- 2008-108日
手工密钥VPN
手工密钥VPN 隧道要求安全联盟的所有相关配置都由用户手动一一指定。请看以下实例。
组网需求
在Hillstone 安全网关A 和Hillstone 安全网关B 之间建立一个安全隧道,PC1作Hillstone 安全网关A 端的主机,IP 地址为188.1.1.2,网关为188.1.1.1;server1 作为Hillstone 安全网关B 端的服务器,IP 地址为10.110.88.210,网关是10.110.88.220。要求对PC1 代表的子网(188.1.1.0/24)与Server1 代表的子网(10.110.88.0/24)之间的数据流进行安全保护(通过基于策略的VPN 方式实现VPN 的应用)。安全协议采用ESP 协议,加密算法采用3DES,验证算法采用SHA1。下图为该需求的组网图。
配置步骤
第一步:配置安全网关接口。
安全网关A
hostname(config)# interface ethernet0/0
hostname(config-if-eth0/0)# zone trust
hostname(config-if-eth0/0)# ip address 188.1.1.1/24
hostname(config-if-eth0/0)# exit
hostname(config)# interface ethernet0/1
hostname(config-if-eth0/1)# zone untrust
hostname(config-if-eth0/1)# ip address 192.168.1.2/24
hostname(config-if-eth0/1)# exit
安全网关B
hostname(config)# interface ethernet0/0
hostname(config-if-eth0/0)# zone trust
hostname(config-if-eth0/0)# ip address 10.110.88.220/24
hostname(config-if-eth0/0)# exit
hostname(config)# interface ethernet0/1
hostname(config-if-eth0/1)# zone untrust
hostname(config-if-eth0/1)# ip address 192.168.1.3/24
hostname(config-if-eth0/1)# exit第二步:配置路由。
安全网关A
hostname(config)# ip vrouter trust-vr
hostname(config-vrouter)# ip route 10.110.88.0/24 192.168.1.3
hostname(config-vrouter)# exit
安全网关B
hostname(config)# ip vrouter trust-vr
hostname(config-vrouter)# ip route 188.1.1.0/24 192.168.1.2
hostname(config-vrouter)# exit前两部是配置基本的网络环境,A设备所在的网段为10.110.88.0,B设备所在的网段为188.1.1.0,由于没有通过Internet连接,所以配置Untrust为同一网段,使两台Hillstone设备能够互相连通。但是188.1.1.0和10.110.88.0这两个网段目前还是不能直接连通的。
第三步:手动配置名为VPN1 的隧道。
安全网关A
hostname(config)# tunnel ipsec vpn1 manual
hostname(config-tunnel-ipsec-manual)# interface ethernet0/1
hostname(config-tunnel-ipsec-manual)# protocol esp
hostname(config-tunnel-ipsec-manual)# peer 192.168.1.3
hostname(config-tunnel-ipsec-manual)# hash sha
hostname(config-tunnel-ipsec-manual)# hash-key inbound 1234 outbound 5678
hostname(config-tunnel-ipsec-manual)# encryption 3de
hostname(config-tunnel-ipsec-manual)# encryption-key inbound abcd outbound efgh
hostname(config-tunnel-ipsec-manual)# spi 6001 6002
hostname(config-tunnel-ipsec-manual)# exit
安全网关B
hostname(config)# tunnel ipsec vpn1 manual
hostname(config-tunnel-ipsec-manual)# interface ethernet0/1
hostname(config-tunnel-ipsec-manual)# protocol esp
hostname(config-tunnel-ipsec-manual)# peer 192.168.1.2
hostname(config-tunnel-ipsec-manual)# hash sha
hostname(config-tunnel-ipsec-manual)# hash-key inbound 5678 outbound 1234
hostname(config-tunnel-ipsec-manual)# encryption 3de
hostname(config-tunnel-ipsec-manual)# encryption-key inbound efgh outbound abcd
hostname(config-tunnel-ipsec-manual)# spi 6002 6001
hostname(config-tunnel-ipsec-manual)# exit
第四步:配置安全网关策略规则。
安全网关A
hostname(config)# policy from trust to untrust
hostname(config-policy)# rule from any to any service any tunnel vpn1
Rule id 1 is created
hostname(config-policy)# exit
安全网关B
hostname(config)# policy from trust to untrust
hostname(config-policy)# rule from any to any service any tunnel vpn1
Rule id 1 is created
hostname(config-policy)# exit
hostname(config)# policy from untrust to trust
hostname(config-policy)# rule from any to any service any
fromtunnel vpn1
Rule id 2 is created
hostname(config-policy)# exit
完成以上配置后,安全网关A 和安全网关B 之间的安全隧道便建立成功了。子网(188.1.1.0/24)与server1 代表的子网(10.110.88.0/24)之间的数据流将会被加密传输。
刘苏平的博客
醉生梦死的生活
如果觉得博文还不错,请猛击此处!
或者请与我联系:admin#liusuping.com
或者请与我联系:admin#liusuping.com
- 评论:(0)
- 引用通告
发表评论点击这里获取该日志的TrackBack引用地址