举例:总部与分支机构之间建立IPSec VPN(IKE安全策略模板)

[复制链接]
发表于 : 2015-3-17 10:22:15 最新回复:2019-12-06 18:46:08
6109 2
小小李
小小李  新锐

举例:总部与分支机构之间建立IPSec VPNIKE安全策略模板)

 

在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSec隧道,各个分支机构之间的通信由总部节点转发和控制。本配置任务中,实现分支机构IP地址不固定的情况,总部通过IKE安全策略模板方式,分支机构通过IKE安全策略方式建立IPSec隧道。总部只能被动接受各分支发起访问。

组网需求

图1所示,某企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。组网如下:

  • 分支机构1和分支机构2分别通过USG_B和USG_C与Internet相连。
  • USG_A和USG_B、USG_A和USG_C路由可达。
  • 总部USG_A的公网IP地址固定,USG_B、USG_C的公网地址经常变动。

要求实现如下需求:

分支机构PC2、PC3能与总部PC1之间进行安全通信。USG_B、USG_C不直接建立任何IPSec连接。

图1 总部与分支机构之间建立IPSec VPN(IKE安全策略模板)组网图
http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/cfg_vpn/images/sec_vsp_cfg_ipsec_0034_fig01.png

项目

USG_A

USG_B

USG_C

外网接口

(2)

接口号:GigabitEthernet 0/0/1

IP地址:202.38.163.1/24

(3)

接口号:GigabitEthernet 0/0/1

IP地址:202.38.169.1/24

(5)

接口号:GigabitEthernet 0/0/1

IP地址:202.38.170.1/24

内网接口

(1)

接口号:GigabitEthernet 0/0/2

IP地址:10.1.1.1/24

(4)

接口号:GigabitEthernet 0/0/2

IP地址:10.1.2.1/24

(6)

接口号:GigabitEthernet 0/0/2

IP地址:10.1.3.1/24

IPSec策略建立方式

策略模板

安全策略

安全策略

IPSec安全提议

封装模式

隧道模式

隧道模式

隧道模式

安全协议

ESP

ESP

ESP

ESP协议验证算法

SHA1

SHA1

SHA1

ESP协议加密算法

AES

AES

AES

IKE安全提议

验证方法

预共享密钥

预共享密钥

预共享密钥

认证算法

SHA1

SHA1

SHA1

IKE对等体

协商模式

主模式

主模式

主模式

预共享密钥

abcde

abcde

abcde

身份类型

IP

IP

IP

对端IP地址

不指定

202.38.163.1

202.38.163.1

版本

V1 and V2

V1 and V2

V1 and V2

配置思路

对于USG_A、USG_B和USG_C,配置思路相同。配置步骤和配置思路如下:

  1. 基本配置,包括配置接口IP地址,将接口加入相应的安全区域。
  2. 配置域间包过滤。
  3. 配置公网路由,一般情况下,防火墙上配置静态路由。
  4. 通过配置ACL规则组来定义需要保护的数据流。
  5. 配置IPSec安全提议。
  6. 配置IKE安全提议。
  7. 配置IKE Peer。
  8. 配置IPSec安全策略和安全策略模板(USG_A上配置模板方式的安全策略,USG_B、USG_C配置IKE安全策略直接创建的IPSec安全策略)。
  9. 应用IPSec安全策略。

操作步骤

  • 配置USG_A。
    1. 基础配置。
      1. 配置接口IP地址。

b.  <USG_A> system-view

c.  [USG_A] interface GigabitEthernet 0/0/1

d.  [USG_A-GigabitEthernet0/0/1] ip address 10.1.1.1 24

[USG_A-GigabitEthernet0/0/1] quit

[USG_A] interface GigabitEthernet 0/0/2

[USG_A-GigabitEthernet0/0/2] ip address 202.38.163.1 24

[USG_A-GigabitEthernet0/0/2] quit

      1. 配置接口加入相应的安全区域。

f.  [USG_A] firewall zone trust

g.  [USG_A-zone-trust] add interface GigabitEthernet 0/0/1

[USG_A-zone-trust] quit

[USG_A] firewall zone untrust

[USG_A-zone-untrust] add interface GigabitEthernet 0/0/2

[USG_A-zone-untrust] quit

      1. 配置域间包过滤规则。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

既可以打开Trust域和Untrust域的域间包过滤规则,也可以配置域间策略。

配置Local域和Untrust域的域间包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够进行隧道协商。

