ipsec在企业网中的应用（IKE野蛮模式）(转)

from：http://lulu1101.blog.51cto.com/4455468/817954

ipsec在企业网中的应用（IKE野蛮模式）

 

案例：

本实验采用华为三台F100防火墙，和一台s3526交换机，实现ipsec野蛮模式下的vpn通道的建立。Fw1是总部，实现fw1可以与fw2的内部网络互访，fw1和fw3的内部网络互访。fw2和fw3通过DHCP服务器动态获取地址。

 

拓扑图：

配置： 

fw1 的配置：

 

配置ip和默认路由：

# firewall zone trust

# add interface Ethernet 0/4

# quit

# firewall zone untrust

# add interface Ethernet 0/1

# quit

 

# int e0/4

# ip add 192.168.1.1 24

# int e0/1

# ip add 192.168.10.200 24

# quit

# ip route-static 0.0.0.0 0.0.0.0 192.168.10.1

配置两个访问控制列表：

# acl number 3000

# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

# rule deny ip source any destination any

# quit

# acl number 3001

# rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

# rule deny ip source any destination any

# quit

配置安全提议：

# ipsec proposal tran1  //创建名为tran1的安全协议

# encapsulation-mode tunnel  //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法：

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

 

# ipsec proposal tran2   //创建名为tran2的安全协议

# encapsulation-mode tunnel   //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法：

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

 

# ike local-name fw1  //配置IKE协商时的本地ID

 

创建IKE Peer并进入IKE Peer视图：

# ike peer peer1

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple 1234  //配置预共享密钥

# local-address 192.168.10.200  //配置本机地址

# id-type name   //配置对端ID类型

# remote-name fw2  //配置对端名称

# quit

创建IKE Peer：

# ike peer peer2  //创建IKE Peer

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple abcd  //配置预共享密钥

# local-address 192.168.10.200  //配置本机地址

# id-type name    //配置对端ID类型

# remote-name fw3   //配置对端名称

# quit

 

创建一条安全策略，协商方式为动态方式

# ipsec poli policy 10 isakmp

# proposal tran1   //引用安全提议

# security acl 3000   //引用访问列表

# ike-peer peer1 

# quit

 

 

创建安全策略，协商方式为动态方式

# ipsec poli policy 20 isakmp

# proposal tran2   //引用安全提议

# security acl 3001   //引用访问列表

# ike-peer peer1

# quit

 

 

在接口上应用安全策略组:

# int e0/1

# ipsec policy policy

  

###################################

fw2 的配置：

 

配置ip和默认路由：

# firewall zone trust

# add interface Ethernet 0/4

# quit

# firewall zone untrust

# add interface Ethernet 0/1

# quit

 

# int e0/4

# ip add 192.168.2.1 24

# int e0/1

# ip address dhcp-alloc  //配置dhcp动态获取地址

# quit

# ip route-static 0.0.0.0 0.0.0.0 192.168.20.1

配置两个访问控制列表：

# acl number 3000

# rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

# rule deny ip source any destination any

# quit

 

配置安全提议：

# ipsec proposal tran1  //创建名为tran1的安全协议

# encapsulation-mode tunnel  //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法：

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

 

# ike local-name fw2  //配置IKE协商时的本地ID

 

创建IKE Peer并进入IKE Peer视图：

# ike peer peer1

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple 1234  //配置预共享密钥

# id-type name   //配置对端ID类型

# remote-name fw1  //配置对端名称

# remote-address 192.168.10.200  //配置对端地址

# quit

 

创建一条安全策略，协商方式为动态方式

# ipsec poli policy 10 isakmp

# proposal tran1   //引用安全提议

# security acl 3000   //引用访问列表

# ike-peer peer1 

# quit

 

在接口上应用安全策略组:

# int e0/1

# ipsec policy policy

 

#################################

fw3 的配置：

 

 

配置ip和默认路由：

# firewall zone trust

# add interface Ethernet 0/4

# quit

# firewall zone untrust

# add interface Ethernet 0/1

# quit

 

# int e0/4

# ip add 192.168.3.1 24

# int e0/1

# ip address dhcp-alloc  //配置dhcp动态获取地址

# quit

# ip route-static 0.0.0.0 0.0.0.0 192.168.30.1

配置两个访问控制列表：

# acl number 3000

# rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

# rule deny ip source any destination any

# quit

 

配置安全提议：

# ipsec proposal tran2  //创建名为tran1的安全协议

# encapsulation-mode tunnel  //报文封装形式采用隧道模式

# transform esp-new  //安全协议采用esp协议

选择加密算法和认证算法：

# esp-new encryption-algorithm des

# esp-new authentication-algorithm md5

# quit

 

# ike local-name fw3  //配置IKE协商时的本地ID

 

创建IKE Peer并进入IKE Peer视图：

# ike peer peer2

# exchange-mode aggressive  //配置IKE协商方式为野蛮模式

# pre-shard-key simple abcd  //配置预共享密钥

# id-type name   //配置对端ID类型

# remote-address 192.168.10.200  //配置对端地址

# remote-name fw1 //配置对端名称

# quit

 

创建一条安全策略，协商方式为动态方式

# ipsec poli policy 20 isakmp

# proposal tran2   //引用安全提议

# security acl 3001   //引用访问列表

# ike-peer peer2 

# quit

 

在接口上应用安全策略组:

# int e0/1

# ipsec policy policy

########################

Switch12 的配置：

 

划分三个vlan，并加入接口：

# vlan 10 

# port e1/0/1

# vlan 20

# port e1/0/5

# vlan 30

# port e1/0/3

 

分别为vlan 10、20、30配置地址：

# interface vlan-interface 10

# ip add 192.168.10.1 255.255.255.0

 

# interface vlan-interface 20

# ip add 192.168.20.1 255.255.255.0

 

# interface vlan-interface 30

# ip add 192.168.30.1 255.255.255.0

 

配置dhcp服务：

# dhcp server ip-pool fw2

# network 192.168.20.0 mask 255.255.255.0

# quit

# dhcp server ip-pool fw3

# network 192.168.30.0 mask 255.255.255.0

# quit

 

# dhcp server enable

 

测试：

查看fw2  fw3的e/1端口获得地址信息以及dhcp服务器分配出的地址信息：

1.0网段的pc分别访问2.0和3.0网段的pc：

2.0访问1.0：

3.0访问1.0：

此时可以查看它们之间建立的安全联盟信息：

fw1：

fw2：

fw3：