收藏
下载资源下载资源 加入VIP,免费下载

完整路由器到防火墙的IPsecvpn.docx

上传人:b****5 文档编号:6764767 上传时间:2023-01-10 格式:DOCX 页数:15 大小:709.49KB
下载 相关 举报
完整路由器到防火墙的IPsecvpn.docx_第1页
第1页 / 共15页
完整路由器到防火墙的IPsecvpn.docx_第2页
第2页 / 共15页
完整路由器到防火墙的IPsecvpn.docx_第3页
第3页 / 共15页
完整路由器到防火墙的IPsecvpn.docx_第4页
第4页 / 共15页
完整路由器到防火墙的IPsecvpn.docx_第5页
第5页 / 共15页
点击查看更多>>
下载资源
资源描述

完整路由器到防火墙的IPsecvpn.docx

《完整路由器到防火墙的IPsecvpn.docx》由会员分享,可在线阅读,更多相关《完整路由器到防火墙的IPsecvpn.docx(15页珍藏版)》请在冰豆网上搜索。

完整路由器到防火墙的IPsecvpn.docx

完整路由器到防火墙的IPsecvpn

(完整)路由器到防火墙的IPsecvpn

编辑整理:

 

尊敬的读者朋友们:

这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)路由器到防火墙的IPsecvpn)的内容能够给您的工作和学习带来便利。

同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。

本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)路由器到防火墙的IPsecvpn的全部内容。

先配置防火墙基本信息

配置接口IP和掩码

内口安全域选trust

然后把ping之类的都打上勾勾

配置外口IP和掩码

安全域选择untrust

配置本地地址簿

配置远端地址簿

在RA上配置基础信息

Router〉enable/进入特权模式

Router#config/进入配置模式

Router_config#hostnameRA/更改设备名称

RA_config#intgigaEthernet0/3/进入端口

RA_config_g0/3#ipaddress192.168.10。

2255.255。

255.0

【配置IP地址和掩码】

RA_config_g0/3#noshutdown/开启端口

RA_config_g0/3#exit/退出

RA_config#intgigaEthernet0/4

RA_config_g0/4#ipaddress192。

168。

20.1255.255。

255。

0

RA_config_g0/4#noshutdown

RA_config_g0/4#exit

在RB上配置基础信息

Router〉enable

Router#config

Router_config#hostnameRB

RB_config#intgigaEthernet0/4

RB_config_g0/4#ipaddress192。

168.20。

2255.255。

255.0

RB_config_g0/4#noshutdown

RB_config_g0/4#exit

RB_config#intfastEthernet0/0

RB_config_f0/0#ipaddress192.168。

200。

1255.255.255.0

RB_config_f0/0#noshutdown

RB_config_f0/0#exit

在防火墙上配置默认路由

防火墙先建立一个都是any的策略

再建立NAT,先是拒绝100.0访问200.0【因为是为了证明数据不经过NAT而是经过ipsecvpnping到对方的,证明实验成功】

再建立一个local到any的nat

建立提议1

建立提议2

建立对端,对端IP是RB路由器外部接口地址,提议1就是刚刚建立的提议1,共享秘钥随便,但是RB上的要跟防火墙保持一致

建立IPSECVPN,点击导入

点击隧道,建立tunnel口,选择提议2,然后填手工,本地100。

0对端200.0

选择策略,然后选择安全连接,隧道,选择之后点双向VPN

然后把any挪到最底下

RB上建立默认路由和NAT

RB_config#iproute0。

0.0.00.0.0。

0192。

168。

20。

1/默认路由

RB_config#ipaccess-listextendednat/建立NAT的访问控制列表

RB_config_ext_nacl#denyip192。

168。

200.0255。

255.255.0192。

168。

100.0255.255。

255。

0

NAT访问控制列表的内容置顶向下

有VPN和NAT的情况下

把VPN的感兴趣流量放到首位,确保成功

RB_config_ext_nacl#permitip192。

168.200.0255。

255。

255.0any

RB_config_ext_nacl#exit/退出

RB_config#intgigaEthernet0/4/进入端口4

RB_config_g0/4#ipnatoutside/指定NAT外部接口

RB_config_g0/4#exit

RB_config#intfastEthernet0/0/进入端口0

RB_config_f0/0#ipnatinside/设置NAT内部接口

RB_config_f0/0#exit

RB_config#ipnatinsidesourcelistnatinterfacegigaEthernet0/4/建立NAT

RB#ping192。

168.10.1

PING192.168。

10。

1(192.168.10。

1):

