接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作)
另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置
FW1步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW1] acl advanced 3002
[FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
步骤二:配置IPsec安全提议
[FW1] ipsec transform-set tran1 创建IPsec安全提议tran1
[FW1-ipsec-transform-set-tran1] encapsulation-mode tunnel 配置安全协议对IP报文的封装形式为隧道模式
[FW1-ipsec-transform-set-tran1] protocol esp 配置采用的安全协议为ESP。
[FW1-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128 配置ESP协议采用的加密算法为128比特的AES
[FW1-ipsec-transform-set-tran1] esp authentication-algorithm sha1 认证算法为HMAC-SHA1。
[FW1-ipsec-transform-set-tran1] quit
步骤三:配置IKE keychain
[FW1] ike keychain keychain1 创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW1-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456
[FW1-ike-keychain-keychain1] quit
步骤四:配置IKE profile
[FW1] ike profile profile1 创建并配置IKE profile,名称为profile1
[FW1-ike-profile-profile1] keychain keychain1
[FW1-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0 #指定对端公网地址
[FW1-ike-profile-profile1] quit
步骤五:配置IPsec安全策略
[FW1] ipsec policy map1 10 isakmp 创建IKE协商方式的IPsec安全策略,名称为map1,序列号为10。
[FW1-ipsec-policy-isakmp-map1-10] security acl 3002 指定引用感兴趣流的ACL 3002
[FW1-ipsec-policy-isakmp-map1-10] transform-set tran1 指定引用的安全提议为tran1
[FW1-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1 指定IPsec隧道的本端IP地址为1.1.1.1
[FW1-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2 指定IPsec隧道的对端IP地址为2.2.2.2
[FW1-ipsec-policy-isakmp-map1-10] ike-profile profile1 指定引用的IKE profile为profile1。
[FW1-ipsec-policy-isakmp-map1-10] quit
步骤六:在接口上应用IPsec安全策略
[FW1-GigabitEthernet1/0/0] ipsec apply policy map1
FW2配置
步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段
[FW2] acl advanced 3002
[FW2] rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
步骤二:配置IPsec安全提议
[FW2] ipsec transform-set tran1 创建IPsec安全提议tran1
[FW2-ipsec-transform-set-tran1] encapsulation-mode tunnel 配置安全协议对IP报文的封装形式为隧道模式
[FW2-ipsec-transform-set-tran1] protocol esp 配置采用的安全协议为ESP。
[FW2-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128 配置ESP协议采用的加密算法为128比特的AES
[FW2-ipsec-transform-set-tran1] esp authentication-algorithm sha1 认证算法为HMAC-SHA1。
[FW2-ipsec-transform-set-tran1] quit
步骤三:配置IKE keychain
[FW2] ike keychain keychain1 创建IKE keychain,名称为keychain1,指定对端公网地址,预共享密钥为123456
[FW2-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple 123456
[FW2-ike-keychain-keychain1] quit
步骤四:配置IKE profile
[FW2] ike profile profile1 创建并配置IKE profile,名称为profile1。
[FW2-ike-profile-profile1] keychain keychain1
[FW2-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0 #指定对端公网地址
[FW2-ike-profile-profile1] quit
步骤五:配置IPsec安全策略
[FW2] ipsec policy use1 10 isakmp 创建IKE协商方式的IPsec安全策略,名称为use1,序列号为10。
[FW2-ipsec-policy-isakmp-map1-10] security acl 3002 指定引用感兴趣流的ACL 3002
[FW2-ipsec-policy-isakmp-map1-10] transform-set tran1 指定引用的安全提议为tran1
[FW2-ipsec-policy-isakmp-map1-10] local-address 2.2.2.2 指定IPsec隧道的本端IP地址为2.2.2.2
[FW2-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.1 指定IPsec隧道的对端IP地址为1.1.1.1
[FW2-ipsec-policy-isakmp-map1-10] ike-profile profile1 指定引用的IKE profile为profile1。
[FW2-ipsec-policy-isakmp-map1-10] quit
步骤六:在接口上应用IPsec安全策略
[FW2-GigabitEthernet1/0/0] ipsec apply policy use1
测试
用PC_5去访问PC_4发现不通,还是一样的原因,需要拒绝ipsec的感兴趣流
FW1上修改 rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched) rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched) FW2修改 rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)实验结果
用PC_5去访问PC_4发现可以成功访问ike sa
[FW1]display ike saipsec sa
display ipsec sa
到此防火墙的ipsec穿越NAT实验结束,其实很简单很简单昨天搞了一天不知道啥原因,今天早上上课按照手册在敲一遍就通了挺兴奋的
写个博客记录下以后可能会用到(毕设)
实验报告下载地址
链接:https://pan.baidu.com/s/1lz2-U0fyXhkxKHVrgfFrVw 提取码:tpen
