建立点到多点的IPSec隧道(IKE安全策略方式)

news2024/11/15 7:50:18

目录

  • 1. 组网需求
    • 1.1 网络拓扑
    • 1.2 配置思路
    • 1.3 版本
  • 2. 配置USG5500 A
    • 2.1 基本配置
    • 2.2 配置域间包过滤规则
    • 2.3 配置到达分支的静态路由
    • 2.4 定义被保护的数据流
    • 2.5 配置名称为tran1的IPSec安全提议
    • 2.6 配置序号为10的IKE安全提议
    • 2.7 配置IKE Peer
    • 2.8 配置IPSec安全策略组map1
    • 2.9 在接口G/0/1上应用安全策略组map1
  • 3. 配置USG5500 B
    • 3.1 基本配置
    • 3.2 配置域间包过滤规则
    • 3.3 配置到达总部的静态路由
    • 3.4 定义被保护的数据流
    • 3.5 配置名称为tran1的IPSec安全提议
    • 3.6 配置序号为10的IKE安全提议
    • 3.7 配置名称为a的IKE peer
    • 3.8 配置名称为map1序号为10的安全策略
    • 3.9 在接口G/0/1上应用安全策略组map1
  • 4. 配置USG5500 C
  • 5. 查看结果
    • 5.1 查看PC互通
    • 5.2 抓包查看IPSec建立
    • 5.3 IKE peer默认开启NAT穿越
    • 5.4 查看防火墙会话
    • 5.5 查看IKE sa
    • 5.6 PC2到PC3的ping
    • 5.7 PC2、PC3通过USG5500A进行安全通信

1. 组网需求

公司总部(网络A)和两个分公司(网络B、网络C)分别通过USG5500 A、USG5500 B和USG5500 C连接到Internet。USG5500 A和USG5500 B、USG5500 C路由可达。

1.1 网络拓扑

在这里插入图片描述

  • 主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500 A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。
  • USG5500A与USG5500B、USG5500C均为固定公网地址。

1.2 配置思路

  1. 基本配置,包括配置接口IP地址,将接口加入相应的安全区域。
  2. 配置公网路由, 一般情况下,防火墙上配置静态路由。
  3. 通过配置ACL规则组来定义需要保护的数据流。
  4. 配置包过滤。
  5. 配置IPSec安全提议。
  6. 配置IKE安全提议。
  7. 配置IKE Peer。
  8. 配置IPSec安全策略。
  9. 应用IPSec安全策略。

1.3 版本

模拟器:
在这里插入图片描述
防火墙:
在这里插入图片描述
路由器:
在这里插入图片描述

2. 配置USG5500 A

2.1 基本配置

配置接口IP地址

<USG5500A> system-view
[USG5500A] interface GigabitEthernet 0/0/2
[USG5500A-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[USG5500A-GigabitEthernet0/0/2] quit
[USG5500A] interface GigabitEthernet 0/0/1
[USG5500A-GigabitEthernet0/0/1] ip address 200.1.1.1 30
[USG5500A-GigabitEthernet0/0/1] quit

配置接口加入相对应安全区域

[USG5500A] firewall zone trust
[USG5500A-zone-trust] add interface GigabitEthernet 0/0/2
[USG5500A-zone-trust] quit
[USG5500A] firewall zone untrust
[USG5500A-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5500A-zone-untrust] quit

2.2 配置域间包过滤规则

打开Trust域与Untrust域的域间过滤规则

[USG5500A] policy interzone trust untrust outbound
[USG5500A-policy interzone trust untrust outbound] policy 1
[USG5500A-policy interzone trust untrust outbound-1] policy source 10.1.1.0 0.0.0.255
[USG5500A-policy interzone trust untrust outbound-1] policy destination 10.1.2.0 0.0.0.255
[USG5500A-policy interzone trust untrust outbound-1] policy destination 10.1.3.0 0.0.0.255
[USG5500A-policy interzone trust untrust outbound-1] action permit
[USG5500A-policy interzone trust untrust outbound-1] quit