56databytes

!

!

-—-192.168。

10.1ping统计信息--—

5发送报文,5响应报文,0%没有应答

往返时间最小/平均/最大=0/0/0ms

Ping对方外部接口ping通

RB_config#cryptoisakmpkey123456192。

168.10。

1255。

255。

255。

255/跟防火墙的秘钥对应

RB_config#cryptoisakmppolicy1/建立提议1,加密算法要跟防火墙一样

RB_config_isakmp#authenticationpre—share

RB_config_isakmp#enc3des

RB_config_isakmp#hashmd5

RB_config_isakmp#group2

RB_config_isakmp#exit

建立ipsecvpn的访问控制列表

RB_config#ipaccess-listextendedvpn

RB_config_ext_nacl#permitip192.168.200.0255。

255.255.0192.168。

100.0255.255.255.0

RB_config_ext_nacl#exit

RB_config#cryptoipsectransform—setsec/等于防火墙提议2

RB_config_crypto_trans#modetunnel/隧道模式

RB_config_crypto_trans#transform-typeesp—3desesp—md5-hmac

RB_config_crypto_trans#exit

RB_config#cryptomapRB1ipsec—isakmp/配置加密映射

RB_config_crypto_map#setpeer192。

168。

10.1/对端外口IP地址

RB_config_crypto_map#settransform-setsec/匹配变换集【提议2】

RB_config_crypto_map#matchaddressvpn/匹配ipsecvpn的访问控制列表

RB_config_crypto_map#exit/退出

RB_config#intgigaEthernet0/4/进入外部接口

RB_config_g0/4#cryptomapRB/绑定ipsecvpn加密映射

RB_config_g0/4#exit/退出

如果防火墙端的PC机ping不通对面的话,那么先从路由器那边的机子先往防火墙ping通

RB_config#showcryptoipsecsa

sa--IPSEC安全联盟

RB_config#showcryptoipsecsa

Interface:

GigaEthernet0/4

Cryptomapname:

RB,localaddr.192。

168。

20.2

localident(addr/mask/prot/port):

(192。

168.200.0/255。

255.255.0/0/0)

remoteident(addr/mask/prot/port):

(192.168.100.0/255.255.255。

0/0/0)

localcryptoendpt。

:

192。

168。

20.2,remotecryptoendpt.:

192。

168。

10.1

inboundespsas:

spi:

0x60273a01(1613183489)

transform:

esp-3desesp—md5—hmac

inusesettings={Tunnel}

satiming:

remainingkeylifetime(k/sec):

(4607997/3370)

outboundespsas:

spi:

0x36ab6754(917202772)

transform:

esp—3desesp—md5-hmac

inusesettings={Tunnel}

satiming:

remainingkeylifetime(k/sec):

(4607994/3370)

RB_config#showcryptoipsectransform-set

Transformsetsec:

{esp—3desesp-md5—hmac}

willnegotiate={Tunnel}

RB_config#showcryptomap

CryptoMapRB1ipsec—isakmp

ExtendedIPaccesslistvpn

permitip192。

168.200。

0255.255。

255.0192。

168.100.0255。

255。

255。

0

peer=192.168.10。

1

PFS(Y/N):

N

Securityassociationlifetime:

4608000kilobytes/3600seconds

Transformsets={sec,}

逍遙提供【仅供参考】

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 工程科技 > 材料科学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1