配置Trust域与Untrust域的域间包过滤规则。

[USG_A] policy interzone trust untrust inbound

[USG_A-policy-interzone-trust-untrust-inbound] policy 1

[USG_A-policy-interzone-trust-untrust-inbound-1] policy source 10.1.2.0 0.0.0.255

[USG_A-policy-interzone-trust-untrust-inbound-1] policy source 10.1.3.0 0.0.0.255

[USG_A-policy-interzone-trust-untrust-inbound-1] policy destination 10.1.1.0 0.0.0.255

[USG_A-policy-interzone-trust-untrust-inbound-1] action permit

[USG_A-policy-interzone-trust-untrust-inbound-1] quit

[USG_A-policy-interzone-trust-untrust-inbound] quit

[USG_A] policy interzone trust untrust outbound

[USG_A-policy-interzone-trust-untrust-outbound] policy 1

[USG_A-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.0.255

[USG_A-policy-interzone-trust-untrust-outbound-1] policy destination 10.1.2.0 0.0.0.255

[USG_A-policy-interzone-trust-untrust-outbound-1] policy destination 10.1.3.0 0.0.0.255

[USG_A-policy-interzone-trust-untrust-outbound-1] action permit

[USG_A-policy-interzone-trust-untrust-outbound-1] quit

[USG_A-policy-interzone-trust-untrust-outbound] quit

配置Untrust域与Local域的域间包过滤规则。

[USG_A] policy interzone local untrust inbound

[USG_A-policy-interzone-local-untrust-inbound] policy 1

[USG_A-policy-interzone-local-untrust-inbound-1] policy destination 202.38.163.0 0.0.0.255

[USG_A-policy-interzone-local-untrust-inbound-1] action permit

[USG_A-policy-interzone-local-untrust-inbound-1] quit

[USG_A-policy-interzone-local-untrust-inbound] quit

[USG_A] policy interzone local untrust outbound

[USG_A-policy-interzone-local-untrust-outbound] policy 1

[USG_A-policy-interzone-local-untrust-outbound-1] policy source 202.38.163.0 0.0.0.255

[USG_A-policy-interzone-local-untrust-outbound-1] action permit

[USG_A-policy-interzone-local-untrust-outbound-1] quit

[USG_A-policy-interzone-local-untrust-outbound] quit

    1. 配置到达分支机构的静态路由,此处假设下一跳地址为202.38.163.2。

3.  [USG_A] ip route-static 10.1.2.0 255.255.255.0 202.38.163.2

[USG_A] ip route-static 10.1.3.0 255.255.255.0 202.38.163.2

    1. 定义被保护的数据流。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

ACL3000定义到所有分支机构USG B、USG C网段的数据流,为了使分支之间不能互通,Source定义为包括总部的精确网段,Destination定义为各个分支的精确网段。

[USG_A] acl 3000

[USG_A-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.255.255 destination 10.1.2.0 0.0.0.255

[USG_A-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.255.255 destination 10.1.3.0 0.0.0.255