[USG5500A] policy interzone trust untrust inbound
[USG5500A-policy interzone trust untrust inbound] policy 1
[USG5500A-policy interzone trust untrust inbound-1] policy source 10.1.2.0 0.0.0.255
[USG5500A-policy interzone trust untrust inbound-1] policy source 10.1.3.0 0.0.0.255
[USG5500A-policy interzone trust untrust inbound-1] policy destination 10.1.1.0 0.0.0.255
[USG5500A-policy interzone trust untrust inbound-1] action permit
[USG5500A-policy interzone trust untrust inbound-1] quit

打开Local域与Untrust域的域间过滤规则

[USG5500A] policy interzone local untrust inbound
[USG5500A-policy interzone local untrust inbound] policy 1
[USG5500A-policy interzone local untrust inbound-1] policy source 200.1.2.0 0.0.0.3
[USG5500A-policy interzone local untrust inbound-1] policy source 200.1.3.0 0.0.0.3
[USG5500A-policy interzone local untrust inbound-1] action permit
[USG5500A-policy interzone local untrust inbound-1] quit

说明:

  • 配置Local域和Untrust域的域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够进行隧道协商。

2.3 配置到达分支的静态路由

[USG5500A] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

2.4 定义被保护的数据流

配置高级ACL 3000,定义总部到网络B的数据流

[USG5500A] acl 3000
[USG5500A-acl-adv-3000] rule permit ip source 10.1.0.0 0.0.255.255 destination 10.1.2.0 0.0.0.255
[USG5500A-acl-adv-3000] quit

配置高级ACL 3001,定义总部到网络C的数据流

[USG5500A] acl 3001
[USG5500A-acl-adv-3001] rule permit ip source 10.1.0.0 0.0.255.255 destination 10.1.3.0 0.0.0.255
[USG5500A-acl-adv-3001] quit

说明:

  • 为了实现分支的互通,高级ACL的源地址(Source)定义为包括总部和分支的所有网段,目的地址(Destination)定义为各个分支的精确网段。

2.5 配置名称为tran1的IPSec安全提议

[USG5500A] ipsec proposal tran1
[USG5500A-ipsec-proposal-tran1] encapsulation-mode tunnel
[USG5500A-ipsec-proposal-tran1] transform esp
[USG5500A-ipsec-proposal-tran1] esp authentication-algorithm md5
[USG5500A-ipsec-proposal-tran1] esp encryption-algorithm des
[USG5500A-ipsec-proposal-tran1] quit

或者简单配置:
[USG5500A] ipsec proposal tran1
[USG5500A-ipsec-proposal-tran1] quit

在这里插入图片描述
说明:

  • 其中的ESP为默认的安全协议,Tunnel为默认的封装模式,可以不配置。MD5为ESP默认的认证算法,DES为ESP默认的加密算法,可以不配置。

2.6 配置序号为10的IKE安全提议

[USG5500A] ike proposal 10
[USG5500A-ike-proposal-10] authentication-method pre-share
[USG5500A-ike-proposal-10] authentication-algorithm sha1
[USG5500A-ike-proposal-10] quit

或者简单配置:
[USG5500A] ike proposal 10
[USG5500A-ike-proposal-10] quit

在这里插入图片描述

说明:

  • pre-shared-key验证方法为IKE默认的验证方法,SHA1为默认验证算法,可以不配置。

2.7 配置IKE Peer

配置名称为b的IKE Peer

[USG5500A] ike peer b
[USG5500A-ike-peer-b] ike-proposal 10
[USG5500A-ike-peer-b] remote-address 200.1.2.1
[USG5500A-ike-peer-b] pre-shared-key abcde
[USG5500A-ike-peer-b] quit

