動態ipsec的配置

創新互聯從2013年開始，是專業互聯網技術服務公司，擁有項目做網站、成都網站設計網站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元郴州做網站,已為上家服務,為郴州各地企業和個人服務,聯系電話:13518219792

與靜態主要不一樣的是不用再指定安全聯盟sa了，這是透過密鑰協商的，主要用于配置較多的時候用到，快捷比靜態的。

一、Fw-1的配置

1）接口地址的配置

[fw-1]inter eth0/0

[fw-1-Ethernet0/0]ip add 192.168.101.55 255.255.255.0

[fw-1-Ethernet0/0]inter eth0/4

[fw-1-Ethernet0/4]ip add 1.1.1.1 255.255.255.0

查看端口是否加入了區域，若沒有加，要加入區域

2）配置訪問控制列表，起過濾數據流

[fw-1]acl number 3000

[fw-1-acl-adv-3000]rule 10 permit ip source 192.168.101.0 0.0.0.255 dest 192.168.102.0 0.0.0.255

[fw-1-acl-adv-3000]rule 20 deny ip source any dest any

3）配置安全提議（系統默認，可選）

[fw-1]ipsec proposal tran1

[fw-1-ipsec-proposal-tran1]encapsulation-mode tunnel

[fw-1-ipsec-proposal-tran1]transform esp

[fw-1-ipsec-proposal-tran1]esp encryption-algorithm des

[fw-1-ipsec-proposal-tran1]esp authentication-algorithm md5

4）配置鄰居參數。在全局了配置    //這里是與靜態手工配置不一樣的地方

[fw-1]ike peer fw-2

[fw-1-ike-peer-fw-2]pre-shared-key simple 123456（定義與共享密鑰）

[fw-1-ike-peer-fw-2]remote-address 1.1.2.2（定義對端的地址）

5）配置安全策略

[fw-1]ipsec policy policy1 10 isakmp（動態配置安全策略）

[fw-1-ipsec-policy-isakmp-policy1-10]security acl 3000

[fw-1-ipsec-policy-isakmp-policy1-10]proposal tran1

[fw-1-ipsec-policy-isakmp-policy1-10]ike-peer fw-2

應用安全策略

[fw-1]inter eth0/4

[fw-1-Ethernet0/4]ipsec policy policy1

二、路由器配置

[Router]inter e0

[Router-Ethernet0]ip add 1.1.1.2 255.255.255.0

[Router-Ethernet0]inter e1

[Router-Ethernet1]ip add 1.1.2.1 255.255.255.0

三、fw-2的配置

[fw-2]inter eth0/0

[fw-2-Ethernet0/0]ip add 192.168.102.90 255.255.255.0

[fw-2-Ethernet0/0]loop

[fw-2-Ethernet0/0]inter eth0/4

[fw-2-Ethernet0/4]ip add 1.1.2.2 255.255.255.0

把端口加入區域（如端口在默認區域，不用在添加）

[fw-2]firewall zone untrust

[fw-2-zone-untrust]add interface eth0/4

[fw-2-zone-untrust]q

[fw-2]firewall zone trust

[fw-2-zone-trust]add interface eth0/0

配置訪問控制列表，起過濾作用

[fw-2]acl number 3000

[fw-2-acl-adv-3000]rule 10 permit ip source 192.168.102.0 0.0.0.255 dest 192.168.101.0 0.0.0.255

[fw-2-acl-adv-3000]rule 20 deny ip source any dest any

配置安全提議（系統默認，可選）

[fw-2]ipsec proposal tran1

[fw-2-ipsec-proposal-tran1]encapsulation-mode tunnel

[fw-2-ipsec-proposal-tran1]transform esp

[fw-2-ipsec-proposal-tran1]esp encryption-algorithm des

[fw-2-ipsec-proposal-tran1]esp authentication-algorithm md5

配置鄰居參數

[fw-2]ike peer fw-1

[fw-2-ike-peer-fw-1]pre-shared-key simple 123456

[fw-2-ike-peer-fw-1]remote-address 1.1.1.1

配置安全策略

[fw-2]ipsec policy policy1 10 isakmp

[fw-2-ipsec-policy-isakmp-policy1-10]security acl 3000

[fw-2-ipsec-policy-isakmp-policy1-10]proposal tran1

[fw-2-ipsec-policy-isakmp-policy1-10]ike-peer fw-1

應用安全策略

[fw-2]inter eth0/4

[fw-2-Ethernet0/4]ipsec policy policy

測試結果

注：紅色部分是與靜態配置不一樣的地方。

另外有需要云服務器可以了解下創新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網站標題：動態ipsec的實現-創新互聯
新聞來源：http://vcdvsql.cn/article4/cdeiie.html

成都網站建設公司_創新互聯，為您提供關鍵詞優化、云服務器、微信小程序、品牌網站建設、App開發、網站內鏈

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