[fw1-ike-peer-peer] pre-shared-key 123456 //双方共享密钥
[FW1-ike-peer-peer] id-type name /name 设置名字作为ID
[FW1-ike-peer-peer] remote-name fw3 //指定对方名称
# 创建IPsec安全提议prop。
[FW1] ipsec proposal prop /配置IPSec安全提议
[FW1-ipsec-proposal-prop] encapsulation-mode tunnel /提议走隧道
[FW1-ipsec-proposal-prop] transform esp /transform 设置用于对报文进行转换的安全协议
[FW1-ipsec-proposal-prop] esp encryption-algorithm des /des加密算法
[FW1-ipsec-proposal-prop] esp authentication-algorithm sha1 /sha验证
# 创建安全策略policy并指定通过IKE协商建立安全联盟。
[FW1] ipsec policy policy 10 isakmp
# 配置安全策略policy引用ike对等体peer。
[FW1-ipsec-policy-isakmp-policy-10] ike-peer peer
# 配置安全策略policy引用访问控制列表3000。
[FW1-ipsec-policy-isakmp-policy-10] security acl 3000
# 配置安全策略policy引用IPsec安全提议prop。
[FW1-ipsec-policy-isakmp-policy-10] proposal prop
# 进入E0/3并配置IP地址。
[FW1] interface Ethernet0/3
[FW1-Ethernet0/3] ip address 3.3.3.3 255.255.255.0
# 配置E0/3引用安全策略组policy。
[FW1-Ethernet0/3] ipsec policy policy
(2) 配置SecPathB 动态一端
# 配置本端防火墙设备的名字。
[FW3] ike local-name fw3 /指定设置本端ID
# 配置acl。
[FW3] acl number 3000
[FW3-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 配置IKE对等体peer。
[FW3] ike peer peer
[FW3-ike-peer-peer] exchange-mode aggressive
[FW3-ike-peer-peer] pre-shared-key 123456
[FW3-ike-peer-peer] id-type name
[FW3-ike-peer-peer] remote-name fw1
[FW3-ike-peer-peer] remote-address 3.3.3.3
# 创建IPsec安全提议prop。
[FW3] ipsec proposal prop
[FW3-ipsec-proposal-prop] encapsulation-mode tunnel
[FW3-ipsec-proposal-prop] transform esp
[FW3-ipsec-proposal-prop] esp encryption-algorithm des
[FW3-ipsec-proposal-prop] esp authentication-algorithm sha1
# 创建安全策略policy并指定通过IKE协商建立安全联盟。
[FW3] ipsec policy policy 10 isakmp
# 配置安全策略policy引用ike对等体peer。
[FW3-ipsec-policy-isakmp-policy-10] ike-peer peer
# 配置安全策略policy引用访问控制列表3000。
[FW3-ipsec-policy-isakmp-policy-10] security acl 3000
# 配置安全策略policy引用IPsec安全提议prop。
[FW3-ipsec-policy-isakmp-policy-10] proposal prop
# 进入E0/3并配置接口动态协商IP地址。
# 配置Ethernet0/3引用安全策略组policy。
[FW3- Ethernet0/3] ipsec policy policy
我们这是模拟动态ip端口,不能从isp获得动态的拨号地址,只能手动修改此端口的ip地址。但是地址只能与路由器端的地址在一个ip网段。
[FW3- Ethernet0/3]ip add 4.4.4.4 24
[R10]int e1
[R10-Ethernet1]ip add 4.4.4.1 24
[R10-Ethernet1]int e0
[R10-Ethernet0]ip add 3.3.3.1 24
[R10-Ethernet1]ip add 4.4.4.1 24
[R10-Ethernet1]int e0
[R10-Ethernet0]ip add 3.3.3.1 24
注意:
在FW3 SecPath F100-C这种低端防火墙上,只能动态的一端去访问静态一端才能建立连接..
在FW3 SecPath F100-C这种低端防火墙上,只能动态的一端去访问静态一端才能建立连接..