配置名称为c的IKE Peer

[USG5500A] ike peer c
[USG5500A-ike-peer-b] ike-proposal 10
[USG5500A-ike-peer-b] remote-address 200.1.3.1
[USG5500A-ike-peer-b] pre-shared-key abcde
[USG5500A-ike-peer-b] quit

说明:

  • USG5500同时开启IKEv1和IKEv2,缺省情况下采用IKEv2进行协商,若对端不支持IKEv2,请禁用IKEv2,采用IKEv1进行协商。请在IKE
    Peer视图下执行命令[ undo ] version { 1 | 2 }进行配置。

  • 隧道对端IP地址分别为USG5500 B、USG5500 C与Internet相连的接口的IP地址。

  • 验证字的配置需要与对端设备相同。

2.8 配置IPSec安全策略组map1

配置序号为10的安全策略

[USG5500A] ipsec policy map1 10 isakmp
[USG5500A-ipsec-policy-isakmp-map1-10] security acl 3000
[USG5500A-ipsec-policy-isakmp-map1-10] proposal tran1
[USG5500A-ipsec-policy-isakmp-map1-10] ike-peer b
[USG5500A-ipsec-policy-isakmp-map1-10] quit

配置序号为20的安全策略

[USG5500A] ipsec policy map1 20 isakmp
[USG5500A-ipsec-policy-isakmp-map1-20] security acl 3001
[USG5500A-ipsec-policy-isakmp-map1-20] proposal tran1
[USG5500A-ipsec-policy-isakmp-map1-20] ike-peer c
[USG5500A-ipsec-policy-isakmp-map1-20] quit

2.9 在接口G/0/1上应用安全策略组map1

[USG5500A] interface GigabitEthernet 0/0/1
[USG5500A-GigabitEthernet0/0/1] ipsec policy map1
[USG5500A-GigabitEthernet0/0/1] quit

3. 配置USG5500 B

3.1 基本配置

配置接口IP地址

<USG5500B> system-view
[USG5500B] interface GigabitEthernet 0/0/2
[USG5500B-GigabitEthernet0/0/2] ip address 10.1.2.1 24
[USG5500B-GigabitEthernet0/0/2] quit
[USG5500B] interface GigabitEthernet 0/0/1
[USG5500B-GigabitEthernet0/0/1] ip address 200.1.2.1 30
[USG5500B-GigabitEthernet0/0/1] quit

配置接口加入相对应安全区域

[USG5500B] firewall zone trust
[USG5500B-zone-trust] add interface GigabitEthernet 0/0/2
[USG5500B-zone-trust] quit
[USG5500B] firewall zone untrust
[USG5500B-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5500B-zone-untrust] quit

3.2 配置域间包过滤规则

打开Trust域与Untrust域的域间过滤规则

[USG5500B] policy interzone trust untrust outbound
[USG5500B-policy interzone trust untrust outbound] policy 1
[USG5500B-policy interzone trust untrust outbound-1] policy source 10.1.2.0 0.0.0.255
[USG5500B-policy interzone trust untrust outbound-1] policy destination 10.1.0.0 0.0.255.255
[USG5500B-policy interzone trust untrust outbound-1] action permit
[USG5500B-policy interzone trust untrust outbound-1] quit

[USG5500B] policy interzone trust untrust inbound
[USG5500B-policy interzone trust untrust inbound] policy 1
[USG5500B-policy interzone trust untrust inbound-1] policy source 10.1.0.0 0.0.255.255
[USG5500B-policy interzone trust untrust inbound-1] policy destination 10.1.2.0 0.0.0.255
[USG5500B-policy interzone trust untrust inbound-1] action permit
[USG5500B-policy interzone trust untrust inbound-1] quit

打开Local域与Untrust域的域间过滤规则

[USG5500B] policy interzone local untrust inbound
[USG5500B-policy interzone local untrust inbound] policy 1
[USG5500B-policy interzone local untrust inbound-1] policy source 200.1.1.0 0.0.0.3
[USG5500B-policy interzone local untrust inbound-1] action permit
[USG5500B-policy interzone local untrust inbound-1] quit

