【DCFW-1800与DCR-2655 GRE Over IPSec VPN】曾经让我拿下广东省一的独门绝技

已于 2024-07-28 14:25:17 修改
阅读量67 收藏 1
点赞数 5
分类专栏: 网工 文章标签: 网络 计算机网络 运维
于 2024-07-28 14:25:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45498884/article/details/140750272
版权

在这里插入图片描述
集团路由器与郑州办事处防火墙之间使用与Internet的接口互联地址建立GRE隧道,再使用 IPSEC 技术对 GRE 隧道进行保护,使用 IKE 协商 IPSec 安全联盟、交换 IPSec密钥,两端加密访问列表名称都为 ipsecacl,这样有了 IPSec,郑州办事处通过静态路由协议访问集团销售网段在通过运营商网络传输时,就不用担心被监视、篡改和伪造,可以安全上传郑州办事处相关销售业务数据。

配置如下:(不展示基础配置)

"RT-1配置:"
RT-1_config#crypto isakmp key cisco 202.99.192.66 //配置对端与预共享密钥
RT-1_config#crypto isakmp policy 10 //配置ISAKMP策略,10号
RT-1_config_isakmp#encryption 3des //加密算法为3des
RT-1_config_isakmp#authentication pre-share //验证方式为预共享密钥 
RT-1_config_isakmp#hash md5 //验证算法为MD5
RT-1_config_isakmp#group 2 //DH组2
RT-1_config_isakmp#exi
RT-1_config#
RT-1_config#crypto ipsec transform-set lalala //配置IPSec策略的变换集
RT-1_config_crypto_trans#mode transport //传输模式
RT-1_config_crypto_trans#transform-type esp-3des esp-md5-hmac //使用ESP封装、3des加密、MD5验证
RT-1_config_crypto_trans#exi
RT-1_config#
RT-1_config#ip access-list extended ipsecacl //配置感兴趣流
RT-1_config_ext_nacl#permit gre 202.99.192.1 255.255.255.255 202.99.192.66 255.255.255.255
RT-1_config_ext_nacl#exi
RT-1_config#
RT-1_config#crypto map mymap 10 ipsec-isakmp  //配置加密映射表,IPSEC通过ISAKMP协商
RT-1_config_crypto_map#set peer 202.99.192.66 //指定对端
RT-1_config_crypto_map#set pfs group2 //指定Group组
RT-1_config_crypto_map#set transform-set lalala //指定变换集
RT-1_config_crypto_map#match address ipsecacl //匹配感兴趣流
RT-1_config_crypto_map#exi
RT-1_config#
RT-1_config#interface tunnel 1
RT-1_config_t1#ip address 10.30.254.33 255.255.255.252
RT-1_config_t1#tunnel source 202.99.192.1 //隧道源
RT-1_config_t1#tunnel destination 202.99.192.66 //隧道目的
RT-1_config_t1#no shut
RT-1_config_t1#exi
RT-1_config#
RT-1_config#interface gigaEthernet 0/6
RT-1_config_g0/6#crypto map mymap //在出接口应用加密映射表
RT-1_config_g0/6#exi
RT-1_config#

FW-2 WEB界面配置如下:

IKEv1协商
IKEv1协商
注:提议中的所有参数两端(路由器与防火墙)必须一致
IPSEC VPN导入配置
IPSEC VPN导入配置
创建隧道,传输模式
创建隧道,传输模式
注:手动修改代理ID,为GRE隧道的源与目的

FW-2 命令行配置如下:

