实验要求
某小型企业为扩大网络规模,设立分公司,今日要求分公司能够访问主公司对应的资源,为此很是苦恼
为满足其跨区域访问对端网络的要求,现要求使用IPSEC搭建隧道使得分公司能够与主公司通讯
实验拓扑
该公司与分公司拓扑大致能够简化如下图
实验配置
首先给我们的电脑配置上IP地址,pc1——192.168.10.1,pc2——192.168.20.2
AR1的地址如下,并且为保障模拟公网环境,我们在AR1上开启ospf宣告其网段
web配置
熟悉的操作配置web管理进入web界面,配地址划区域,下图分别是FW3,FW4的相关配置
划分区域配置地址
ipsec参数调整
在网络中找到IPSEC镜像配置相关配置,这边我们选择较为安全的ESP隧道模式
配置策略
然后我们去策略里放行相关区域间访问并做NAT-T处理,确保我们的相关流量不被NAT给转换,最终导致丢包无法通讯
命令行配置
配置命令行根据学的原理一步一步操作,不要慌,要冷静
划分区域配置地址
此部分省略,int接口,ip add地址,firewall区域名,简单,秒了秒了
ACL配置
写入要通讯地址,这里就以192.168.10.0到192.168.20.0为例,对端记得镜像配置
acl 3000
rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168
.20.0 0.0.0.255
IKE配置
建立第一阶段,协商ike sa
创建ike并配置相关参数,参数内容不多概述,同样的对端镜像配置,注意预共享密钥和算法两端要保持一致
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
指定对端,不多说
ike peer xxx
ike-proposal 1 //绑定ike
exchange-mode auto//选择模式
pre-shared-key xxx//配置预共享密钥
IPSEC安全提议配置
建立第二阶段,协商ipsec sa
ipsec proposal prop1512125577
transform esp//选择传输模式为esp
esp authentication-algorithm sha2-256//使用的加密算法
esp encryption-algorithm aes-256
整合配置
将ike sa和ipsec合并,并调节相关参数,有点像配无线的时候,一块一块配,最后一块一块调用
ipsec policy ipsec1512125476 1 isakmp//整合绑定ike,ipsec
security acl 3000
ike-peer ike1512125577
proposal prop1512125577
tunnel local applied-interface
alias IPsec
sa trigger-mode auto
sa duration traffic-based 10485760
sa duration time-based 3600 //设置检验时间
interface g1/0/1
ipsec policy ipsec1512125476//接口调用ipsec
配置nat与放行策略
确保ipsec流量可通,配置相关策略放行
nat-policy
rule name ipsec
source-zone trust
destination-zone untrust
source-address 192.168.20.0 mask 255.255.255.0
destination-address 192.168.10.0 mask 255.255.255.0
action no-nat
rule name GuideNat1736945912544
egress-interface GigabitEthernet1/0/1
action source-nat easy-ipsecurity-policy
default action permit
rule name GuideNat1736945912544
description NAT策略(GuideNat1736945912544)引入
source-zone trust
destination-zone untrust
action permit
rule name ipsec
description IPSec策略(IPsec)引入
source-zone local
destination-zone untrust
source-address 20.0.0.2 mask 255.255.255.255
destination-address 16.16.16.2 mask 255.255.255.255
service udp
action permit实验效果
最后让我们来看看效果
如图ping下对端看看,显然是可以通的,直接解决该公司上网需求
![[c语言日寄]精英怪:三子棋(tic-tac-toe)3命慢通[附免费源码]](https://i-blog.csdnimg.cn/direct/ebf60ece369f43c8b3d7942815cee38b.png)
