? ?ipsec在企業(yè)網(wǎng)中的應(yīng)用（IKE野蠻模式）

案例： 本實(shí)驗(yàn)采用華為三臺(tái)F100防火墻，和一臺(tái)s3526交換機(jī)，實(shí)現(xiàn)ipsec野蠻模式下的***通道的建立。Fw1是總部，實(shí)現(xiàn)fw1可以與fw2的內(nèi)部網(wǎng)絡(luò)互訪，fw1和fw3的內(nèi)部網(wǎng)絡(luò)互訪。fw2和fw3通過(guò)DHCP服務(wù)器動(dòng)態(tài)獲取地址。 拓?fù)鋱D：

配置：? fw1 的配置： ? 配置ip和默認(rèn)路由： # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit ? # int e0/4 # ip add 192.168.1.1 24 # int e0/1 # ip add 192.168.10.200 24 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 配置兩個(gè)訪問(wèn)控制列表： # acl number 3000 # rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # rule deny ip source any destination any # quit # acl number 3001 # rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 # rule deny ip source any destination any # quit 配置安全提議： # ipsec proposal tran1 ?//創(chuàng)建名為tran1的安全協(xié)議 # encapsulation-mode tunnel ?//報(bào)文封裝形式采用隧道模式 # transform esp-new ?//安全協(xié)議采用esp協(xié)議 選擇加密算法和認(rèn)證算法： # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ipsec proposal tran2 ? //創(chuàng)建名為tran2的安全協(xié)議 # encapsulation-mode tunnel ? //報(bào)文封裝形式采用隧道模式 # transform esp-new ?//安全協(xié)議采用esp協(xié)議 選擇加密算法和認(rèn)證算法： # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ike local-name fw1 ?//配置IKE協(xié)商時(shí)的本地ID ? 創(chuàng)建IKE Peer并進(jìn)入IKE Peer視圖： # ike peer peer1 # exchange-mode aggressive ?//配置IKE協(xié)商方式為野蠻模式 # pre-shard-key simple 1234 ?//配置預(yù)共享密鑰 # local-address 192.168.10.200 ?//配置本機(jī)地址 # id-type name ? //配置對(duì)端ID類型 # remote-name fw2 ?//配置對(duì)端名稱 # quit 創(chuàng)建IKE Peer： # ike peer peer2 ?//創(chuàng)建IKE Peer # exchange-mode aggressive ?//配置IKE協(xié)商方式為野蠻模式 # pre-shard-key simple abcd ?//配置預(yù)共享密鑰 # local-address 192.168.10.200 ?//配置本機(jī)地址 # id-type name ? ?//配置對(duì)端ID類型 # remote-name fw3 ? //配置對(duì)端名稱 # quit ? 創(chuàng)建一條安全策略，協(xié)商方式為動(dòng)態(tài)方式 # ipsec poli policy 10 isakmp # proposal tran1 ? //引用安全提議 # security acl 3000 ? //引用訪問(wèn)列表 # ike-peer peer1? # quit ? ? 創(chuàng)建安全策略，協(xié)商方式為動(dòng)態(tài)方式 # ipsec poli policy 20 isakmp # proposal tran2 ? //引用安全提議 # security acl 3001 ? //引用訪問(wèn)列表 # ike-peer peer1 # quit ? ? 在接口上應(yīng)用安全策略組: # int e0/1 # ipsec policy policy ?? ################################### fw2 的配置： ? 配置ip和默認(rèn)路由： # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit ? # int e0/4 # ip add 192.168.2.1 24 # int e0/1 # ip address dhcp-alloc ?//配置dhcp動(dòng)態(tài)獲取地址 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 配置兩個(gè)訪問(wèn)控制列表： # acl number 3000 # rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # rule deny ip source any destination any # quit ? 配置安全提議： # ipsec proposal tran1 ?//創(chuàng)建名為tran1的安全協(xié)議 # encapsulation-mode tunnel ?//報(bào)文封裝形式采用隧道模式 # transform esp-new ?//安全協(xié)議采用esp協(xié)議 選擇加密算法和認(rèn)證算法： # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ike local-name fw2 ?//配置IKE協(xié)商時(shí)的本地ID ? 創(chuàng)建IKE Peer并進(jìn)入IKE Peer視圖： # ike peer peer1 # exchange-mode aggressive ?//配置IKE協(xié)商方式為野蠻模式 # pre-shard-key simple 1234 ?//配置預(yù)共享密鑰 # id-type name ? //配置對(duì)端ID類型 # remote-name fw1 ?//配置對(duì)端名稱 # remote-address 192.168.10.200 ?//配置對(duì)端地址 # quit ? 創(chuàng)建一條安全策略，協(xié)商方式為動(dòng)態(tài)方式 # ipsec poli policy 10 isakmp # proposal tran1 ? //引用安全提議 # security acl 3000 ? //引用訪問(wèn)列表 # ike-peer peer1? # quit ? 在接口上應(yīng)用安全策略組: # int e0/1 # ipsec policy policy ? ################################# fw3 的配置：

