在防火墙之间建立IPSec隧道,使用ISKMP方式
FW1
建立ipsec隧道加密流量
1、在双方防火墙上定义需要的流量
acl number 3000
rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255
(FW2的流量也要保持相对应)
2、创建IPSec安全提议
ipsec proposal 1
esp authentication-algorithm sha2-256配置安全协议(ESP)的认证/加密算法
esp encryption-algorithm aes-256
3、定义建立隧道所需要的算法(两边一致)
创建一个IKE安全提议
ike proposal 1
4、建立IKE对等体
ike peer FW2
undo version 2
- 缺省情况下,IKEv1阶段1协商模式为主模式。
● 主模式:提供身份保护。
● 野蛮模式:协商速度更快,但不提供身份保护。
● 自适应模式:当设备作为IKE协商发起端时,采用主模式协商;当设备作为接收端
时,可以接受主模式和野蛮模式两种协商模式。pre-shared-key shiliu@123 配置身份认证参数
ike-proposal 1 引用IKE安全提议
remote-address 200.1.1.97
local-address 200.1.1.41(可选)
5、创建ISAKMP方式IPSec安全策略
ipsec policy zhangsan 10 isakmp
security acl 3000
ike-peer FW2
proposal 1
6、出接口应用策略
interface GigabitEthernet1/0/1
ip address 200.1.1.41 255.255.255.252
ipsec policy zhangsan
注意:
防火墙的安全策略放行了所有:
security-policy
default action permit