试验拓扑图:
两端地址static ip -----static ip 1.自动建立ipsec
[fw-1]firewall zone untrust [fw-1-zone-untrust]add interface Ethernet 0/3 [fw-1]firewall zone trust [fw-1-zone-untrust]add interface Ethernet 0/2
[fw-1]int Ethernet0/3 [fw-1-Ethernet0/4]ip add 4.4.4.1 24 [fw-1]int Ethernet0/2 [fw-1-Ethernet0/4]ip add 192.168.1.1 24 [fw-1-Ethernet0/4]loopback [fw-1]ip route 0.0.0.0 0 4.4.4.1 [fw-1]acl number 3000 [fw-1-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [fw-1-acl-adv-3000]rule 20 deny ip source any destination any [fw-1]ipsec proposal prop [fw-1-ipsec-proposal-prop]encapsulation-mode tunnel [fw-1-ipsec-proposal-prop]transform esp [fw-1-ipsec-proposal-prop]esp authentication-algorithm md5 [fw-1-ipsec-proposal-prop]esp encryption-algorithm des [fw-1-ipsec-proposal-prop]quit [fw-1]ipsec policy policy 10 isakmp [fw-1-ipsec-policy-isakmp-policy-10]security acl 3000 [fw-1-ipsec-policy-isakmp-policy-10]proposal prop [fw-3-ipsec-policy-isakmp-policy-10]ike-peer peer [fw-1-ipsec-policy-isakmp-policy-10]quit [fw-1]ike peer peer [fw-1-ike-peer-peer]local-address 3.3.3.3 [fw-1-ike-peer-peer]remote-address 4.4.4.4 [fw-1-ike-peer-peer]pre-shared-key simple 123456 [fw-1]int Ethernet0/3 [fw-1-Ethernet0/3]ipsec policy policy
[fw-3]firewall zone untrust [fw-3-zone-untrust]add interface Ethernet 0/3 [fw-3]int Ethernet0/3 [fw-3-Ethernet0/3]ip add 4.4.4.1 24 [fw-3]int Ethernet0/2 [fw-3-Ethernet0/3]ip add 192.168.2.1 24 [fw-3]ip route 0.0.0.0 0 4.4.4.1 [fw-3]acl number 3000 [fw-3-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [fw-3-acl-adv-3000]rule 20 deny ip source any destination any [fw-3]ipsec proposal prop [fw-3-ipsec-proposal-prop]encapsulation-mode tunnel [fw-3-ipsec-proposal-prop]transform esp [fw-3-ipsec-proposal-prop]esp authentication-algorithm md5 [fw-3-ipsec-proposal-prop]esp encryption-algorithm des [fw-3-ipsec-proposal-prop]quit [fw-3]ipsec policy policy 10 isakmp [fw-3-ipsec-policy-isakmp-policy-10]security acl 3000 [fw-3-ipsec-policy-isakmp-policy-10]proposal prop [fw-3-ipsec-policy-isakmp-policy-10]ike-peer peer [fw-3-ipsec-policy-isakmp-policy-10]quit [fw-3]ike peer peer [fw-3-ike-peer-peer]local-address 4.4.4.4 [fw-3-ike-peer-peer]remote-address 3.3.3.3 [fw-3-ike-peer-peer]pre-shared-key simple 123456 [fw-3]int Ethernet0/3 [fw-3-Ethernet0/3]ipsec policy policy
[R10]int e1 [R10-Ethernet1]ip add 4.4.4.1 24 [R10-Ethernet1]int e0 [R10-Ethernet0]ip add 3.3.3.1 24
