防火墻設(shè)置值基于路由動(dòng)態(tài)的IPSEC配置
產(chǎn)品資訊2019年05月29日
分享
IPSEC配置指的是IPSec在IP層通過加密與數(shù)據(jù)來源認(rèn)證等方式,來保證數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時(shí)的私有性、真實(shí)性、數(shù)據(jù)完整性和抗重放。今天河姆渡小編向大家介紹有關(guān)防火墻配置中“基于路由動(dòng)態(tài)IPSEC”的內(nèi)容
一、網(wǎng)絡(luò)拓?fù)?/strong>
二、需求描述
防火墻FW-A具有合法的靜態(tài)IP地址,防火墻FW-B外網(wǎng)為PPPOE動(dòng)態(tài)獲取IP地址 其中防火墻FW-A的內(nèi)部保護(hù)子網(wǎng)為192.168.10.0/24,防火墻FW-B的內(nèi)部保護(hù)子網(wǎng)為192.168.100.0/24。要求在FW-A與FW-B之間創(chuàng)建IPSec VPN,使兩端的保護(hù)子網(wǎng)能通過VPN隧道互相訪問。
三、配置步驟
首先看下FW-A防火墻的配置
第一步:創(chuàng)建IKE第一階段提議
點(diǎn)擊網(wǎng)絡(luò)/IPSECVPN 處P1 提議中定義IKE第一階段的協(xié)商參數(shù),兩臺(tái)防火墻的IKE第一階段協(xié)商內(nèi)容需要一致。
第二步:創(chuàng)建IKE第二階段提議
點(diǎn)擊網(wǎng)絡(luò)/IPSEC VPN處P2提議中定義IKE第二階段的協(xié)商內(nèi)容,兩臺(tái)防火墻的第二 階段協(xié)商內(nèi)容需要一致。
第三步:創(chuàng)建對(duì)等體(peer)
在網(wǎng)絡(luò)/IPSECVPN處,在VPN對(duì)端列表中新建對(duì)端,并定義相關(guān)參數(shù)。
第四步:創(chuàng)建隧道
點(diǎn)擊網(wǎng)絡(luò)/IPSECVPN處,IPSECVPN中創(chuàng)建到防火墻FW-B的VPN隧道,并定義相關(guān)參數(shù)。首先要導(dǎo)入創(chuàng)建好的對(duì)端。
第五步:創(chuàng)建隧道接口并與ipsec綁定
在網(wǎng)絡(luò)連接中新建隧道接口指定安全域并綁定IPSEC隧道。
第六步:添加隧道路由
在網(wǎng)絡(luò)/路由/目的路由中新建一條路由,目的地址是對(duì)端加密保護(hù)子網(wǎng),網(wǎng)關(guān)為創(chuàng)建的tunnel口。
第七步:添加安全策略
在創(chuàng)建安全策略前首先要?jiǎng)?chuàng)建本地網(wǎng)段和對(duì)端網(wǎng)段的地址簿,如下圖:
在安全/策略中新建策略,允許本地VPN保護(hù)子網(wǎng)訪問對(duì)端VPN保護(hù)子網(wǎng)。
允許對(duì)端VPN保護(hù)子網(wǎng)訪問本地VPN保護(hù)子網(wǎng)。
關(guān)于FW-B防火墻的配置步驟與FW-A相似,以下是配置步驟:
第一步,創(chuàng)建IKE第一階段提議
第二步,創(chuàng)建IKE第二階段提議
第三步,創(chuàng)建VPN對(duì)端
第四步,創(chuàng)建IPSEC隧道
第五步,創(chuàng)建隧道接口,指定安全域,并將創(chuàng)建好的隧道綁定到接口
第六步,添加隧道路由
第七步,添加安全策略
1、創(chuàng)建IKE第一階段提議
點(diǎn)擊網(wǎng)絡(luò)/IPSECVPN 處P1 提議中定義IKE第一階段的協(xié)商參數(shù),兩臺(tái)防火墻的IKE第一階段協(xié)商內(nèi)容需要一致。
2、創(chuàng)建IKE第二階段提議
點(diǎn)擊網(wǎng)絡(luò)/IPSEC VPN處P2提議中定義IKE第二階段的協(xié)商內(nèi)容,兩臺(tái)防火墻的第二 階段協(xié)商內(nèi)容需要一致。
3、創(chuàng)建對(duì)等體(peer)
