神州防火墙和路由器IPSecVPN
实验环境(网络建设与运维国赛样题):
题目:
FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现loopback4之间的加密访问。
解法:
1)进入防火墙的web界面,根据题意设置:
2)打开终端配置防火墙
tunnel gre GRE-1
interface e0/3
source 200.200.200.2
destination 200.200.200.6
next-tunnel ipsec IPSecVPN
exit
#创建隧道名称,并配置出接口,源目IP地址以及刚刚在防火墙页面配置的IPSec VPN
interface t4
tunnel gre GRE-1
exit
#在接口下调用
ip vrouter trust-vr
ip route 10.1.6.4/32 t4
ip route 0.0.0.0/0 200.200.200.1
exit
#创建到达RT2loopback4地址的静态路由以及默认路由
3)配置路由器
ip route 10.1.7.4 255.255.255.255 t4
ip route 0.0.0.0 0.0.0.0 200.200.200.5
#配置到达FW1loopback4地址的静态路由以及默认路由
crypto isakmp key 0 123456 address 200.200.200.2 255.255.255.255
#共享密钥
crypto isakmp peer address 200.200.200.2
#对端(FW1外网接口)的地址
crypto isakmp policy 1
authentication pre-share
encryption 3des
lifetime 86400
!
crypto ipsec transform-set SET-1 esp-3des esp-sha-hmac
!
ip access-list extended ACL-VPN
permit gre 200.200.200.6 255.255.255.255 200.200.200.2 255.255.255.255
!
crypto map MAP-1 1 ipsec-isakmp
match address ACL-VPN
set peer 200.200.200.2
set transform-set SET-1
!
#创建IPSecVPN,与防火墙的配置相对应
int g0/3
crypto map MAP-1
!
int t4
tunnel source g0/3
tunnel destination 200.200.200.2
!
#接口下调用