?

? 配置ip和默認(rèn)路由： # firewall zone trust # add interface Ethernet 0/4 # quit # firewall zone untrust # add interface Ethernet 0/1 # quit ? # int e0/4 # ip add 192.168.3.1 24 # int e0/1 # ip address dhcp-alloc ?//配置dhcp動(dòng)態(tài)獲取地址 # quit # ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 配置兩個(gè)訪問(wèn)控制列表： # acl number 3000 # rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # rule deny ip source any destination any # quit ? 配置安全提議： # ipsec proposal tran2 ?//創(chuàng)建名為tran1的安全協(xié)議 # encapsulation-mode tunnel ?//報(bào)文封裝形式采用隧道模式 # transform esp-new ?//安全協(xié)議采用esp協(xié)議 選擇加密算法和認(rèn)證算法： # esp-new encryption-algorithm des # esp-new authentication-algorithm md5 # quit ? # ike local-name fw3 ?//配置IKE協(xié)商時(shí)的本地ID ? 創(chuàng)建IKE Peer并進(jìn)入IKE Peer視圖： # ike peer peer2 # exchange-mode aggressive ?//配置IKE協(xié)商方式為野蠻模式 # pre-shard-key simple abcd ?//配置預(yù)共享密鑰 # id-type name ? //配置對(duì)端ID類型 # remote-address 192.168.10.200 ?//配置對(duì)端地址 # remote-name fw1 //配置對(duì)端名稱 # quit ? 創(chuàng)建一條安全策略，協(xié)商方式為動(dòng)態(tài)方式 # ipsec poli policy 20 isakmp # proposal tran2 ? //引用安全提議 # security acl 3001 ? //引用訪問(wèn)列表 # ike-peer peer2? # quit ? 在接口上應(yīng)用安全策略組: # int e0/1 # ipsec policy policy ########################
Switch12 的配置： ? 劃分三個(gè)vlan，并加入接口： # vlan 10? # port e1/0/1 # vlan 20 # port e1/0/5 # vlan 30 # port e1/0/3 ? 分別為vlan 10、20、30配置地址： # interface vlan-interface 10 # ip add 192.168.10.1 255.255.255.0 ? # interface vlan-interface 20 # ip add 192.168.20.1 255.255.255.0 ? # interface vlan-interface 30 # ip add 192.168.30.1 255.255.255.0 ? 配置dhcp服務(wù)： # dhcp server ip-pool fw2 # network 192.168.20.0 mask 255.255.255.0 # quit # dhcp server ip-pool fw3 # network 192.168.30.0 mask 255.255.255.0 # quit ? # dhcp server enable

測(cè)試：

查看fw2 ?fw3的e/1端口獲得地址信息以及dhcp服務(wù)器分配出的地址信息：

1.0網(wǎng)段的pc分別訪問(wèn)2.0和3.0網(wǎng)段的pc：

2.0訪問(wèn)1.0：

3.0訪問(wèn)1.0：

此時(shí)可以查看它們之間建立的安全聯(lián)盟信息：

fw1：

fw2：

fw3：

?

轉(zhuǎn)載于:https://blog.51cto.com/lulu1101/817954

總結(jié)

以上是生活随笔為你收集整理的ipsec在企业网中的应用（IKE野蛮模式）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。