说明:

  • 配置Local域和Untrust域的域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够进行隧道协商。

3.3 配置到达总部的静态路由

[USG5500B] ip route-static 0.0.0.0 0.0.0.0 200.1.2.2

3.4 定义被保护的数据流

配置高级ACL 3000,定义总部到网络B的数据流

[USG5500B] acl 3000
[USG5500B-acl-adv-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.0.0 0.0.255.255
[USG5500B-acl-adv-3000] quit

说明:

  • 为了实现和总部及分支的通信,Source定义为分支节点的精确网段,Destination定义为总部和分支的所有网段。

3.5 配置名称为tran1的IPSec安全提议

[USG5300B] ipsec proposal tran1
[USG5300B-ipsec-proposal-tran1] encapsulation-mode tunnel
[USG5300B-ipsec-proposal-tran1] transform esp
[USG5300B-ipsec-proposal-tran1] esp authentication-algorithm md5
[USG5300B-ipsec-proposal-tran1] esp encryption-algorithm des
[USG5300B-ipsec-proposal-tran1] quit

3.6 配置序号为10的IKE安全提议

[USG5300B] ike proposal 10 
[USG5300B-ike-proposal-10] authentication-method pre-share 
[USG5300B-ike-proposal-10] authentication-algorithm sha1 
[USG5300B-ike-proposal-10] quit

3.7 配置名称为a的IKE peer

[USG5300B] ike peer a 
[USG5300B-ike-peer-a] ike-proposal 10 
[USG5300B-ike-peer-a] remote-address 200.1.1.1 
[USG5300B-ike-peer-a] pre-shared-key abcde 
[USG5300B-ike-peer-a] quit

3.8 配置名称为map1序号为10的安全策略

[USG5300B] ipsec policy map1 10 isakmp 
[USG5300B-ipsec-policy-isakmp-map1-10] security acl 3000 
[USG5300B-ipsec-policy-isakmp-map1-10] proposal tran1 
[USG5300B-ipsec-policy-isakmp-map1-10] ike-peer a 
[USG5300B-ipsec-policy-isakmp-map1-10] quit

3.9 在接口G/0/1上应用安全策略组map1

[USG5300B] interface GigabitEthernet 0/0/1 
[USG5300B-GigabitEthernet0/0/1] ipsec policy map1
[USG5300B-GigabitEthernet0/0/1] quit

4. 配置USG5500 C

USG5500 C的配置参考USG5500B的配置

5. 查看结果

5.1 查看PC互通

PC1 ping PC2

在这里插入图片描述

PC1 ping PC3

在这里插入图片描述

5.2 抓包查看IPSec建立

PC1 ping PC2 抓包过程,数据是通过ESP协议加密

在这里插入图片描述

PC1 ping PC3 抓包过程,数据是通过ESP协议加密

在这里插入图片描述

5.3 IKE peer默认开启NAT穿越

不需要额外配置NAT策略,ike peer默认NAT traversal

在这里插入图片描述

在这里插入图片描述

5.4 查看防火墙会话

PC1 ping PC2

在这里插入图片描述
PC1 ping PC3

在这里插入图片描述

5.5 查看IKE sa

PC1 ping PC2

在这里插入图片描述

PC1 ping PC3 增加

在这里插入图片描述

5.6 PC2到PC3的ping

在这里插入图片描述

在这里插入图片描述

5.7 PC2、PC3通过USG5500A进行安全通信

路径:PC2 > USG550B > USG5500A > USG550C >PC3
在这里插入图片描述

路径:PC3 > USG550C > USG5500A > USG550B >PC2
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/736021.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

