華爲IPSEC-×××-典型配置舉例3-使用IKE 野蠻模式自動協商建立IPsec 安全隧道
一:企業組網需求:
1, 某公司(總部在北京)有兩個子公司分別在上海和廣州,要求通過×××實現公司之間相互通信!
2, 實驗環境如下:要求192.168.1.0/24網段的員工分別與192.168.2.0/24,192.168.3.0/24的員工通信!(中間的爲公網)
3, 本實驗要求使用IKE 野蠻模式自動協商建立IPsec 安全隧道
二:企業組網簡化實驗拓撲圖:
![]()
三:企業組網實現步驟:
(1),基礎配置實現公網互通:
①:配置fw-1:
firewall zone trust
add interface Ethernet 0/2
quit
firewall zone untrust
add interface Ethernet 0/1
quit
interface Ethernet0/2
ip address 192.168.1.1 255.255.255.0
interface Ethernet0/1
ip address 1.1.1.1 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 preference 60
②:配置fw-2:
firewall zone trust
add interface Ethernet 0/2
quit
firewall zone untrust
add interface Ethernet 0/1
quit
interface Ethernet0/2
ip address 192.168.2.1 255.255.255.0
interface Ethernet0/1
ip address 2.1.1.1 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 2.1.1.2 preference 60
③:配置fw-3:
interface Ethernet0/2
ip address 192.168.3.1 255.255.255.0
quit
interface Ethernet0/1
ip address 3.1.1.1 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 3.1.1.2 preference 60
④:配置fw-4:fw-4:(充當交換機使用)
firewall zone untrust
add interface Ethernet 0/1
add interface Ethernet 0/2
add interface Ethernet 0/3
quit
interface Ethernet0/1
ip add 1.1.1.2 24
quit
interface Ethernet0/2
ip add 2.1.1.2 24
quit
interface Ethernet0/3
ip add 3.1.1.2 24
quit
(2),配置fw-1:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 20 deny ip source any destination any
quit
acl number 3001
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 20 deny ip source any destination any
quit
#定義安全提議zhu-1。
ipsec proposal zhu-1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
quit
#定義安全提議zhu-2。
ipsec proposal zhu-2
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
display ipsec proposal
quit
ike local-name fw1
#定義IKE的peer-1.
ike peer peer-1
exchange-mode aggressive
pre-shared-key simple 12345
id-type name
local-address 1.1.1.1
remote-name fw2
quit
ike peer peer-2
exchange-mode aggressive
pre-shared-key simple 12345
id-type name
local-address 1.1.1.1
remote-name fw3
quit
ipsec policy policy1 10 isakmp
sec acl 3000
proposal zhu-1
ike-peer peer-1
quit
#定義安全策略policy1的20號策略。
ipsec policy policy1 20 isakmp
sec acl 3001
proposal zhu-2
ike-peer peer-2
quit
#在接口e/1應用安全策略policy1。
interface Ethernet0/1
ipsec policy policy1
quit
#查看ipsec的安全聯盟,安全策略,安全提議。
dis ike peer
dis ipsec policy
display ipsec proposal
(3),配置fw-2:
acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule 20 deny ip source any dest any
quit
#定義安全提議zhu。
ipsec propo zhu
enca tunnel
trans esp
es auth md5
esp enc des
quit
#定義IKE的本地名稱!
ike local-name fw2
#定義IKE的peer-1.
ike peer peer-1
exchange-mode aggressive
pre-shared-key simple 12345
id-type name
remote-name fw1
remote-address 1.1.1.1
quit
#定義安全策略policy2策略。
ipsec policy policy2 10 isakmp
sec acl 3000
propo zhu
ike-peer peer-1
quit
#在接口e/1應用安全策略policy2。
inter Ethernet0/1
ipsec poli policy2
quit
#查看ipsec的安全聯盟,安全策略,安全提議。
dis ike peer
dis ipsec policy
display ipsec proposal
(4),配置fw-3:
#定義ACL實現對數據流的過濾。
acl number 3000
rule 10 permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule 20 deny ip source any dest any
quit
#定義安全提議zhu-3。
ipsec propo zhu-3
enca tunnel
trans esp
es auth md5
esp enc des
quit
#定義IKE的本地名稱!
ike local-name fw3
#定義IKE的peer-2.
ike peer peer-2
exchange-mode aggressive
pre-shared-key simple 12345
id-type name
remote-name fw1
remote-address 1.1.1.1
quit
#定義安全策略policy3策略。
ipsec policy policy3 20 isakmp
sec acl 3001
propo zhu-3
ike-peer peer-2
quit
#在接口e/1應用安全策略policy3。
inter Ethernet0/1
ipsec poli policy3
quit
#查看ipsec的安全聯盟,安全策略,安全提議。
dis ike peer
dis ipsec policy
display ipsec proposal
(5),客戶端測試通信情況:
![]()
192.168.2.100客戶端ping測試192.168.1.100,應用以後ipsec以後可以通信。
![]()
192.168.1.100客戶端ping測試192.168.3.100,應用以後ipsec以後可以通信。
![]()
192.168.3.100客戶端ping測試192.168.1.100,應用以後ipsec以後可以通信。
![]()
附錄信息如下:
查看fw-1,fw-2,fw-3的ipsec信息和當前配置:
請下載附件!!!!!!!!!!!