[USG_A-acl-adv-3000] quit

    1. 配置名称为tran1的IPSec安全提议。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

其中,ESP为默认的安全协议,Tunnel为默认的封装模式,可以不配置。SHA1为ESP默认的认证算法,AES为ESP默认的加密算法,可以不配置。

[USG_A] ipsec proposal tran1

[USG_A-ipsec-proposal-tran1] encapsulation-mode tunnel

[USG_A-ipsec-proposal-tran1] transform esp

[USG_A-ipsec-proposal-tran1] esp authentication-algorithm sha1

[USG_A-ipsec-proposal-tran1] esp encryption-algorithm aes

[USG_A-ipsec-proposal-tran1] quit

    1. 配置序号为10的IKE安全提议。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

pre-share验证方法为IKE默认的验证方法,SHA1为默认验证算法,可以不配置。

[USG_A] ike proposal 10

[USG_A-ike-proposal-10] authentication-method pre-share

[USG_A-ike-proposal-10] authentication-algorithm sha1

[USG_A-ike-proposal-10] quit

    1. 配置名称为b的IKE Peer。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

USG同时开启IKEv1和IKEv2,缺省情况下采用IKEv2进行协商,若对端不支持IKEv2,请禁用IKEv2,采用IKEv1进行协商。请在IKE Peer视图下执行命令undo version 2进行配置。