哈工大计算机网络课程数据链路层协议详解之:多路访问控制(MAC)协议

哈工大计算机网络课程数据链路层协议详解之&#xff1a;多路访问控制&#xff08;MAC&#xff09;协议 在上一小节介绍完数据链路层功能和所提供的服务后&#xff0c;接下来我们介绍一个在数据链路层非常重要的一个协议&#xff1a;多路访问控制MAC协议。 多路访问控制主要是…

简易登录页面实现

导言 本文将介绍一个简单的登录页面的实现&#xff0c;使用HTML、CSS和JavaScript完成。该登录页面具有选项卡切换和表单提交功能。 HTML基础知识 首先&#xff0c;我们来了解一下HTML文档的基本结构&#xff1a; <!DOCTYPE html> <html> <head><titl…

python创建多个logging日志文件

为每一个计算过程创建一个单独的日志文件&#xff0c;并写入对应的结果&#xff0c;同时保留控制台输出的功能&#xff0c;控制台输出与日志文件记录可以分开单独控制。 import os import loggingdef creat_logger(log_path,logging_name,suf_name):if not os.path.exists(log…

NC65 输出打印模板设置流程

NC65 输出打印模板设置流程 一、添加打印模板 1、可以在单据模板初始化设置中生成打印模板&#xff08;这里以结算单为例&#xff09; 输入模板编码和名称&#xff0c;然后按确定即可。 此时&#xff0c;去输出模板初始化节点查看&#xff0c;就可以查看到刚才生成的打印模…

第五章 中央处理器 第六节指令流水线

5.6.1 指令流水线的概念 5.6.2 指令流水线的影响因素和分类

MySQL基础(五)视图、存储过程和存储函数、变量

目录 常见的数据库对象 ​编辑 视图 创建视图 改变视图 优缺点 存储过程与存储函数 创建存储过程 创建存储函数 存储过程和存储函数的区别 存储过程和函数的查看、修改、删除 查看 修改 删除 存储过程的优缺点 优点 缺点 变量 系统变量 查看系统变量 修改…

h5页面如何与原生交互

本文讲述h5页面跟原生通信&#xff0c;比如在app内&#xff0c;调用相机&#xff0c;获取相册内的图片&#xff0c;在app内拉起微信小程序等等&#xff0c;h5页面没有这么多权限能够直接调用移动端的原生能力&#xff0c;这个时候就需要与原生进行通讯&#xff0c;传递一个信号…

链表、列表、列表项

链表、列表、列表项 FreeRTOS 列表与列表项 List_t //List_t 列表typedef struct xLIST{listFIRST_LIST_INTEGRITY_CHECK_VALUE //校验值volatile UBaseType_t uxNumberOfItems; // 列表中的列表项数量:用于记录列表中列表项的个数&#xff08;不包含 xListEnd&#xff0…

AcWing 1497:树的遍历

【题目来源】https://pintia.cn/problem-sets/994805342720868352/exam/problems/994805485033603072https://www.acwing.com/problem/content/description/1499/【题目描述】 一个二叉树&#xff0c;树中每个节点的权值互不相同。 现在给出它的后序遍历和中序遍历&#xff0c;…

Verilog 基础知识(一) Verilog 基础语法与注意事项

基础知识 0.1 模块(Module) Verilog中的module可以看成一个具有输入输出端口的黑盒子&#xff0c;该黑盒子有输入和输出接口(信号)&#xff0c;通过把输入在盒子中执行某些操作来实现某项功能。(类似于C语言中的函数) 图1 模块示意图 0.1.1 模块描述 图1 所示的顶层模块(top…

1.Git使用技巧-常用命令2

1.Git使用技巧-常用命令2 文章目录 1.Git使用技巧-常用命令2一、本地仓库整理二、查看本地仓库查看过滤 二、逆向操作1. 检出覆盖本地文件 workspace -> NULL1.1 删除workspace 文件 2. 本地仓库回滚3. 远程仓库1. 远程仓库未基于代码做修改 逆操作总结 三、删除1. 删除远程…

