神州数码防火墙 1800 22-IPSEC配置示例-基于路由动态IPSEC
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2
3
4 1
5
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
2
3 4
1
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
5
6
7
8
第五步,创建隧道接口
• 创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道 与其绑定
2
1
3
4
5
第六步,添加隧道路由
THANKS!
2
3
4 1
5
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
2
3
4
1
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
5
6
7
8
第五步,创建隧道接口
• 创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道 与其绑定
2
1 3
4 5
第六步,添加隧道路由
• 在路由表中添加目的地为对端保护子网的路由,该路由的 下一跳为隧道接口tunnel1。
2
1
3
4
第七步,添加安全策略---创建地址簿
• 在添加安全策略之前先定义好表示两端保护子网的地址对 象,下图中只列举其中一个地址簿
2 1 3
4
5
第七步,添加安全策略
• 添加安全策略,允许本地VPN保护子网访问对端VPN保护 子网
第一步,创建IKE第一阶段提议
• 定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段 协商内容需要一致。
2 3
4 1
5
第二步,创建IKE第二阶段提议
• 定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商 内容需要一致。
2
3 4
1
5
第三步,创建VPN对端
• 创建VPN对端,并定义相关参数
Network:192.168.100.0/24
Eth0/0:192.168.100.1/24 Zone:trust
FW-B
Eth0/1:PPPOE Zone:untrust
注:该案例假设防火墙已完成了基本的上网配置
拓扑环境描述
• 防火墙FW-A具有合法的静态IP地址,防火墙FW-B外网为
PPPOE动态获取IP地址 • 其中防火墙FW-A的内部保护子网为192.168.1.0/24 • 防火墙FW-B的内部保护子网为192.168.100.0/24。 要求在FW-A与FW-B之间创建IPSec VPN,使两端的保护子 网能通过VPN隧道互相访问。
2
1
3
4
第七步,添加安全策略
• 添加安全策略,允许对端VPN保护子网访问本地VPN保护 子网
2
1 3
4
查看A防火墙状态
• 查看FW-A防火墙上两个阶段的隧道状态
1
2
查看B防火墙状态
• 查看FW-B防火墙上两个阶段的隧道状态
1
2
注意事项:
• 1、需要ipsec隧道建立的条件必须要动态获取地址端触发 • 2、tunnel接口地址设置,如果未设置,从一端局域网无法 ping通另外一端防火墙内网口地址; 另外如果设置了tunnel地址,可以通过在防火墙A 上ping 防火墙B的tunnel地址来实现触发。 • 3、在IPSEC VPN隧道中关于代理ID的概念,这个代理ID是 指本地加密子网和对端加密子网。如果两端都为神州 数码多核防火墙该ID可以设置为自动;如果只是其中 一端为多核墙,那必须要设置成手工。 • 4、如果防火墙一端为动态获取IP地址,设置VPN对端中使 用野蛮模式
2
1
3
4
第七步,添加安全策略
• 添加安全策略,允许对端VPN保护子网访问本地VPN保护 子网
2
1 3
4
FW-B 防火墙配置步骤
本案例采用“预共享密钥认证”机制
• 第一步,创建IKE第一阶段提议 • 第二步,创建IKE第二阶段提议 • 第三步,创建VPN对端 • 第四步,创建IPSEC隧道 • 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口 • 第六步,添加隧道路由 • 第七步,添加安全策略
第一步,创建IKE第一阶段提议
• 定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段 协商内容需要一致。
2 3
4 1
5
第二步,创建IKE第二阶段提议
• 定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商 内容需要一致。
2
3 4
1
5
第三步,创建VPN对端
• 创建VPN对端,并定义相关参数
动态IPSEC配置示例 FOR4.0R4
讲解人:朱建英 2010、07
示例功能描述
网络拓扑
Eth0/0:192.168.1.1/24 Zone:trust Eth0/1:218.240.143.219/29 Zone:untrust
Network:192.168.1.0/24
FW-A Internet
• 在路由表中添加目的地为对端保护子网的路由,该路由的 下一跳为隧道接口tunnel1。
2
1
3
4
第七步,添加安全策略---创建地址簿
• 在添加安全策略之前先定义好表示两端保护子网的地址对 象,下图中只列举其中一个地址簿
wenku.baidu.com2 1 3
4
5
第七步,添加安全策略
• 添加安全策略,允许本地VPN保护子网访问对端VPN保护 子网
FW-A 防火墙配置步骤
本案例采用“预共享密钥认证”机制
• 第一步,创建IKE第一阶段提议 • 第二步,创建IKE第二阶段提议 • 第三步,创建VPN对端 • 第四步,创建IPSEC隧道 • 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口 • 第六步,添加隧道路由 • 第七步,添加安全策略
3
4 1
5
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
2
3 4
1
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
5
6
7
8
第五步,创建隧道接口
• 创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道 与其绑定
2
1
3
4
5
第六步,添加隧道路由
THANKS!
