热门标签
热门文章
- 1小白跟做江科大51单片机之DS1302可调时钟_江科大ds1302代码
- 2ARP解析MAC地址的全过程(ARP的工作机制)_arp地址解析五步曲
- 3如何做出好看的PPT_怎样用图形和线条做出漂亮ppt
- 4ollama内部局域网访问_ollama 接口无法访问
- 5SeetaFace6人脸特征提取与对比C++代码实现Demo
- 6一文梳理常见的测序技术(部分结合GEO数据库)
- 7使用Vant框架的组件van-pull-refresh搭配van-list和van-card完成上滑加载更多列表数据,下拉刷新当前列表数据(等同于翻页功能)_vant pullrefresh 和 vanlist
- 8SORT目标追踪算法详解_sort算法
- 9基于SSM的图书管理系统【附源码】
- 10mysql视图和存储过程_mysql 视图是查询视图时候执行还是原表修改数据就执行了
当前位置: article > 正文
防火墙ipsec vpn点对多点_ipsec点对点
作者:繁依Fanyi0 | 2024-06-11 07:05:34
赞
踩
ipsec点对点
防火墙ipsec vpn 点对多点配置和路由器isis配置
需求:
isp通过isis进行联通,两台防火墙部署ipsec vpn 点对多点。
拓扑图:
技术分析:
isis:
isp1: isis 1 #进入isis进程 network-entity 10.0000.0000.0000.0001.00 #配置net地址,格式按10.0000.0000.0000.0001.00这个来 import-route isis level-2 into level-1 配置路由渗透level-2的路由发到level-1 # interface GigabitEthernet0/0/0 isis enable 1 #开启isis isis circuit-level level-1 #将端口等级设置为level-1(IS-IS 的路由器默认级别是 Level-1-2, 两个路由器在同一个区域, 所以 会同时建立 Level-1 和 Level-2 的邻接关系,造成建立重新邻接,增加路由器的性能压力,浪费网路带宽,所以只需 建立 Level-1 的邻接关系;但是由于路由器连接了其他区域路由器,所以无法修改路由器级别为 Level-1,只能通过修改接口邻接 关系级别为 Level-1 来解决) isis authentication-mode md5 cipher 123456 #配置端口认证 #下同 interface GigabitEthernet0/0/1 isis enable 1 isis circuit-level level-1 isis authentication-mode md5 cipher 123456 # interface GigabitEthernet0/0/2 isis enable 1 isp3 # isis 1 network-entity 10.0000.0000.0000.0003.00 import-route isis level-2 into level-1 # interface GigabitEthernet0/0/0 isis enable 1 isis circuit-level level-1 isis authentication-mode md5 cipher 123456 # interface GigabitEthernet0/0/1 isis enable 1 # interface GigabitEthernet0/0/2 isis enable 1 isis circuit-level level-1 isis authentication-mode md5 cipher 123456 # isp4 # isis 1 network-entity 10.0000.0000.0000.0004.00 import-route isis level-2 into level-1 # interface GigabitEthernet0/0/0 isis enable 1 isis circuit-level level-1 isis authentication-mode md5 cipher 123456 # interface GigabitEthernet0/0/1 isis enable 1 isis circuit-level level-1 isis authentication-mode md5 cipher 123456 # interface GigabitEthernet0/0/2 isis enable 1 #
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
ip-link
fw1 # ip-link check enable #开启ip-link ip-link name fw2-1 #进入fw2-1 destination 100.1.1.2 interface GigabitEthernet1/0/0 mode icmp #通过g1/0/0使用icmp协议侦测目的IP为100.1.1.2 ip-link name fw2-2 #下同 destination 100.1.2.2 interface GigabitEthernet1/0/0 mode icmp # fw2 # ip-link check enable ip-link name fw1-1 destination 100.1.3.2 interface GigabitEthernet1/0/0 mode icmp ip-link name fw1-2 destination 100.1.3.2 interface GigabitEthernet1/0/1 mode icmp #
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
IPSec vpn :
fw1 # ipsec proposal 1 #ipsec安全提案 1 esp authentication-algorithm sha2-256 #ESP的认证算法 esp encryption-algorithm aes-256 ESP的加密算法 # ike proposal 1 #ike 提议 encryption-algorithm aes-256 #加密算法 dh group14 #支持最大的秘钥宽度 authentication-algorithm sha2-256 #认证算法 authentication-method pre-share #使用共享密钥作为认证方式 integrity-algorithm hmac-sha2-256 #ike协商时所使用的完整性算法 prf hmac-sha2-256 #ike协商时所使用的伪随机数产生函数的算法 # ike peer all #创建ike对等体 pre-shared-key 123456 #共享的密钥为123456 ike-proposal 1 #使用ike提议1 # ipsec profile fw2-1 #创建一个ipsec的安全框架 ike-peer all #调用ike对等体 proposal 1 #调用安全提案 ipsec profile fw2-2 #下同 ike-peer all proposal 1 # interface Tunnel0 #创建虚拟接口0 ip address 192.168.50.1 255.255.255.0 #(可以使用内部地址) tunnel-protocol gre #隧道类型为gre source 100.1.3.2 #设置源地址 destination 100.1.1.2 #设置目的地址 ipsec profile fw2-1 #提用ipsec的安全框架 # interface Tunnel1 #下同 description 100.1.2.2 ip address 192.168.60.1 255.255.255.0 tunnel-protocol gre source 100.1.3.2 destination 100.1.2.2 ipsec profile fw2-2 # firewall zone untrust add interface Tunnel0 #把虚拟接口0加入untrsut区域 add interface Tunnel1 #下同 # ip route-static 192.168.20.0 255.255.255.0 Tunnel0 preference 150 track ip-link fw2-1 #配置 静态路由把目的为192.168.20.0的下一跳定向到tunnel 0,并且联动ip-link fw2-1,设置优先级为150,使 转发20.0网段数据包优先转发到tunnel0 ip route-static 192.168.20.0 255.255.255.0 Tunnel1 preference 100 track ip-link fw2-2 #下同 # security-policy #进入策略 rule name trust-untrsut #进入名称为trust-untrust的策略(这里包含了vpn通道中trust访问untrust的) 所以就没有配vpn中trust到untrust部分 source-zone trust #源区域 trust destination-zone untrust #目的区域 service icmp #允许的服务 action permit #允许行为 rule name local-trust #下同 source-zone local destination-zone trust action permit rule name trust-local source-zone trust destination-zone local action permit rule name untrust-local source-zone untrust destination-zone local action permit rule name local-untrust source-zone local destination-zone untrust action permit rule name vpn source-zone untrust destination-zone trust source-address 192.168.20.0 mask 255.255.255.0 #这里对untrust区域访问trust区域的ip进行源地址限定 ,只能是20.0网段的进行访问。 service icmp action permit fw2 #下同 ipsec proposal 1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 # ike proposal 1 encryption-algorithm aes-256 dh group14 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 # ike peer all pre-shared-key 123456 ike-proposal 1 ike peer fw1-2 # ipsec profile fw1-1 ike-peer all proposal 1 ipsec profile fw1-2 ike-peer all proposal 1 # interface Tunnel0 ip address 192.168.30.1 255.255.255.0 tunnel-protocol gre source 100.1.1.2 destination 100.1.3.2 ipsec profile fw1-1 # interface Tunnel1 ip address 192.168.40.1 255.255.255.0 tunnel-protocol gre source 100.1.2.2 destination 100.1.3.2 ipsec profile fw1-2 # firewall zone untrust add interface Tunnel0 add interface Tunnel1 # ip route-static 192.168.10.0 255.255.255.0 Tunnel0 preference 150 track ip-link fw1-1 ip route-static 192.168.10.0 255.255.255.0 Tunnel1 preference 100 track ip-link fw1-2 # security-policy rule name trust-untrsut source-zone trust destination-zone untrust service icmp action permit rule name local-trust source-zone local destination-zone trust action permit rule name trust-local source-zone trust destination-zone local action permit rule name local-unttrsut source-zone local destination-zone untrust action permit rule name untrust-local source-zone untrust destination-zone local action permit rule name vpn source-zone untrust source-address 192.168.10.0 mask 255.255.255.0 service icmp action permit
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
效果:
isis:
isp1查看路由表:
isp1 查看isis路由表:
ipsec vpn:
fw1查看nat转换情况:
pc机ping的过程:
模拟fw2 g1/0/1端口down后的情况:
说明:第一次请求超时是因为从fw2-1转换为fw2-2,第二次超时是fw2-2转换为fw2-1
ip-link:
查看链路侦测的状态:
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/702180
推荐阅读
相关标签
