- 实验要求:
- 总部需要通过VPN与分支和合作伙伴进行通信
- WEB服务器对外提供的IP地址为69.1.1.100
- FW部署Easy-ip实现访问公网FTP服务
- 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。
- 手工方式建立IPSec隧道需要手工配置各项参数:
- 安全参数索引,使用ESP协议的安全联盟的参数
- 入方向安全联盟的SPI为11111
- 出方向安全联盟的SPI为11111。
- 安全联盟的认证密钥,使用ESP协议的安全联盟的参数,
- 入方向安全联盟的认证密钥为字符串12345;
- 出方向安全联盟的认证密钥为字符串12345
- FW部署Easy-ip实现访问公网client4(ping)
- 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。
- 地址要求:隧道IP地址范围为172.16.12.0/24
- FW部署部署Easy-ip实现访问公网FTP服务
- 所有的客户端可以通过公网IP地址来访问WEB服务器
注:所有的通信使用静态路由来保证。
- 实验拓扑
- 实验配置(display current-configuration的内容)
- 防火墙安全区域划分(包括Tunnel接口)
HQ:
trust GigabitEthernet1/0/0 # untrust GigabitEthernet1/0/2 GigabitEthernet1/0/3 Tunnel1 # dmz GigabitEthernet1/0/1 # |
Partner:
trust GigabitEthernet1/0/0 # untrust GigabitEthernet1/0/1 Tunnel1 |
Branch:
trust GigabitEthernet1/0/0 # untrust GigabitEthernet1/0/1 |
2. 静态路由
HQ:
ip route-static 7.7.7.0 255.255.255.0 69.1.1.2 ip route-static 8.8.8.0 255.255.255.0 68.1.1.2 ip route-static 10.1.10.0 255.255.255.0 Tunnel1 ip route-static 10.1.20.0 255.255.255.0 68.1.1.2 ip route-static 111.1.1.0 255.255.255.0 69.1.1.2 ip route-static 112.1.1.0 255.255.255.0 68.1.1.2 |
Partner:
ip route-static 7.7.7.0 255.255.255.0 111.1.1.2 ip route-static 10.1.1.0 255.255.255.0 Tunnel1 ip route-static 10.1.2.0 255.255.255.0 111.1.1.2 ip route-static 69.1.1.0 255.255.255.0 111.1.1.2 |
Branch:
ip route-static 8.8.8.0 255.255.255.0 112.1.1.2 ip route-static 10.1.1.0 255.255.255.0 112.1.1.2 ip route-static 10.1.2.0 255.255.255.0 112.1.1.2 ip route-static 68.1.1.0 255.255.255.0 112.1.1.2 |
ISP2:
ip route-static 69.1.1.0 24 68.1.1.1 |
3. GRE配置
HQ:
interface Tunnel1 ip address 172.16.12.1 255.255.255.0 tunnel-protocol gre source 69.1.1.1 destination 111.1.1.1< |