配置 IPSec
- WBOYOriginal
- 2016-06-07 15:06:071426Durchsuche
这个文档说明了在 路由器 和思科 防火墙 之间的IPSec 配置 。 在总部和分公司之间的流量使用的是私有IP地址,当分公司的局域网用户访问互联网时,需要进行地址转换。 网络拓扑 具体 配置 如下: !--- 定义去 路由器 的流量: access-list ipsec permit ip 10.
这个文档说明了在路由器和思科防火墙之间的IPSec配置。 在总部和分公司之间的流量使用的是私有IP地址,当分公司的局域网用户访问互联网时,需要进行地址转换。
网络拓扑
具体配置如下:
!--- 定义去路由器的流量:
access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
!--- 去路由器的流量不做地址转换
access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
ip address outside 172.17.63.213 255.255.255.240
ip address inside 10.1.1.1 255.255.255.0
global (outside) 1 172.17.63.210
!--- 去路由器的流量不做地址转换
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.17.63.209 1
!--- IPSec 策略:
sysopt connection permit-ipsec
crypto ipsec transform-set avalanche esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600
crypto map forsberg 21 ipsec-isakmp
crypto map forsberg 21 match address ipsec
crypto map forsberg 21 set peer 172.17.63.230
crypto map forsberg 21 set transform-set avalanche
crypto map forsberg interface outside
!--- IKE 策略:
isakmp enable outside
isakmp key westernfinal2000 address 172.17.63.230 netmask 255.255.255.255
isakmp identity address
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption des
isakmp policy 21 hash md5
isakmp policy 21 group 1
: end
hostname Branch_Router
!--- IKE策略:
crypto isakmp policy 11
hash md5
authentication pre-share
crypto isakmp key westernfinal2000 address 172.17.63.213
!--- IPSec策略:
crypto ipsec transform-set sharks esp-des esp-md5-hmac
crypto map nolan 11 ipsec-isakmp
set peer 172.17.63.213
set transform-set sharks
match address 120
!
interface Ethernet0
ip address 172.17.63.230 255.255.255.240
ip nat outside
crypto map nolan
!
interface Ethernet1
ip address 10.2.2.1 255.255.255.0
ip nat inside
!
ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.240
ip nat inside source route-map nonat pool branch overload
ip route 0.0.0.0 0.0.0.0 172.17.63.225
access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 permit ip 10.2.2.0 0.0.0.255 any
route-map nonat permit 10
match ip address 130
end
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:setupLock&KeyACLNächster Artikel:Nginx配置文件中文注释详解(参考)