1、SRG A interface vlanif 2SRG A-Vlanif2 ip address 200.39.1.1 24# 关闭VLAN接口的快速转发功能。SRG A-Vlanif2 undo ip fast-forwarding qffSRG A-Vlanif2 quit# 配置VLAN 2加入Trust区域。SRG A firewall zone trustSRG A-zone-trust add interface Vlanif 2SRG A-zone-trust quit# 进入Ethernet 0/0/0视图。SRG A interface Ethernet 0/0/0# 配置E
2、thernet 0/0/0的IP地址。SRG A-Ethernet0/0/0 ip address 202.39.160.1 16# 关闭接口的快速转发功能。SRG A-Ethernet0/0/0 undo ip fast-forwarding qff# 退回系统视图。SRG A-Ethernet0/0/0 quit# 进入Untrust区域视图。SRG A firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。SRG A-zone-untrust add interface Ethernet 0/0/0SRG A-zone-untrust qu
3、it# 配置到达Host 2的静态路由。SRG A ip route-static 172.70.2.0 24 202.39.169.1# 配置ACL规则,允许Host 1所在网段的主机访问Host 2所在网段的主机。SRG A acl 3000SRG A-acl-adv-3000 rule permit ip source 202.39.1.0 0.0.0.255 destination 172.70.2.0 0.0.0.255SRG A-acl-adv-3000 quit# 配置ACL规则,允许Host 2所在网段的主机访问。SRG A acl 3001SRG A-acl-adv-3001
4、 rule permit ip source 172.70.2.0 0.0.0.255SRG A-acl-adv-3001 quit# 进入Trust和Untrust域间视图。SRG A firewall interzone trust untrust# 配置域间包过滤规则。SRG A-interzone-trust-untrust packet-filter 3000 outboundSRG A-interzone-trust-untrust packet-filter 3001 inboundSRG A-interzone-trust-untrust quit# 配置域间缺省包过滤规则。S
5、RG A firewall packet-filter default permit interzone local untrust配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。# 配置名为tran1的IPSec提议。SRG A ipsec proposal tran1# 配置安全协议。SRG A-ipsec-proposal-tran1 transform esp# 配置ESP协议的认证算法。SRG A-ipsec-proposal-tran1 esp authentication-algorithm md5# 配置ESP协议的加密
6、算法。SRG A-ipsec-proposal-tran1 esp encryption-algorithm desSRG A-ipsec-proposal-tran1 quit# 创建IKE提议10。SRG A ike proposal 10# 配置使用pre-shared-key验证方法。SRG A-ike-proposal-10 authentication-method pre-share# 配置使用MD5验证算法。SRG A-ike-proposal-10 authentication-algorithm md5# 配置ISAKMP SA的生存周期为5000秒。SRG A-ike-p
7、roposal-10 sa duration 5000SRG A-ike-proposal-10 quit# 进入IKE Peer视图。SRG A ike peer a# 引用IKE安全提议。SRG A-ike-peer-a ike-proposal 10# 配置隧道对端IP地址。SRG A-ike-peer-a remote-address 202.39.169.1# 配置验证字为“abcde”。SRG A-ike-peer-a pre-shared-key abcde验证字的配置需要与对端设备相同。SRG A-ike-peer-a quit# 创建安全策略。SRG A ipsec poli
8、cy map1 10 isakmp# 引用ike-peer a。SRG A-ipsec-policy-isakmp-map1-10 ike-peer a# 引用名为tran1的安全提议。SRG A-ipsec-policy-isakmp-map1-10 proposal tran1# 引用组号为3000的ACL。SRG A-ipsec-policy-isakmp-map1-10 security acl 3000SRG A-ipsec-policy-isakmp-map1-10 quit# 进入以太网接口视图。# 引用IPSec策略。SRG A-Ethernet0/0/0 ipsec poli
