华为 Site-to-Site VPN
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page 2
IPSec的典型配置步骤
4. 创建安全提议,定义封装模式,加密 策略; 5. 创建安全策略,通过ACL来分类需要加 密的流,定义本端和远端地址,定义 协商key模式; 6. 配置静态路由; 7. 在接口应用IPSec安全策略,注意E200 上需要关闭接工配置安全联盟协商
EudemonA的参考配置: 配置访问控制列表:在以后的配置中若安全提议的为为tunnel模式, 则定义由子网172.16.x.x去子网10.110.88.x的数据流;若安全提议的 为transport模式,则定义由子网192.168.1.x去子网192.168.1.x的数 据流 [EudemonA]acl num 3456 [EudemonA-acl-adv-3456]rule permit ip source 172.16.0.0 0.0.255.255 destination 10.110.88.0 0.0.0.255 (tunnel) [EudemonA-acl-adv-3456]rule permit ip source 192.168.1.0 0.0.0.255 destinatio n 192.168.1.0 0.0.0.255 (transport)
Page 4
IPSec的典型配置——手工配置安全联盟协商
创建安全提议:名为tran1: [EudemonA]ipsec proposal tran1 [EudemonA-ipsec-proposal-tran1]encapsulation-mode tunnel [EudemonA-ipsec-proposal-tran1]transform esp [EudemonA-ipsec-proposal-tran1]esp authentication-algorithm sha1 [EudemonA-ipsec-proposal-tran1]esp encryption-algorithm des
Page 7
IPSec的典型配置—IKE协商安全联盟
EudemonB的配置:与A非常类似,注意以下地方: acl 的源地址与目的地址注意换方向 sa 的inbound 与 outbound 的验证字和索引注意与A配对 tunnel 的起点和终点要调整一下。
Page 8
Page 5
IPSec的典型配置——手工配置安全联盟协商
//创建安全策略:协商方式为MANUAL [EudemonA]ipsec policy map1 100 manual [EudemonA-ipsec-policy-manual-map1-100]security acl 3456 [EudemonA-ipsec-policy-manual-map1-100]tunnel local 192.168.1.2 [EudemonA-ipsec-policy-manual-map1-100]tunnel remote 192.168.1.3 [EudemonA-ipsec-policy-manual-map1-100]proposal tran1 [EudemonA-ipsec-policy-manual-map1-100]sa spi outbound esp 12345 [EudemonA-ipsec-policy-manual-map1-100]sa spi inbound esp 54321 [EudemonA-ipsec-policy-manual-map1-100]sa string-key outbound esp abcdefg [EudemonA-ipsec-policy-manual-map1-100]sa string-key inbound esp gfedcba
Page 6
IPSec的典型配置—IKE协商安全联盟
//配置静态路由 [EudemonA]ip route-static 10.110.88.0 255.255.255.192 192.168.1.3 //在接口应用安全策略 [EudemonA-Ethernet0/0/0]ipsec policy map1
Page 1
IPSec的典型配置步骤
1. 配置接口属性,并将接口加入域; 2. 配置接口域到local域的域间规则; 3. 配置访问控制列表:注:在上面的例 子中配置中若安全提议的为为tunnel模 式,则定义由子网172.16.x.x去子网 10.110.88.x的数据流;若安全提议的为 transport模式,则定义由子网 192.168.1.x去子网192.168.1.x的数据流;
IPSec的典型应用和配置
如图所示,PC1作EudemonA端的主机,server1作为EudemonB端的服务器 ; 需要在两台防火墙之间启动IPSec,对防火墙之间的数据进行加密; E0/0/1 E0/0/0 E0/0/0 E0/0/1 [PC1]---------[Eudemon200A]------------[Eudemon200B]------[server1] TRUST UNTRUST TRUST UNTRUST PC1的IP地址:188.1.1.2 ,网关是188.1.1.1 SERVER1的IP地址:10.110.88.210 ,网关是10.110.88.220 Eudemon200A 的Ethernet0/0/0 口:192.168.1.2 Ethernet0/0/1 口:172.16.1.1 Eudemon200B 的Ethernet0/0/0 口:192.168.1.3 Ethernet0/0/1 口:10.110.88.220