2
3
4 1
5
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
2
3
4
1
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
5
6
7
8
第五步,创建隧道接口
• 创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道 与其绑定
2
1 3
4 5
第六步,添加隧道路由
• 在路由表中添加目的地为对端保护子网的路由,该路由的 下一跳为隧道接口tunnel1。
2
1
3
4
第七步,添加安全策略---创建地址簿
• 在添加安全策略之前先定义好表示两端保护子网的地址对 象,下图中只列举其中一个地址簿
2 1 3
4
5
第七步,添加安全策略
• 添加安全策略,允许本地VPN保护子网访问对端VPN保护 子网
第一步,创建IKE第一阶段提议
• 定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段 协商内容需要一致。
2 3
4 1
5
第二步,创建IKE第二阶段提议
• 定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商 内容需要一致。
2
3 4
1
5
第三步,创建VPN对端
• 创建VPN对端,并定义相关参数
Network:192.168.100.0/24
Eth0/0:192.168.100.1/24 Zone:trust
FW-B
Eth0/1:PPPOE Zone:untrust
注:该案例假设防火墙已完成了基本的上网配置
拓扑环境描述
• 防火墙FW-A具有合法的静态IP地址,防火墙FW-B外网为
PPPOE动态获取IP地址 • 其中防火墙FW-A的内部保护子网为192.168.1.0/24 • 防火墙FW-B的内部保护子网为192.168.100.0/24。 要求在FW-A与FW-B之间创建IPSec VPN,使两端的保护子 网能通过VPN隧道互相访问。
2
1
3
4
第七步,添加安全策略
• 添加安全策略,允许对端VPN保护子网访问本地VPN保护 子网
2
1 3
4
查看A防火墙状态
• 查看FW-A防火墙上两个阶段的隧道状态
1
2
查看B防火墙状态
• 查看FW-B防火墙上两个阶段的隧道状态
1
2
注意事项:
• 1、需要ipsec隧道建立的条件必须要动态获取地址端触发 • 2、tunnel接口地址设置,如果未设置,从一端局域网无法 ping通另外一端防火墙内网口地址; 另外如果设置了tunnel地址,可以通过在防火墙A 上ping 防火墙B的tunnel地址来实现触发。 • 3、在IPSEC VPN隧道中关于代理ID的概念,这个代理ID是 指本地加密子网和对端加密子网。如果两端都为神州 数码多核防火墙该ID可以设置为自动;如果只是其中 一端为多核墙,那必须要设置成手工。 • 4、如果防火墙一端为动态获取IP地址,设置VPN对端中使 用野蛮模式
2
1
3
4
第七步,添加安全策略
• 添加安全策略,允许对端VPN保护子网访问本地VPN保护 子网
2
1 3
4
FW-B 防火墙配置步骤
本案例采用“预共享密钥认证”机制
• 第一步,创建IKE第一阶段提议 • 第二步,创建IKE第二阶段提议 • 第三步,创建VPN对端 • 第四步,创建IPSEC隧道 • 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口 • 第六步,添加隧道路由 • 第七步,添加安全策略
第一步,创建IKE第一阶段提议
• 定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段 协商内容需要一致。
2 3
4 1
5
第二步,创建IKE第二阶段提议
• 定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商 内容需要一致。
2
3 4
1
5
第三步,创建VPN对端
• 创建VPN对端,并定义相关参数
动态IPSEC配置示例 FOR4.0R4
讲解人:朱建英 2010、07
示例功能描述
网络拓扑
Eth0/0:192.168.1.1/24 Zone:trust Eth0/1:218.240.143.219/29 Zone:untrust
Network:192.168.1.0/24
FW-A Internet
• 在路由表中添加目的地为对端保护子网的路由,该路由的 下一跳为隧道接口tunnel1。
2
1
3
4
第七步,添加安全策略---创建地址簿
• 在添加安全策略之前先定义好表示两端保护子网的地址对 象,下图中只列举其中一个地址簿
wenku.baidu.com2 1 3
4
5
第七步,添加安全策略
• 添加安全策略,允许本地VPN保护子网访问对端VPN保护 子网
FW-A 防火墙配置步骤
本案例采用“预共享密钥认证”机制
• 第一步,创建IKE第一阶段提议 • 第二步,创建IKE第二阶段提议 • 第三步,创建VPN对端 • 第四步,创建IPSEC隧道 • 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口 • 第六步,添加隧道路由 • 第七步,添加安全策略