9、cy map1 步骤 2 配置SRG BSRG sysname SRG BSRG B interface Ethernet 0/0/0SRG B-Ethernet0/0/0 ip address 202.39.169.1 16SRG B-Ethernet0/0/0 undo ip fast-forwarding qffSRG B-Ethernet0/0/0 quitSRG B vlan 2SRG B-vlan2 quitSRG B interface Ethernet 1/0/0SRG B-Ethernet1/0/0 port link-type accessSRG B-Ethernet1/0
10、/0 port access vlan 2SRG B-Ethernet1/0/0 quitSRG B interface vlanif 2SRG B-Vlanif2 ip address 10.1.1.1 24SRG B-Vlanif2 undo ip fast-forwarding qffSRG B-Vlanif2 quitSRG B firewall zone trustSRG B-zone-trust add interface Vlanif 2SRG B-zone-trust quitSRG B firewall zone untrustSRG B-zone-untrust add i
11、nterface Ethernet 0/0/0SRG B-zone-untrust quit# 配置到达Host 1的静态路由。SRG B ip route-static 202.39.1.0 24 202.39.160.1# 配置ACL规则,允许Host 2所在网段的主机访问Host 1所在网段的主机。SRG B acl 3000SRG B-acl-adv-3000 rule permit ip source 172.70.2.0 0.0.0.255 destination 202.39.1.0 0.0.0.255SRG B-acl-adv-3000 quit# 配置ACL规则,允许Host
12、 1所在网段的主机访问。SRG B acl 3001SRG B-acl-adv-3001 rule permit ip source 202.39.1.0 0.0.0.255SRG B-acl-adv-3001 quitSRG B firewall interzone trust untrustSRG B-interzone-trust-untrust packet-filter 3000 outboundSRG B-interzone-trust-untrust packet-filter 3001 inboundSRG B-interzone-trust-untrust quitSRG B
13、 firewall packet-filter default permit interzone local untrust# 创建名为tran1的IPSec提议。SRG B ipsec proposal tran1SRG B-ipsec-proposal-tran1 transform esp# 配置ESP协议认证算法。SRG B-ipsec-proposal-tran1 esp authentication-algorithm md5# 配置ESP协议加密算法。SRG B-ipsec-proposal-tran1 esp encryption-algorithm desSRG B-ipse
14、c-proposal-tran1 quit# 创建号码为10的IKE提议。SRG B ike proposal 10# 配置使用pre-shared key验证方法。SRG B-ike-proposal-10 authentication-method pre-share# 配置采用MD5验证算法。SRG B-ike-proposal-10 authentication-algorithm md5# 配置ISAKMP SA生存周期为5000秒。SRG B-ike-proposal-10 sa duration 5000SRG B-ike-proposal-10 quit# 创建名为a的IKE
15、Peer。SRG B ike peer a# 配置对端IP地址。SRG B-ike-peer-a remote-address 202.39.160.1# 引用IKE提议。SRG B-ike-peer-a ike-proposal 10SRG B-ike-peer-a pre-shared-key abcdeSRG B-ike-peer-a quit# 创建IPSec策略。SRG B ipsec policy map1 10 isakmp# 引用IKE Peer。SRG B-ipsec-policy-isakmp-map1-10 ike-peer a# 引用IPSec提议。SRG B-ipse
16、c-policy-isakmp-map1-10 proposal tran1SRG B-ipsec-policy-isakmp-map1-10 security acl 3000SRG B-ipsec-policy-isakmp-map1-10 quitSRG B-Ethernet0/0/0 ipsec policy map1-结束16.3 ADSL接入以太网配置举例如图16-2所示,主机Host通过以太网接入到SRG20-11/20-12,SRG20-11/20-12使用PPPoE协议通过DSLAM接入到Internet。SRG20-11/20-12作为PPPoE Client,采用PAP方