验证字的配置需要与对端设备相同。

[USG_A] ike peer b

[USG_A-ike-peer-b] ike-proposal 10

[USG_A-ike-peer-b] pre-shared-key abcde

[USG_A-ike-peer-b] quit

    1. 配置名称为map_temp序号为1的IPSec安全策略模板。

9.  [USG_A] ipsec policy-template map_temp 1

10.[USG_A-ipsec-policy-template-map_temp-1] security acl 3000

11.[USG_A-ipsec-policy-template-map_temp-1] proposal tran1

12.[USG_A-ipsec-policy-template-map_temp-1] ike-peer b

13.[USG_A-ipsec-policy-template-map_temp-1] quit

    1. 在IPSec安全策略map1中引用安全策略模板map_temp。

[USG_A] ipsec policy map1 10 isakmp template map_temp

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

安全策略模板的名称不能与安全策略的名称相同。

    1. 在接口GigabitEthernet 0/0/2上应用安全策略map1。

16.[USG_A] interface GigabitEthernet 0/0/2

17.[USG_A-GigabitEthernet0/0/2] ipsec policy map1

[USG_A-GigabitEthernet0/0/2] quit

  • 配置USG_B。
    1. 基础配置。

请根据图1的数据配置接口IP地址。

将接口GigabitEthernet 0/0/1加入Trust区域,接口GigabitEthernet 0/0/2加入Untrust区域,并配置域间包过滤规则。

详细步骤可参见USG_A的配置。

    1. 配置到达总部和其他私网的静态路由,此处假设下一跳地址为202.38.169.2。

[USG_B] ip route-static 0.0.0.0 0.0.0.0 202.38.169.2

    1. 定义被保护的数据流。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

为了实现和总部之间进行IPSec通信,而不与分支机构2之间通信,Source定义为分支机构1的精确网段,Destination定义为总部的精确网段。

[USG_B] acl 3000

[USG_B-acl-adv-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.255.255

[USG_B-acl-adv-3000] quit

    1. 配置名称为tran1的IPSec安全提议。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

其中,ESP为默认的安全协议,Tunnel为默认的封装模式,可以不配置。SHA1为ESP默认的认证算法,AES为ESP默认的加密算法,可以不配置。

[USG_B] ipsec proposal tran1

[USG_B-ipsec-proposal-tran1] encapsulation-mode tunnel

[USG_B-ipsec-proposal-tran1] transform esp

[USG_B-ipsec-proposal-tran1] esp authentication-algorithm sha1

[USG_B-ipsec-proposal-tran1] esp encryption-algorithm aes

[USG_B-ipsec-proposal-tran1] quit

    1. 配置序号为10的IKE安全提议。

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

pre-share验证方法为IKE默认的验证方法,SHA1为默认认证算法,可以不配置。

[USG_B] ike proposal 10

[USG_B-ike-proposal-10] authentication-method pre-share

[USG_B-ike-proposal-10] authentication-algorithm sha1

[USG_B-ike-proposal-10] quit

    1. 配置IKE Peer。

7.  [USG_B] ike peer a

8.  [USG_B-ike-peer-a] ike-proposal 10

9.  [USG_B-ike-peer-a] remote-address 202.38.163.1

10.[USG_B-ike-peer-a] pre-shared-key abcde

[USG_B-ike-peer-a] quit

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

USG同时开启IKEv1和IKEv2,缺省情况下采用IKEv2进行协商,若对端不支持IKEv2,请禁用IKEv2,采用IKEv1进行协商。

验证字的配置需要与对端设备相同。

    1. 配置名称为map1序号为10的IPSec安全策略。

12.[USG_B] ipsec policy map1 10 isakmp

13.[USG_B-ipsec-policy-isakmp-map1-10] security acl 3000

14.[USG_B-ipsec-policy-isakmp-map1-10] proposal tran1

15.[USG_B-ipsec-policy-isakmp-map1-10] ike-peer a

[USG_B-ipsec-policy-isakmp-map1-10] quit

    1. 在GigabitEthernet 0/0/2接口上应用安全策略map1。

17.[USG_B] interface GigabitEthernet 0/0/2

18.[USG_B-GigabitEthernet0/0/2] ipsec policy map1

[USG_B-GigabitEthernet0/0/2] quit

  • 配置USG_C。

USG_C的配置请参考USG_B的配置。需要注意的是,在保护的数据流中,源地址与USG_B不同,应为10.1.3.0/24网段。配置如下:

[USG_C] acl 3000

[USG_C-acl-adv-3000] rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.255.255

[USG_C-acl-adv-3000] quit

http://support.huawei.com/ehedex/pages/DOC1000054702SZD0528J/13/DOC1000054702SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

为了实现和总部之间进行IPSec通信,而不与分支机构1之间通信,Source定义为分支机构2的精确网段,Destination定义为总部的精确网段。

结果验证

  1. 配置成功后,分支机构1和分支机构2上执行ping操作仍然可以ping通企业总部,分别在USG_A、USG_B和USG_C上执行display ike sadisplay ipsec sa会显示安全联盟的建立情况。以USG_B为例,出现以下显示说明IKE安全联盟、IPSec安全联盟建立成功。

2.  <USG_B> display ike sa

3.  current ike sa number: 2

4.    ---------------------------------------------------------------------

5.       conn-id     peer                     flag        phase     vpn

6.    ---------------------------------------------------------------------

7.       101         202.38.163.1             RD          v2:2      public

8.       100         202.38.163.1             RD          v2:1      public

9. 

10.  flag meaning

11.  RD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADING

12.  TO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD

13.<USG_B> display ipsec sa

14.

15.  -----------------------------

16.  IPsec policy name: "map1"

17.  sequence number: 10

18.  mode: isakmp

19.  vpn: public

20.  -----------------------------

21.    connection id: 4

22.    rule number: 0

23.    encapsulation mode: tunnel

24.    tunnel local : 202.38.169.1    tunnel remote: 202.38.163.1

25.    flow      source: 10.1.2.0-10.1.2.255 0-65535 0

26.    flow destination: 10.1.1.0-10.1.1.255 0-65535 0

27.

28.    [inbound ESP SAs]

29.      spi: 7519344 (0x72bc70)

30.      vpn: public      said: 8  cpuid: 0x0000

31.      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1

32.      sa remaining key duration (bytes/sec): 1887436044/3572

33.      max received sequence-number: 9

34.      udp encapsulation used for nat traversal: N

35.

36.    [outbound ESP SAs]

37.      spi: 5365969 (0x51e0d1)

38.      vpn: public      said: 9  cpuid: 0x0000

39.      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1

40.      sa remaining key duration (bytes/sec): 1887435576/3572

41.      max sent sequence-number: 10

42.      udp encapsulation used for nat traversal: N

  1. 执行命令display ipsec statistics可以查看被加密的数据包的变化,即它们之间的数据传输将被加密。以USG_B为例。

44.<USG_B>display ipsec statistics    

45.  the security packet statistics:                                              

46.    input/output security packets: 4/4                                         

47.    input/output security bytes: 400/400                                        

48.    input/output dropped security packets: 0/0                                 

49.    the encrypt packet statistics                                              

50.      send sae:0, recv sae:0, send err:0                                       

51.      local cpu:0, other cpu:0, recv other cpu:0                               

52.      intact packet:0, first slice:0, after slice:0                            

53.    the decrypt packet statistics                                               

54.      send sae:0, recv sae:0, send err:0                                       

55.      local cpu:0, other cpu:0, recv other cpu:0                               

56.      reass  first slice:0, after slice:0, len err:0                            

57.    dropped security packet detail:                                            