两端地址static ip ---- dynamic ip 野蛮模式建立ipsec (1) 配置fw1 静态一端 # 配置本端防火墙设备的名字。 [fw1] ike local-name fw1 # 配置acl。 [fw1] acl number 3000 [fw1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 #配置默认路由到internet [fw1]ip route 0.0.0.0 0 3.3.3.1 # 配置IKE对等体peer。 [fw1] ike peer peer //IKE网关名 peer [fw1-ike-peer-peer] exchange-mode aggressive /野蛮模式 [fw1-ike-peer-peer] pre-shared-key 123456 //双方共享密钥 [FW1-ike-peer-peer] id-type name /name 设置名字作为ID [FW1-ike-peer-peer] remote-name fw3 //指定对方名称 # 创建IPsec安全提议prop。 [FW1] ipsec proposal prop /配置IPSec安全提议 [FW1-ipsec-proposal-prop] encapsulation-mode tunnel /提议走隧道 [FW1-ipsec-proposal-prop] transform esp /transform 设置用于对报文进行转换的安全协议 [FW1-ipsec-proposal-prop] esp encryption-algorithm des /des加密算法 [FW1-ipsec-proposal-prop] esp authentication-algorithm sha1 /sha验证 # 创建安全策略policy并指定通过IKE协商建立安全联盟。 [FW1] ipsec policy policy 10 isakmp # 配置安全策略policy引用ike对等体peer。 [FW1-ipsec-policy-isakmp-policy-10] ike-peer peer # 配置安全策略policy引用访问控制列表3000。 [FW1-ipsec-policy-isakmp-policy-10] security acl 3000 # 配置安全策略policy引用IPsec安全提议prop。 [FW1-ipsec-policy-isakmp-policy-10] proposal prop # 进入E0/3并配置IP地址。 [FW1] interface Ethernet0/3 [FW1-Ethernet0/3] ip address 3.3.3.3 255.255.255.0 # 配置E0/3引用安全策略组policy。 [FW1-Ethernet0/3] ipsec policy policy (2) 配置SecPathB 动态一端 # 配置本端防火墙设备的名字。 [FW3] ike local-name fw3 /指定设置本端ID # 配置acl。 [FW3] acl number 3000 [FW3-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # 配置IKE对等体peer。 [FW3] ike peer peer [FW3-ike-peer-peer] exchange-mode aggressive [FW3-ike-peer-peer] pre-shared-key 123456 [FW3-ike-peer-peer] id-type name [FW3-ike-peer-peer] remote-name fw1 [FW3-ike-peer-peer] remote-address 3.3.3.3 # 创建IPsec安全提议prop。 [FW3] ipsec proposal prop [FW3-ipsec-proposal-prop] encapsulation-mode tunnel [FW3-ipsec-proposal-prop] transform esp [FW3-ipsec-proposal-prop] esp encryption-algorithm des [FW3-ipsec-proposal-prop] esp authentication-algorithm sha1 # 创建安全策略policy并指定通过IKE协商建立安全联盟。 [FW3] ipsec policy policy 10 isakmp # 配置安全策略policy引用ike对等体peer。 [FW3-ipsec-policy-isakmp-policy-10] ike-peer peer # 配置安全策略policy引用访问控制列表3000。 [FW3-ipsec-policy-isakmp-policy-10] security acl 3000 # 配置安全策略policy引用IPsec安全提议prop。 [FW3-ipsec-policy-isakmp-policy-10] proposal prop # 进入E0/3并配置接口动态协商IP地址。 # 配置Ethernet0/3引用安全策略组policy。 [FW3- Ethernet0/3] ipsec policy policy 我们这是模拟动态ip端口,不能从isp获得动态的拨号地址,只能手动修改此端口的ip地址。但是地址只能与路由器端的地址在一个ip网段。 [FW3- Ethernet0/3]ip add 4.4.4.4 24
[R10]int e1 [R10-Ethernet1]ip add 4.4.4.1 24 [R10-Ethernet1]int e0 [R10-Ethernet0]ip add 3.3.3.1 24
注意: 在FW3 SecPath F100-C这种低端防火墙上,只能动态的一端去访问静态一端才能建立连接..