17、式认证,DISLAM作为PPPoE Server。图16-2 PPPoE方式接入以太网组网图数据准备在配置PPPoE方式接入以太网之前,需准备以下数据: ATM接口的编号 Dialer接口的编号 Dialer接口使用的拨号池的编号 拨号认证的用户名和密码配置PPPoE方式接入以太网,需要进行如下操作。 配置SRG20-11/20-12基本信息。SRG vlan 2SRG-vlan2 quitSRG interface Ethernet 1/0/0SRG-Ethernet1/0/0 port link-type accessSRG-Ethernet1/0/0 port access vlan 2
18、SRG-Ethernet1/0/0 quitSRG interface vlanif 2SRG-Vlanif2 quit# 进入Trust区域视图。SRG firewall zone trustSRG-zone-trust add interface Vlanif 2SRG-zone-trust quitSRG firewall zone untrust# 配置ATM 2/0/0加入Untrust区域。SRG-zone-untrust add interface atm 2/0/0SRG-zone-untrust quitSRG firewall packet-filter default p
19、ermit all 配置拨号接口。# 配置拨号访问控制列表。SRG dialer-rule 10 ip permit# 创建Dialer接口,并进入Dialer视图。SRG interface Dialer 1# 指定要拨号的远端用户名。SRG-Dialer1 dialer user SRG20-11/20-12# 配置Dialer 1接口使用的拨号池。SRG-Dialer1 dialer bundle 1# 配置Dialer 1接口所属的拨号访问组。SRG-Dialer1 dialer group 10# 设置链路层协议为PPP。SRG-Dialer1 link-protocol ppp#
20、使用协商方式获取IP地址。SRG-Dialer1 ip address ppp-negotiate# 使用PAP认证方式,用户名和密码均为SRG20-12。SRG-Dialer1 ppp pap local-user SRG20-12 password simple SRG20-12SRG-Dialer1 quit# 将Dialer接口加入Untrust区域。SRG-zone-untrust add interface Dialer 1 步骤 3 配置PPPoE会话。# 进入PPPoE拨号的实接口ATM 2/0/0视图。SRG interface atm 2/0/0# 创建一个PPPoE会话,
21、并且指定该会话所对应的Dialer接口拨号池的编号是1,PPPoE的会话方式为永久在线方式。SRG-Atm2/0/0 pppoe-client dial-bundle-number 1SRG-Atm2/0/0 quit 步骤 4 配置路由规则。# 配置缺省路由。SRG ip route-statics 0.0.0.0 0.0.0.0 Dialer 1 3.8.1 配置NAT和内部服务器示例如图3-1所示,与公司相关的不同用途的网络属于SRG20-11/20-12不同安全级别的安全区域。对应关系为: 员工工作网络、WWW Server和FTP Server处于Trust安全区域,所在的网段为19
22、2.168.20.0/24。 外部网络处于Untrust安全区域。图3-1 NAT和内部服务器配置示例组网图需求如下: 需求1:要求该公司Trust安全区域的192.168.20.0/24网段用户可以访问Internet,该安全区域其他网段的用户不能访问。提供的访问外部网络的合法IP地址范围为202.169.10.2/16202.169.10.6/16。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。 需求2:提供两个内部服务器供外部网络用户访问。WWW Server的内部IP地址为192.168.20.2/24,端口为8
23、080,FTP Server的内部IP地址为192.168.20.3/24。两者对外公布的地址均为202.169.10.10/16,对外使用的端口号均为缺省值。配置思路采用如下思路进行配置:1. 配置SRG20-11/20-12的接口IP地址,并将接口加入对应安全区域。2. 配置公司内部用户访问Internet的权限。3. 配置外部网络访问内部服务器的权限。 配置SRG20-11/20-12基本数据SRG interface Ethernet 0/0/0SRG-Ethernet0/0/0 ip address 202.169.10.1 16SRG-Ethernet0/0/0 quit# 创建编号为5的VLAN。SRG vlan 5SRG-vlan5 quitSRG-Ethernet1/0/0 port access vlan 5# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址。SRG interface vlanif 5SRG-Vlanif5 ip address 192.168.20.1 24SRG-Vlanif5 quit# 配置Vlanif 5加入Trust区域。SRG-zone-trust
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1