"FW-2配置:"
FW-2(config)#isakmp peer peer 
FW-2(config-isakmp-peer)#accept-all-peer-id //允许与所有ID建立链接
FW-2(config-isakmp-peer)#exi
FW-2(config)#
FW-2(config)#tunnel ipsec mypeer auto 
FW-2(config-tunnel-ipsec-auto)#accept-all-proxy-id  //启用接受对端ID功能
FW-2(config-tunnel-ipsec-auto)#auto-connect  //使能自动链接
FW-2(config-tunnel-ipsec-auto)#exit
FW-2(config)#
FW-2(config)#tunnel gre mygre //创建GRE隧道
FW-2(config-tunnel-gre)#source 202.99.192.66 //指定隧道源
FW-2(config-tunnel-gre)#destination 202.99.192.1 //指定隧道目的
FW-2(config-tunnel-gre)#interface ethernet0/1   //指定出接口
FW-2(config-tunnel-gre)#next-tunnel ipsec mypeer  //指定IPsec
FW-2(config-tunnel-gre)#exit
FW-2(config)#interface tunnel1
FW-2(config-if-tun1)#zone untrust 
FW-2(config-if-tun1)#ip address 10.30.254.34/30
FW-2(config-if-tun1)#no shut
FW-2(config-if-tun1)#manage ping //允许ping
FW-2(config-if-tun1)#tunnel gre mygre //绑定GRE
Uncle 城
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
神州数码DCFW-1800系列防火墙设备密码与配置恢复方法
jssqhuier的博客
09-28 4483
神州数码DCFW-1800系列防火墙设备密码与配置恢复方法,防火墙不清空配置重新设置密码方法 神州数码DCFW-1800系列防火墙默认不提供重置密码的方法,这个有点不方便。防火墙忘记密码怎么办?通过"Boot OS"重置防火墙密码而不影响配置文件,下面的提供的操作方法安全可靠,经亲身实践是可行的,希望能帮到有需要的人。 一、打开超级终端建立连接 用标准的RS-232线缆连接交换机上console接口和电脑串口,打开 putty_v0.6.0 超级终端建立连接。 二、防火墙加电重启等待出现“Boot OS…”
神州数码DCFW-1800系列安全网关命令手册_4.0R4C6.pdf
05-11
本文档中的内容是神州数码 DCFW-1800 安全网关命令手册。本材料的相关权力归神州数码网 络有限公司所有。文档中的任何部分未经本公司许可,不得转印、影印或复印。 由于产品版本升级或其它原因本文档内容会不定期...
神州数码防火墙:DCFW-1800系列防火墙配置
YueXuan_521的博客
05-21 426
神州数码防火墙:DCFW-1800系列防火墙配置。 默认管理员帐号与密码: 系统出厂时,预设的管理员用户名为 admin,对应的初始密码也是 admin。 默认管理口: 防火墙出厂默认设置中,用于进行设备管理和配置的第一个接口是E1口。如果设备上没有明确标记为E1的端口,则可能是GE1或S1G1口,这些名称都代表了防火墙上的第一个以太网管理接口。 默认IP地址及子网掩码: E1接口出厂时已配置了一个固定的管理IP地址:192.168.1.1,并且使用的子网掩码为 255.255.255.0。这意味着它
神州数码-DCFW-1800原理及配置
weixin_64717288的博客
11-25 2754
神州数码防火墙DCFW-1800原理配置
DCN(DCFW-1800)防火墙ospf简单配置
LYHyyds1013的博客
05-29 5409
拓扑图: Sw-1 Sw-1(config)#vlan 4 Sw-1(config-vlan4)#switchport interface ethernet 1/0/1 Sw-1(config)#vlan 5 Sw-1(config-vlan5)#switchport interface ethernet 1/0/2 Sw-1(config)#interface vlan 4 Sw-1(config-if-vlan4)#ip address 10.1.10.2 255.2...
DCFW-1800S-H-V2防火墙配置手册.pdf
10-23
DCFW-1800S-H-V2防火墙配置手册
神州数码实战平台操作手册DCFW-1800-SDC-1
04-10
《神州数码实战平台操作手册DCFW-1800-SDC-1》是一份详尽的指南,专为用户提供关于神州数码实战平台的操作指导。该手册覆盖了平台的各项功能和使用步骤,旨在帮助用户更好地理解和操作这个先进的IT解决方案。 神州...
神州数码 DCFW-1800S&E-UTM配置参考手册
12-03
### 知识点一:神州数码 DCFW-1800S&E-UTM 统一威胁管理系统 #### 1. **系统架构与组件** 神州数码 DCFW-1800S&E-UTM 统一威胁管理系统是专为企业级用户设计的安全解决方案,其系统架构包括多个关键组件: - **域...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 249
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 633
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 961
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 842
使用WebSocket协议调用群发方法将消息返回客户端页面
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1116
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 933
DNS概述。
计算机网络】OSPF单区域实验
m0_65787507的博客
07-26 761
DR和BDR是由同一网段中所有的路由器根据路由优先级和Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。如果DR或BDR失效,或者有新的路由器加入网络并希望成为DR或BDR,那么它们将参与新的选举过程。4:非DR路由器将自己的LSA发送给DR,然后DR将这些LSA泛洪到整个区域,使所有路由器获得一致的LSDB,从而确保区域内路由器都能计算出相同的最短路径树。
通信原理-思科实验五:家庭终端以太网接入Internet实验
sinat_39522506的博客
07-24 349
实验五 家庭终端以太网接入Internet实验。接着配置IP地址池和虚拟模板 开启宽带拨号。1.按照上图选择对应的设备,并连接起来。5.为路由器R1配置静态路由项。7.完成终端PC2 IP配置。
Hyperledger Fabric 网络体验 - 网络启动过程概览
ALONG的博客
07-25 470
作为第一次Fabric网络体验,网络启动主要包含三个操作,分别是生成配置文件、启动网络和操作网络。执行完指令能看到fabric已经启动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值