基于 Jieba 和 Word2vec 的关键词词库构建

最近有空&#xff0c;把论文中用到的技术和大家分享一下&#xff08;以组件化的形式&#xff09;&#xff0c;本篇将讲述如何从大量的语料中获取诸多关键词和构建关键词词库或 xx 关键词词库&#xff08;细分领域&#xff09;。举例以购物网站的在线评论作为语料库&#xff0c;…

Python实现PSO粒子群优化算法优化Catboost回归模型(CatBoostRegressor算法)项目实战

说明&#xff1a;这是一个机器学习实战项目&#xff08;附带数据代码文档视频讲解&#xff09;&#xff0c;如需数据代码文档视频讲解可以直接到文章最后获取。 1.项目背景 PSO是粒子群优化算法&#xff08;Particle Swarm Optimization&#xff09;的英文缩写&#xff0c;是一…

Git--多人协作开发

文章目录 前言一、多人协作一开发目标将dev分支内容合并至master分支 二、多人协作二开发者1操作开发者2操作突发情况内容合并至master分支 三、解决git branch -a打印已被删除的远程分支的方法总结 前言 目前,我们所完成的工作如下 : 基本完成Git的所有本地库的相关操作,git…

学无止境·MySQL(4-2)(多表查询加强版)

多表练习试题 试题2&#xff08;加强版&#xff09;1、创建表2、表中添加数据3、找出销售部门中年纪最大的员工的姓名4、求财务部门最低工资的员工姓名5、列出每个部门收入总和高于9000的部门名称6、求工资在7500到8500元之间&#xff0c;年龄最大的人的姓名及部门7、找出销售部…

【Python】面向对象 - 封装 ② ( 访问私有成员 | 对象无法访问私有变量 / 方法 | 类内部访问私有成员 )

文章目录 一、访问私有成员1、对象无法访问私有变量2、对象无法访问私有方法3、类内部访问私有成员 一、访问私有成员 1、对象无法访问私有变量 在下面的 Python 类 Student 中 , 定义了私有的成员变量 , # 定义私有成员__address None该私有成员变量 , 只能在类内部进行访问 …

分析图中常见的这种“箭头”,如何用GIS绘制?

小伙伴们, 在各种分析图、空间结构图中, 是不是经常看到这种“扇形”的箭头, 同时伴随着一些“引绿入城”等分析语言。 于是,你有没有好奇, 这种箭头是怎么做出来的? 强大的GIS是否可以绘制出这种箭头? 还是那句话—— 别问,问就是能! 其实ArcMap 和 ArcGIS P…

【大数据实战电商推荐系统】概述版

文章目录 第1章 项目体系框架设计&#xff08;说明书&#xff09;第2章 工具环境搭建&#xff08;说明书&#xff09;第3章 项目创建并初始化业务数据3.1 IDEA创建Maven项目&#xff08;略&#xff09;3.2 数据加载准备&#xff08;说明书&#xff09;3.3 数据初始化到MongoDB …

41. 同时在线人数问题

文章目录 题目需求思路一实现一学习链接题目来源 题目需求 现有各直播间的用户访问记录表&#xff08;live_events&#xff09;如下。 表中每行数据表达的信息为&#xff1a;一个用户何时进入了一个直播间&#xff0c;又在何时离开了该直播间。 现要求统计各直播间最大同时在…

Stable Diffusion系列课程上:安装、提示词入门、常用模型(checkpoint、embedding、LORA)、放大算法、局部重绘、常用插件

文章目录 一、Stable Diffusion简介与安装二、文生图&#xff08;提示词解析&#xff09;2.1 提示词入门2.2 权重2.3 负面提示词&#xff08; Negative prompt&#xff09;2.4 出图参数设置2.5 新手念咒方法 三、图生图3.1 图生图入门3.2 随机种子解析3.3 图生图拓展 四、模型4…