携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第20天,点击查看活动详情
昨天我们用一个例子为大家详细讲解了GRE VPN的实验,今天我们通过例子来讲解点对点的IPSec隧道实实验,来帮助大家 掌握固定IP下公网IPSec VPN的配置。
同样,我们准备两组设备,分别是两台防火墙设备和两台测试PC,首先我们进入防火墙接口,配置IP地址,安全区域等功能。然后我们配置域之间的过滤规则:
security-policy
rule name policy_zc2
source-zone trust untrust
destination-zone trust untrust
source-address 10.1.11.0 24
source-address 10.1.12.0 24
destination-address 10.1.11.0 24
destination-address 10.1.12.0 24
ac per
q
rule name policy_zc1
source-zone local untrust
destination-zone local untrust
source-address 1.1.2.0 24
destination-address 1.1.2.0 24
act per
q
配置完域之间的过滤规则之后我们配置一号防火墙的ACL,选定保护数据流。 acl 3000 rule permit ip source 10.1.11.0 0.0.0.255 destination 10.1.12.0 0.0.0.255 q
然后我们配置到对端的静态路由:ip rou-sta 10.1.12.0 255.255.255.0 1.1.13.2
下一步我们配置两个协议的安全提议,ike和ipsec,一个配置为10,另一个配置为tran1,完成后设置ike peer
ike peer b
ike-proposal 10
remote-address 1.1.13.2
pre-shared-key zcx1
最后我们配置一下安全策略,然后引用。
ipsec policy map1 10 isakmp
security acl 3000
proposal tran1
ike-peer b
q
引用安全策略。
int G 1/0/1
ipsec policy map1
二号防火墙配置相同,先配置过滤规则,然后定义数据流的保护,配置acl和静态路由的数据,这里静态配置10.1.11.0 255.255.255.0 1.1.13.1,安全提议相同,分别配置为tran1和10,代码是:ike proposal 10,ipsec proposal tran1。最后我们配置安全策略并引用。
这些都完成后我们在图形界面进行web的配置,和之前一样,配置安全区域和新建IPSec隧道,安全提议等。然后测试两台PC之间能否通信。
好了今天的讲解就到这里了。