58.      no enough memory: 0, too long: 0                                         

59.      can't find SA: 0, wrong SA: 0                                             

60.      authentication: 0, replay: 0                                             

61.      front recheck: 0, after recheck: 0                                       

62.      exceed byte limit: 0, exceed packet limit: 0                             

63.      change cpu enc: 0, dec change cpu: 0                                     

64.      change datachan: 0, fib search: 0                                        

65.      rcv enc(dec) form sae said err: 0, 0                                     

66.      send port: 0, output l3: 0, l2tp input: 0                                

67.  negotiate about packet statistics:                                           

68.    IP packet  ok:0, err:0, drop:0                                             

69.    IP rcv other cpu   to ike:0, drop:0                                         

70.    IKE packet inbound   ok:0, err:0                                           

71.    IKE packet outbound  ok:0, err:0                                           

72.    SoftExpr:0, HardExpr:0, DPDOper:0, SwapSa:0                                

    ModpCnt: 0, SaeSucc: 0, SoftwareSucc: 0 

配置脚本

  • # USG_A的配置脚本

·         #

·         acl number 3000                

·          rule 5 permit ip source 10.1.1.0 0.0.255.255 destination 10.1.2.0 0.0.0.255

·          rule 10 permit ip source 10.1.1.0 0.0.255.255 destination 10.1.3.0 0.0.0.255

