集团路由器与郑州办事处防火墙之间使用与Internet的接口互联地址建立GRE隧道,再使用 IPSEC 技术对 GRE 隧道进行保护,使用 IKE 协商 IPSec 安全联盟、交换 IPSec密钥,两端加密访问列表名称都为 ipsecacl,这样有了 IPSec,郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全上传郑州办事处相关销售业务数据。
配置如下:(不展示基础配置)
"RT-1配置:"
RT-1_config#crypto isakmp key cisco 202.99.192.66 //配置对端与预共享密钥
RT-1_config#crypto isakmp policy 10 //配置ISAKMP策略,10号
RT-1_config_isakmp#encryption 3des //加密算法为3des
RT-1_config_isakmp#authentication pre-share //验证方式为预共享密钥
RT-1_config_isakmp#hash md5 //验证算法为MD5
RT-1_config_isakmp#group 2 //DH组2
RT-1_config_isakmp#exi
RT-1_config#
RT-1_config#crypto ipsec transform-set lalala //配置IPSec策略的变换集
RT-1_config_crypto_trans#mode transport //传输模式
RT-1_config_crypto_trans#transform-type esp-3des esp-md5-hmac //使用ESP封装、3des加密、MD5验证
RT-1_config_crypto_trans#exi
RT-1_config#
RT-1_config#ip access-list extended ipsecacl //配置感兴趣流
RT-1_config_ext_nacl#permit gre 202.99.192.1 255.255.255.255 202.99.192.66 255.255.255.255
RT-1_config_ext_nacl#exi
RT-1_config#
RT-1_config#crypto map mymap 10 ipsec-isakmp //配置加密映射表,IPSEC通过ISAKMP协商
RT-1_config_crypto_map#set peer 202.99.192.66 //指定对端
RT-1_config_crypto_map#set pfs group2 //指定Group组
RT-1_config_crypto_map#set transform-set lalala //指定变换集
RT-1_config_crypto_map#match address ipsecacl //匹配感兴趣流
RT-1_config_crypto_map#exi
RT-1_config#
RT-1_config#interface tunnel 1
RT-1_config_t1#ip address 10.30.254.33 255.255.255.252
RT-1_config_t1#tunnel source 202.99.192.1 //隧道源
RT-1_config_t1#tunnel destination 202.99.192.66 //隧道目的
RT-1_config_t1#no shut
RT-1_config_t1#exi
RT-1_config#
RT-1_config#interface gigaEthernet 0/6
RT-1_config_g0/6#crypto map mymap //在出接口应用加密映射表
RT-1_config_g0/6#exi
RT-1_config#
FW-2 WEB界面配置如下:
IKEv1协商
注:提议中的所有参数两端(路由器与防火墙)必须一致
IPSEC VPN导入配置
创建隧道,传输模式
注:手动修改代理ID,为GRE隧道的源与目的
FW-2 命令行配置如下:
"FW-2配置:"
FW-2(config)#isakmp peer peer
FW-2(config-isakmp-peer)#accept-all-peer-id //允许与所有ID建立链接
FW-2(config-isakmp-peer)#exi
FW-2(config)#
FW-2(config)#tunnel ipsec mypeer auto
FW-2(config-tunnel-ipsec-auto)#accept-all-proxy-id //启用接受对端ID功能
FW-2(config-tunnel-ipsec-auto)#auto-connect //使能自动链接
FW-2(config-tunnel-ipsec-auto)#exit
FW-2(config)#
FW-2(config)#tunnel gre mygre //创建GRE隧道
FW-2(config-tunnel-gre)#source 202.99.192.66 //指定隧道源
FW-2(config-tunnel-gre)#destination 202.99.192.1 //指定隧道目的
FW-2(config-tunnel-gre)#interface ethernet0/1 //指定出接口
FW-2(config-tunnel-gre)#next-tunnel ipsec mypeer //指定IPsec
FW-2(config-tunnel-gre)#exit
FW-2(config)#interface tunnel1
FW-2(config-if-tun1)#zone untrust
FW-2(config-if-tun1)#ip address 10.30.254.34/30
FW-2(config-if-tun1)#no shut
FW-2(config-if-tun1)#manage ping //允许ping
FW-2(config-if-tun1)#tunnel gre mygre //绑定GRE