1.防火墙配置IPSec,接口、路由、流量放行、ACL感兴趣流等配置略,见上篇主模式。
(1)配置FW1,FW1作为发起方,与主模式配置的区别在 ike profile 部分。
<FW2>sys
#配置本端名称
[FW1]ike identity fqdn fw1
#配置ike安全提议,认证方式、认证算法、加密算法
[FW1]ike proposal 1
[FW1-ike-proposal-1]authentication-method pre-share
[FW1-ike-proposal-1]authentication-algorithm sha
[FW1-ike-proposal-1]encryption-algorithm 3des-cbc
[FW1-ike-proposal-1]quit
#配置ike keychain ,此处需要指明对端IP地址
[FW1]ike keychain 1
[FW1-ike-keychain-1]pre-shared-key address 55.1.1.2 key simple a123456789
[FW1-ike-keychain-1]quit
#配置ike profile
[FW1]ike profile 1
#配置交换模式为野蛮模式
[FW1-ike-profile-1]exchange-mode aggressive
#配置需匹配的对端名称
[FW1-ike-profile-1]match remote identity fqdn fw2
#引用ike-keychain和安全提议
[FW1-ike-profile-1]keychain 1
[FW1-ike-profile-1]proposal 1
[FW1-ike-profile-1]quit
#配置ipsec安全提议
[FW1]ipsec transform-set 1
[FW1-ipsec-transform-set-1]esp authentication-algorithm sha1
[FW1-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc
[FW1-ipsec-transform-set-1]quit
#配置ipsec策略
[FW1]ipsec policy 1 1 isakmp
#配置对端地址
[FW1-ipsec-policy-isakmp-1-1]remote-address 55.1.1.2
#引用感兴趣流
[FW1-ipsec-policy-isakmp-1-1]security acl 3001
#引用ipsec安全提议
[FW1-ipsec-policy-isakmp-1-1]transform-set 1
#引用ike配置
[FW1-ipsec-policy-isakmp-1-1]ike-profile 1
[FW1-ipsec-policy-isakmp-1-1]quit
#在接口中应用ipsec策略
[FW1]interface gigabitethernet 1/0/1
[FW1-GigabitEthernet1/0/1]ipsec apply policy 1
[FW1-GigabitEthernet1/0/1]quit
[FW1]save force
(2)配置FW2,FW2作为响应方,并不清楚FW1的地址,配置ipsec 策略时,需使用模版。且在ike keychain ike profile 中需使用发起方FW1的fqdn名称。
<FW2>sys
#配置本端名称
[FW2]ike identity fqdn fw2
#配置ike安全提议,认证方式、认证算法、加密算法
[FW2]ike proposal 1
[FW2-ike-proposal-1]authentication-method pre-share
[FW2-ike-proposal-1]authentication-algorithm sha
[FW2-ike-proposal-1]encryption-algorithm 3des-cbc
[FW2-ike-proposal-1]quit
#配置ike keychain ,因野蛮模式下,响应方不清楚对端地址,此处使用对端的fqdn名称
[FW2]ike keychain 1
[FW2-ike-keychain-1]pre-shared-key host fw1 key simple a123456789
[FW2-ike-keychain-1]quit
#配置ike profile
[FW2]ike profile 1
#配置交换模式为野蛮模式
[FW2-ike-profile-1]exchange-mode aggressive
#配置需匹配的对端名称
[FW2-ike-profile-1]match remote identity fqdn fw1
#引用ike-keychain和安全提议
[FW2-ike-profile-1]proposal 1
[FW2-ike-profile-1]keychain 1
[FW2-ike-profile-1]quit
#配置ipsec安全提议
[FW2]ipsec transform-set 1
[FW2-ipsec-transform-set-1]esp authentication-algorithm sha1
[FW2-ipsec-transform-set-1]esp encryption-algorithm 3des-cbc
[FW2-ipsec-transform-set-1]quit
#野蛮模式下,响应方不清楚对端地址,需配置模版
[FW2]ipsec policy-template moban 1
#引用感兴趣流
[FW2-ipsec-policy-template-moban-1]security acl 3001
#引用ipsec安全提议
[FW2-ipsec-policy-template-moban-1]transform-set 1
#引用ike配置
[FW2-ipsec-policy-template-moban-1]ike-profile 1
[FW2-ipsec-policy-template-moban-1]quit
#配置ipsec策略,使用模版
[FW2]ipsec policy 1 1 isakmp template moban
#在接口中应用ipsec策略
[FW2]in gi 1/0/1
[FW2-GigabitEthernet1/0/1]ipsec apply policy 1
[FW2-GigabitEthernet1/0/1]quit
[FW2]save force
2.路由器R1的配置见上篇主模式
3.PC配置略。
4.测试。
此时隧道还未建立,先通过PC2 ping PC1,发现无法连通;通过PC1 ping PC2,可连通,此时再通过PC2 ping PC1,可连通。因FW1为隧道的发起方,FW1知道响应方的地址信息,隧道建立后,PC2 ping PC1时,可通过已建立的隧道完成数据交互。