在網(wǎng)絡(luò)/IPSECVPN處,在VPN對(duì)端列表中新建對(duì)端,并定義相關(guān)參數(shù)。
4、創(chuàng)建隧道
點(diǎn)擊網(wǎng)絡(luò)/IPSECVPN處,IPSECVPN中創(chuàng)建到防火墻FW-B的VPN隧道,并定義相關(guān)參數(shù)。首先要導(dǎo)入創(chuàng)建好的對(duì)端。
5、創(chuàng)建隧道接口并與ipsec綁定
在網(wǎng)絡(luò)連接中新建隧道接口指定安全域并綁定IPSEC隧道。
6、添加隧道路由
在網(wǎng)絡(luò)/路由/目的路由中新建一條路由,目的地址是對(duì)端加密保護(hù)子網(wǎng),網(wǎng)關(guān)為創(chuàng)建的tunnel口。
7、添加安全策略
在創(chuàng)建安全策略前首先要?jiǎng)?chuàng)建本地網(wǎng)段和對(duì)端網(wǎng)段的地址簿,如下圖:
在安全/策略中新建策略,允許本地VPN保護(hù)子網(wǎng)訪問對(duì)端VPN保護(hù)子網(wǎng)。
允許對(duì)端VPN保護(hù)子網(wǎng)訪問本地VPN保護(hù)子網(wǎng)。
8、驗(yàn)證測(cè)試
查看防火墻FW-A上的IPSecVPN狀態(tài):
查看防火墻FW-B上的IPSecVPN狀態(tài):
注意事項(xiàng):
1、需要ipsec隧道建立的條件必須要?jiǎng)討B(tài)獲取地址端觸發(fā)。
2、tunnel接口地址設(shè)置,如果未設(shè)置,從一端局域網(wǎng)無法ping通另外一端防火墻內(nèi)網(wǎng)口地 址;另外如果設(shè)置了tunnel地址,可以通過在防火墻A上ping防火墻B 的tunnel地址 來實(shí)現(xiàn)觸發(fā)。
3、在IPSECVPN隧道中關(guān)于代理ID的概念,這個(gè)代理ID是指本地加密子網(wǎng)和對(duì)端加密 子網(wǎng)。如果兩端都為神州數(shù)碼多核防火墻該ID可以設(shè)置為自動(dòng);如果只是其中一端為多核墻,那必須要設(shè)置成手工。
4、如果防火墻一端為動(dòng)態(tài)獲取IP地址,設(shè)置VPN對(duì)端中使用野蠻模式。
一、網(wǎng)絡(luò)拓?fù)?/strong>
防火墻FW-A具有合法的靜態(tài)IP地址,防火墻FW-B外網(wǎng)為PPPOE動(dòng)態(tài)獲取IP地址 其中防火墻FW-A的內(nèi)部保護(hù)子網(wǎng)為192.168.10.0/24,防火墻FW-B的內(nèi)部保護(hù)子網(wǎng)為192.168.100.0/24。要求在FW-A與FW-B之間創(chuàng)建IPSec VPN,使兩端的保護(hù)子網(wǎng)能通過VPN隧道互相訪問。
首先看下FW-A防火墻的配置
第一步:創(chuàng)建IKE第一階段提議
第二步:創(chuàng)建IKE第二階段提議
第三步:創(chuàng)建對(duì)等體(peer)
第四步:創(chuàng)建隧道
第五步:創(chuàng)建隧道接口并與ipsec綁定
在網(wǎng)絡(luò)連接中新建隧道接口指定安全域并綁定IPSEC隧道。
第六步:添加隧道路由
在網(wǎng)絡(luò)/路由/目的路由中新建一條路由,目的地址是對(duì)端加密保護(hù)子網(wǎng),網(wǎng)關(guān)為創(chuàng)建的tunnel口。
第七步:添加安全策略
在創(chuàng)建安全策略前首先要?jiǎng)?chuàng)建本地網(wǎng)段和對(duì)端網(wǎng)段的地址簿,如下圖:
在安全/策略中新建策略,允許本地VPN保護(hù)子網(wǎng)訪問對(duì)端VPN保護(hù)子網(wǎng)。
允許對(duì)端VPN保護(hù)子網(wǎng)訪問本地VPN保護(hù)子網(wǎng)。
關(guān)于FW-B防火墻的配置步驟與FW-A相似,以下是配置步驟:
第一步,創(chuàng)建IKE第一階段提議
第二步,創(chuàng)建IKE第二階段提議
第三步,創(chuàng)建VPN對(duì)端
