Ipsec的配置的實(shí)現(xiàn)

實(shí)現(xiàn)***的另一種協(xié)議是ipsec ，準(zhǔn)確的說ipsec是一個(gè)多種協(xié)議組合的框架。它的實(shí)現(xiàn)可以分為下面四個(gè)步驟：

創(chuàng)新互聯(lián)建站基于成都重慶香港及美國等地區(qū)分布式IDC機(jī)房數(shù)據(jù)中心構(gòu)建的電信大帶寬，聯(lián)通大帶寬，移動大帶寬，多線BGP大帶寬租用,是為眾多客戶提供專業(yè)服務(wù)器主機(jī)托管報(bào)價(jià)，主機(jī)托管價(jià)格性價(jià)比高，為金融證券行業(yè)服務(wù)器托管，ai人工智能服務(wù)器托管提供bgp線路100M獨(dú)享，G口帶寬及機(jī)柜租用的專業(yè)成都idc公司。

1. 實(shí)現(xiàn)數(shù)據(jù)流的篩選控制(靠acl實(shí)現(xiàn)控制)

2. 安全提議（實(shí)現(xiàn)工作模式，安全協(xié)議的選擇，驗(yàn)證算法，若為esp協(xié)議則還要有加密算法的一致性選擇）

3. 創(chuàng)建安全策略（acl+安全提議+ike鄰居），一般策略的實(shí)現(xiàn)都是選擇自動協(xié)商的，所以要建立ike鄰居

4. 策略應(yīng)用到端口

下面是此次實(shí)驗(yàn)的拓?fù)鋱D(sw 為防火墻 isp 為交換機(jī)):

Ipsec的配置的實(shí)現(xiàn)

下面為isp上的一些配置：

[Quidway]sysname isp

[isp]int vlan 10

[isp-vlan10]port Ethernet 0/2

[isp-vlan10]vlan 20

[isp-vlan20]port Ethernet 0/10

[isp-vlan20]vlan 30

[isp-vlan30]port Ethernet 0/3

[isp-vlan30]vlan 40

[isp-vlan40]port Ethernet 0/20

[isp-vlan40]qu

[isp]int Vlan-interface 10

[isp-Vlan-interface10]ip add 61.130.132.2 255.255.255.252

[isp-Vlan-interface10]qu

[isp]int vlan 20

[isp-Vlan-interface20]ip add 61.130.134.2 255.255.255.252

[isp-Vlan-interface20]qu

[isp]int vlan 30

[isp-Vlan-interface30]ip add 61.130.133.2 255.255.255.252

[isp-Vlan-interface30]qu

[isp]int vlan 40

[isp-Vlan-interface40]ip add 61.130.135.2 255.255.255.252

Sw1上的一些配置：

[H3C]sysname sw1

[sw1]int eth0/0

[sw1-Ethernet0/0]ip add 192.168.1.254 24

[sw1-Ethernet0/0]int eth0/3

[sw1-Ethernet0/3]ip add 61.130.132.1 30

[sw1-Ethernet0/3]int eth 0/4

[sw1-Ethernet0/4]ip add 61.130.133.1 30

[sw1-Ethernet0/4]qu

[sw1]firewall zone trust

[sw1-zone-trust]add interface e0/0

[sw1-zone-trust]qu

[sw1]firewall zone untrust

[sw1-zone-untrust]add int e0/3

[sw1-zone-untrust]add int e0/4

Sw3上的一些配置：

[H3C]sysname sw3

[sw3]int e0/4

[sw3-Ethernet0/4]ip add 61.130.135.1 255.255.255.252

[sw3-Ethernet0/4]int eth0/0

[sw3-Ethernet0/0]ip add 192.168.3.254 255.255.255.0

[sw3-Ethernet0/0]loopback

[sw3-Ethernet0/0]qu

[sw3]firewall zone untrust

[sw3-zone-untrust]add int e0/4

[sw3]ip route 0.0.0.0 0 61.130.135.2

Sw2上的一些配置：

[H3C]sysname sw2

[sw2]int e0/4

[sw2-Ethernet0/4]ip add 61.130.134.1 255.255.255.252

[sw2-Ethernet0/4]int e0/0

[sw2-Ethernet0/0]ip add 192.168.2.254 255.255.255.0

[sw2-Ethernet0/0]loopback

[sw2-Ethernet0/0]qu

[sw2]firewall zone untrust

[sw2-zone-untrust]add int e0/4

[sw2]ip route 0.0.0.0 0 61.130.134.2

在sw1上實(shí)現(xiàn)ipsec 的配置：

// 利用acl實(shí)現(xiàn)流篩選

[sw1]acl number 3000 match-order auto

[sw1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[sw1-acl-adv-3000]rule 20 deny ip source any destination any

[sw1-acl-adv-3000]qu

// 制作安全提議

[sw1]ipsec proposal tran3

[sw1-ipsec-proposal-tran3]encapsulation-mode tunnel

[sw1-ipsec-proposal-tran3]transform esp

[sw1-ipsec-proposal-tran3]esp authentication-algorithm md5

[sw1-ipsec-proposal-tran3]esp en des

[sw1-ipsec-proposal-tran3]quit

// 配置ike鄰居

[sw1] ike peer fw3

[sw1-ike-peer-fw3]pre-shared-key simple 12345

[sw1-ike-peer-fw3]local-address 61.130.132.1

[sw1-ike-peer-fw3]remote-address 61.130.134.1

[sw1-ike-peer-fw3]qu

// 配置策略

[sw1]ipsec policy policy3 10 isakmp

[sw1-ipsec-policy-isakmp-policy3-10]security acl 3000

[sw1-ipsec-policy-isakmp-policy3-10]proposal tran3

[sw1-ipsec-policy-isakmp-policy3-10]ike-peer fw3

[sw1-ipsec-policy-isakmp-policy3-10]qu

// 應(yīng)用到接口

[sw1]int eth0/3

[sw1-Ethernet0/3]ipsec policy policy3

[sw1-Ethernet0/3]qu

同樣，在sw2和sw3上做同樣的設(shè)置即可，要注意提議與ike pre-shared-key的一致性

結(jié)果如下：

Ipsec的配置的實(shí)現(xiàn)

網(wǎng)站標(biāo)題：Ipsec的配置的實(shí)現(xiàn)
網(wǎng)頁路徑：http://jinyejixie.com/article40/gpicho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、做網(wǎng)站、靜態(tài)網(wǎng)站、網(wǎng)站導(dǎo)航、標(biāo)簽優(yōu)化、響應(yīng)式網(wǎng)站

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

Ipsec的配置的實(shí)現(xiàn)