IPSec的典型配置步骤
4. 创建安全提议,定义封装模式,加密 策略; 5. 创建安全策略,通过ACL来分类需要加 密的流,定义本端和远端地址,定义 协商key模式; 6. 配置静态路由; 7. 在接口应用IPSec安全策略,注意E200 上需要关闭接工配置安全联盟协商
EudemonA的参考配置: 配置访问控制列表:在以后的配置中若安全提议的为为tunnel模式, 则定义由子网172.16.x.x去子网10.110.88.x的数据流;若安全提议的 为transport模式,则定义由子网192.168.1.x去子网192.168.1.x的数 据流 [EudemonA]acl num 3456 [EudemonA-acl-adv-3456]rule permit ip source 172.16.0.0 0.0.255.255 destination 10.110.88.0 0.0.0.255 (tunnel) [EudemonA-acl-adv-3456]rule permit ip source 192.168.1.0 0.0.0.255 destinatio n 192.168.1.0 0.0.0.255 (transport)
Page 4
IPSec的典型配置——手工配置安全联盟协商
创建安全提议:名为tran1: [EudemonA]ipsec proposal tran1 [EudemonA-ipsec-proposal-tran1]encapsulation-mode tunnel [EudemonA-ipsec-proposal-tran1]transform esp [EudemonA-ipsec-proposal-tran1]esp authentication-algorithm sha1 [EudemonA-ipsec-proposal-tran1]esp encryption-algorithm des
Page 7
IPSec的典型配置—IKE协商安全联盟
EudemonB的配置:与A非常类似,注意以下地方: acl 的源地址与目的地址注意换方向 sa 的inbound 与 outbound 的验证字和索引注意与A配对 tunnel 的起点和终点要调整一下。
Page 8
Page 5
IPSec的典型配置——手工配置安全联盟协商
//创建安全策略:协商方式为MANUAL [EudemonA]ipsec policy map1 100 manual [EudemonA-ipsec-policy-manual-map1-100]security acl 3456 [EudemonA-ipsec-policy-manual-map1-100]tunnel local 192.168.1.2 [EudemonA-ipsec-policy-manual-map1-100]tunnel remote 192.168.1.3 [EudemonA-ipsec-policy-manual-map1-100]proposal tran1 [EudemonA-ipsec-policy-manual-map1-100]sa spi outbound esp 12345 [EudemonA-ipsec-policy-manual-map1-100]sa spi inbound esp 54321 [EudemonA-ipsec-policy-manual-map1-100]sa string-key outbound esp abcdefg [EudemonA-ipsec-policy-manual-map1-100]sa string-key inbound esp gfedcba
Page 6
IPSec的典型配置—IKE协商安全联盟
//配置静态路由 [EudemonA]ip route-static 10.110.88.0 255.255.255.192 192.168.1.3 //在接口应用安全策略 [EudemonA-Ethernet0/0/0]ipsec policy map1
Page 1
IPSec的典型配置步骤
1. 配置接口属性,并将接口加入域; 2. 配置接口域到local域的域间规则; 3. 配置访问控制列表:注:在上面的例 子中配置中若安全提议的为为tunnel模 式,则定义由子网172.16.x.x去子网 10.110.88.x的数据流;若安全提议的为 transport模式,则定义由子网 192.168.1.x去子网192.168.1.x的数据流;
IPSec的典型应用和配置
如图所示,PC1作EudemonA端的主机,server1作为EudemonB端的服务器 ; 需要在两台防火墙之间启动IPSec,对防火墙之间的数据进行加密; E0/0/1 E0/0/0 E0/0/0 E0/0/1 [PC1]---------[Eudemon200A]------------[Eudemon200B]------[server1] TRUST UNTRUST TRUST UNTRUST PC1的IP地址:188.1.1.2 ,网关是188.1.1.1 SERVER1的IP地址:10.110.88.210 ,网关是10.110.88.220 Eudemon200A 的Ethernet0/0/0 口:192.168.1.2 Ethernet0/0/1 口:172.16.1.1 Eudemon200B 的Ethernet0/0/0 口:192.168.1.3 Ethernet0/0/1 口:10.110.88.220