第四步,創(chuàng)建IPSEC隧道
第五步,創(chuàng)建隧道接口,指定安全域,并將創(chuàng)建好的隧道綁定到接口
第六步,添加隧道路由
第七步,添加安全策略
1、創(chuàng)建IKE第一階段提議
點(diǎn)擊網(wǎng)絡(luò)/IPSECVPN 處P1 提議中定義IKE第一階段的協(xié)商參數(shù),兩臺(tái)防火墻的IKE第一階段協(xié)商內(nèi)容需要一致。
2、創(chuàng)建IKE第二階段提議
點(diǎn)擊網(wǎng)絡(luò)/IPSEC VPN處P2提議中定義IKE第二階段的協(xié)商內(nèi)容,兩臺(tái)防火墻的第二 階段協(xié)商內(nèi)容需要一致。
3、創(chuàng)建對(duì)等體(peer)
在網(wǎng)絡(luò)/IPSECVPN處,在VPN對(duì)端列表中新建對(duì)端,并定義相關(guān)參數(shù)。
4、創(chuàng)建隧道
點(diǎn)擊網(wǎng)絡(luò)/IPSECVPN處,IPSECVPN中創(chuàng)建到防火墻FW-B的VPN隧道,并定義相關(guān)參數(shù)。首先要導(dǎo)入創(chuàng)建好的對(duì)端。
5、創(chuàng)建隧道接口并與ipsec綁定
在網(wǎng)絡(luò)連接中新建隧道接口指定安全域并綁定IPSEC隧道。
6、添加隧道路由
在網(wǎng)絡(luò)/路由/目的路由中新建一條路由,目的地址是對(duì)端加密保護(hù)子網(wǎng),網(wǎng)關(guān)為創(chuàng)建的tunnel口。
7、添加安全策略
在創(chuàng)建安全策略前首先要?jiǎng)?chuàng)建本地網(wǎng)段和對(duì)端網(wǎng)段的地址簿,如下圖:
允許對(duì)端VPN保護(hù)子網(wǎng)訪問本地VPN保護(hù)子網(wǎng)。
8、驗(yàn)證測(cè)試
查看防火墻FW-A上的IPSecVPN狀態(tài):
查看防火墻FW-B上的IPSecVPN狀態(tài):
注意事項(xiàng):
1、需要ipsec隧道建立的條件必須要?jiǎng)討B(tài)獲取地址端觸發(fā)。
2、tunnel接口地址設(shè)置,如果未設(shè)置,從一端局域網(wǎng)無法ping通另外一端防火墻內(nèi)網(wǎng)口地 址;另外如果設(shè)置了tunnel地址,可以通過在防火墻A上ping防火墻B 的tunnel地址 來實(shí)現(xiàn)觸發(fā)。
3、在IPSECVPN隧道中關(guān)于代理ID的概念,這個(gè)代理ID是指本地加密子網(wǎng)和對(duì)端加密 子網(wǎng)。如果兩端都為神州數(shù)碼多核防火墻該ID可以設(shè)置為自動(dòng);如果只是其中一端為多核墻,那必須要設(shè)置成手工。
4、如果防火墻一端為動(dòng)態(tài)獲取IP地址,設(shè)置VPN對(duì)端中使用野蠻模式。
相關(guān)閱讀
一周排行榜
- 河姆渡榮獲浦東新區(qū)“2018年經(jīng)濟(jì)特別貢獻(xiàn)獎(jiǎng)”
- 河姆渡榮獲中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)百強(qiáng)企業(yè)第十六名
- 超四十款終端預(yù)年內(nèi)上市 百億美元投資催熟5G產(chǎn)業(yè)鏈
- 五一物流發(fā)貨公告
- 智能家居市場(chǎng)規(guī)模快速增長(zhǎng) 這三個(gè)特點(diǎn)逐漸顯現(xiàn)
- 焦點(diǎn)《促進(jìn)新一代人工智能產(chǎn)業(yè)發(fā)展三年行動(dòng)計(jì)劃(2018-2020年)》
- 車牌識(shí)別系統(tǒng)怎么破解?車牌自動(dòng)識(shí)別停車漏洞如何解決?
- 2019 中國(guó)地產(chǎn)智能家居高峰論壇圓滿落幕,大咖們都講了哪些行業(yè)干貨?
- 關(guān)于采購返河幣活動(dòng)暫停的通知
- 清明物流公告
熱門活動(dòng)
服務(wù)推薦
工具推薦
-
工程設(shè)計(jì)計(jì)算器
-
河姆渡方案館