·         #                              

·         ike proposal 10                

·          encryption-algorithm aes-cbc

·          dh group2

·         #  

·         ike peer b 

·          pre-shared-key %$%$U\zWG^*_4zY'uAgs\e:j'{r%$%$

·          ike-proposal 10 

·         #                               

·         ipsec proposal tran1           

·          esp authentication-algorithm sha1

·          esp encryption-algorithm aes

·         #                              

·         ipsec policy-template map_temp 1

·          security acl 3000             

·          ike-peer b                    

·          proposal tran1

·         #       

·          ipsec policy map1 10 isakmp template map_temp

·         #                              

·         interface GigabitEthernet0/0/1        

·          ip address 10.1.1.1 255.255.255.0             

·         #                  

·         interface GigabitEthernet0/0/2               

·          ip address 202.38.163.1 255.255.255.0       

·          ipsec policy map1                 

·         #                 

·         firewall zone trust               

·          set priority 85           

·          add interface GigabitEthernet0/0/1  

·         #             

·         firewall zone untrust            

·          set priority 5          

·          add interface GigabitEthernet0/0/2     

·         #                              

·          ip route-static 10.1.2.0 255.255.255.0 202.38.163.2         

·          ip route-static 10.1.3.0 255.255.255.0 202.38.163.2         

·         #                                                   

·         policy interzone local untrust inbound             

·          policy 1                                          

·           action permit

·           policy destination 202.38.163.0 0.0.0.255          

·         #                                                   

·         policy interzone local untrust outbound            

·          policy 1                                          

·           action permit

·           policy source 202.38.163.0 0.0.0.255

·         #                                                  

·         policy interzone trust untrust inbound             

·          policy 1                                          

·           action permit

·           policy source 10.1.2.0 0.0.0.255

·           policy source 10.1.3.0 0.0.0.255

·           policy destination 10.1.1.0 0.0.0.255

·         #                                                  

·         policy interzone trust untrust outbound            

·          policy 1                                        

·           action permit

·           policy source 10.1.1.0 0.0.0.0.255

·           policy destination 10.1.2.0 0.0.0.255

·           policy destination 10.1.3.0 0.0.0.255

  • USG_B的配置脚本

·         #

·         acl number 3000 

·          rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.255.255

·        

·         ike proposal 10

·          encryption-algorithm aes-cbc

·          dh group2

·         #  

·         ike peer a 

·          pre-shared-key %$%$U\zWG^*_4zY'uAgs\e:j'{r%$%$

·          ike-proposal 10 

·          remote-address 202.38.163.1

·         #

·         ipsec proposal tran1

·          esp authentication-algorithm sha1

·          esp encryption-algorithm aes

·         #

·         ipsec policy map1 10 isakmp

·          security acl 3000

·          ike-peer a

·          proposal tran1 

·         #

·         interface GigabitEthernet0/0/1        

·          ip address 10.1.2.1 255.255.255.0             

·         #                  

·         interface GigabitEthernet0/0/2              

·          ip address 202.38.169.1 255.255.255.0       

·          ipsec policy map1                 

·         #                 

·         firewall zone trust               

·          set priority 85           

·          add interface GigabitEthernet0/0/1  

·         #             

·         firewall zone untrust           

·          set priority 5          

·          add interface GigabitEthernet0/0/2     

·         #                              

·          ip route-static 0.0.0.0 0.0.0.0 202.38.169.2

·         #                                                   

·         policy interzone local untrust inbound             

·          policy 1                                          

·           action permit

·           policy source 202.38.163.0 0.0.0.255          

·         #                                                   

·         policy interzone local untrust outbound            

·          policy 1                                          

·           action permit

·           policy destination 202.38.163.0 0.0.0.255

·         #                                                  

·         policy interzone trust untrust inbound             

·          policy 1                                          

·           action permit

·           policy source 10.1.1.0 0.0.0.255

·           policy destination 10.1.2.0 0.0.0.255

·         #                                                  

·         policy interzone trust untrust outbound            

·          policy 1                                        

·           action permit

·           policy source 10.1.2.0 0.0.0.255

·           policy destination 10.1.1.0 0.0.0.0.255

  • # USG_C的配置脚本

·         #

·         acl number 3000 

·          rule 5 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.255.255

·        

·         ike proposal 10

·          encryption-algorithm aes-cbc

·          dh group2

·         #  

·         ike peer a 

·          pre-shared-key %$%$U\zWG^*_4zY'uAgs\e:j'{r%$%$

·          ike-proposal 10 

·          remote-address 202.38.163.1

·         #

·         ipsec proposal tran1

·          esp authentication-algorithm sha1

·          esp encryption-algorithm aes

·         #

·         ipsec policy map1 10 isakmp

·          security acl 3000

·          ike-peer a

·          proposal tran1 

·         #

·         interface GigabitEthernet0/0/1        

·          ip address 10.1.3.1 255.255.255.0              

·         #                  

·         interface GigabitEthernet0/0/2              

·          ip address 202.38.170.1 255.255.255.0       

·          ipsec policy map1                 

·         #                 

·         firewall zone trust               

·          set priority 85           

·          add interface GigabitEthernet0/0/1  

·         #             

·         firewall zone untrust           

·          set priority 5          

·          add interface GigabitEthernet0/0/2     

·         #                              

·          ip route-static 0.0.0.0 0.0.0.0 202.38.170.2

·         #                                                   

·         policy interzone local untrust inbound             

·          policy 1                                          

·           action permit

·           policy source 202.38.163.0 0.0.0.255

·         #                                                  

·         policy interzone local untrust outbound            

·          policy 1                                          

·           action permit

·           policy destination 202.38.163.0 0.0.0.255          

·         #                                                  

·         policy interzone trust untrust inbound              

·          policy 1                                          

·           action permit

·           policy source 10.1.1.0 0.0.0.255

·           policy destination 10.1.3.0 0.0.0.255

·         #                                                  

·         policy interzone trust untrust outbound            

·          policy 1                                        

·           action permit

·           policy source 10.1.3.0 0.0.0.255

·           policy destination 10.1.1.0 0.0.0.0.255

父主题: 配置举例-局域网通过VPN互通

  • x
  • 常规:

点评 回复

跳转到指定楼层
z84012414
z84012414  新锐 发表于 2015-3-17 11:38:13 已赞(0) 赞(0)

感谢分享,辛苦了。
  • x
  • 常规:

点评 回复

ATOX
ATOX   发表于 2019-12-6 18:46:08 已赞(0) 赞(0)

中间那个路由器为啥配了ospf还不通啊
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录