路由器到防火墙的IPsecvpn.docx
- 文档编号:5123691
- 上传时间:2022-12-13
- 格式:DOCX
- 页数:14
- 大小:696.83KB
路由器到防火墙的IPsecvpn.docx
《路由器到防火墙的IPsecvpn.docx》由会员分享,可在线阅读,更多相关《路由器到防火墙的IPsecvpn.docx(14页珍藏版)》请在冰豆网上搜索。
路由器到防火墙的IPsecvpn
先配置防火墙基本信息
配置接口IP和掩码
内口安全域选trust
然后把ping之类的都打上勾勾
配置外口IP和掩码
安全域选择untrust
配置本地地址簿
配置远端地址簿
在RA上配置基础信息
Router>enable/进入特权模式
Router#config/进入配置模式
Router_config#hostnameRA/更改设备名称
RA_config#intgigaEthernet0/3/进入端口
RA_config_g0/3#ipaddress192.168.10.2255.255.255.0
【配置IP地址和掩码】
RA_config_g0/3#noshutdown/开启端口
RA_config_g0/3#exit/退出
RA_config#intgigaEthernet0/4
RA_config_g0/4#ipaddress192.168.20.1255.255.255.0
RA_config_g0/4#noshutdown
RA_config_g0/4#exit
在RB上配置基础信息
Router>enable
Router#config
Router_config#hostnameRB
RB_config#intgigaEthernet0/4
RB_config_g0/4#ipaddress192.168.20.2255.255.255.0
RB_config_g0/4#noshutdown
RB_config_g0/4#exit
RB_config#intfastEthernet0/0
RB_config_f0/0#ipaddress192.168.200.1255.255.255.0
RB_config_f0/0#noshutdown
RB_config_f0/0#exit
在防火墙上配置默认路由
防火墙先建立一个都是any的策略
再建立NAT,先是拒绝100.0访问200.0【因为是为了证明数据不经过NAT而是经过ipsecvpnping到对方的,证明实验成功】
再建立一个local到any的nat
建立提议1
建立提议2
建立对端,对端IP是RB路由器外部接口地址,提议1就是刚刚建立的提议1,共享秘钥随便,但是RB上的要跟防火墙保持一致
建立IPSECVPN,点击导入
点击隧道,建立tunnel口,选择提议2,然后填手工,本地100.0对端200.0
选择策略,然后选择安全连接,隧道,选择之后点双向VPN
然后把any挪到最底下
RB上建立默认路由和NAT
RB_config#iproute0.0.0.00.0.0.0192.168.20.1/默认路由
RB_config#ipaccess-listextendednat/建立NAT的访问控制列表
RB_config_ext_nacl#denyip192.168.200.0255.255.255.0192.168.100.0255.255.255.0
NAT访问控制列表的内容置顶向下
有VPN和NAT的情况下
把VPN的感兴趣流量放到首位,确保成功
RB_config_ext_nacl#permitip192.168.200.0255.255.255.0any
RB_config_ext_nacl#exit/退出
RB_config#intgigaEthernet0/4/进入端口4
RB_config_g0/4#ipnatoutside/指定NAT外部接口
RB_config_g0/4#exit
RB_config#intfastEthernet0/0/进入端口0
RB_config_f0/0#ipnatinside/设置NAT内部接口
RB_config_f0/0#exit
RB_config#ipnatinsidesourcelistnatinterfacegigaEthernet0/4/建立NAT
RB#ping192.168.10.1
PING192.168.10.1(192.168.10.1):
56databytes
!
!
!
!
!
---192.168.10.1ping统计信息---
5发送报文,5响应报文,0%没有应答
往返时间最小/平均/最大=0/0/0ms
Ping对方外部接口ping通
RB_config#cryptoisakmpkey123456192.168.10.1255.255.255.255/跟防火墙的秘钥对应
RB_config#cryptoisakmppolicy1/建立提议1,加密算法要跟防火墙一样
RB_config_isakmp#authenticationpre-share
RB_config_isakmp#enc3des
RB_config_isakmp#hashmd5
RB_config_isakmp#group2
RB_config_isakmp#exit
建立ipsecvpn的访问控制列表
RB_config#ipaccess-listextendedvpn
RB_config_ext_nacl#permitip192.168.200.0255.255.255.0192.168.100.0255.255.255.0
RB_config_ext_nacl#exit
RB_config#cryptoipsectransform-setsec/等于防火墙提议2
RB_config_crypto_trans#modetunnel/隧道模式
RB_config_crypto_trans#transform-typeesp-3desesp-md5-hmac
RB_config_crypto_trans#exit
RB_config#cryptomapRB1ipsec-isakmp/配置加密映射
RB_config_crypto_map#setpeer192.168.10.1/对端外口IP地址
RB_config_crypto_map#settransform-setsec/匹配变换集【提议2】
RB_config_crypto_map#matchaddressvpn/匹配ipsecvpn的访问控制列表
RB_config_crypto_map#exit/退出
RB_config#intgigaEthernet0/4/进入外部接口
RB_config_g0/4#cryptomapRB/绑定ipsecvpn加密映射
RB_config_g0/4#exit/退出
如果防火墙端的PC机ping不通对面的话,那么先从路由器那边的机子先往防火墙ping通
RB_config#showcryptoipsecsa
sa--IPSEC安全联盟
RB_config#showcryptoipsecsa
Interface:
GigaEthernet0/4
Cryptomapname:
RB,localaddr.192.168.20.2
localident(addr/mask/prot/port):
(192.168.200.0/255.255.255.0/0/0)
remoteident(addr/mask/prot/port):
(192.168.100.0/255.255.255.0/0/0)
localcryptoendpt.:
192.168.20.2,remotecryptoendpt.:
192.168.10.1
inboundespsas:
spi:
0x60273a01(1613183489)
transform:
esp-3desesp-md5-hmac
inusesettings={Tunnel}
satiming:
remainingkeylifetime(k/sec):
(4607997/3370)
outboundespsas:
spi:
0x36ab6754(917202772)
transform:
esp-3desesp-md5-hmac
inusesettings={Tunnel}
satiming:
remainingkeylifetime(k/sec):
(4607994/3370)
RB_config#showcryptoipsectransform-set
Transformsetsec:
{esp-3desesp-md5-hmac}
willnegotiate={Tunnel}
RB_config#showcryptomap
CryptoMapRB1ipsec-isakmp
ExtendedIPaccesslistvpn
permitip192.168.200.0255.255.255.0192.168.100.0255.255.255.0
peer=192.168.10.1
PFS(Y/N):
N
Securityassociationlifetime:
4608000kilobytes/3600seconds
Transformsets={sec,}
逍遙提供【仅供参考】
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 路由器 防火墙 IPsecvpn