SecPath系列防火墙之IPSEC配置主模式 - 运维管理

如图。

1. 实现武汉和北京两个私网地址（loopback地址）的互通。两个VPN网关必须有公网地址，且必须是静态地址。
2. 要求私网两个网段之间的数据流量采用IPSEC加密传输。
3. 采用隧道模式。

1. 由于传输模式仅适用于两台主机之间的相连，实际使用意义不大，本处省略。使用中可参考隧道配置。
2. 两边的VPN网关可以为路由器或Secpath专用VPN网关。


[Secpath1-beijing]	ike peer 1	配置IKE参数
	pre-shared-key 12345	配置预共享字。两端必须一致。有些路由器版本需要加”extrange main”启动主模式。一般，默认即为主模式。
	remote-address 202.38.1.2	配置隧道对端地址。
	#
	ipsec proposal p1	创建安全提议，可采用默认安全提议内容。默认为：ESP隧道封装，DES加密，MD5验证。通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改，则在安全提议模式下更改
	#
	ipsec policy policy1 1 isakmp	创建ipsec策略，其安全内容采用IKE自动协商。
	security acl 3000	指定哪些数据流需要加密
	ike-peer 1	引用IKE对等体
	proposal p1	引用安全提议
	#
	interface Ethernet0/0/0
	ip address 202.38.1.1 255.255.255.0
	ipsec policy policy1	在外网接口上启用IPSEC策略，加密相关私网数据
	#
	acl number 3000
	rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255	指定去往对端私网的数据流
	rule 1 deny ip
	#
	ip route-static 0.0.0.0 0.0.0.0 202.38.2.2 preference 60	注意：一定要有去往对端的路由，包括公网和私网地址。也就是说，设备需要知道去往10.1.2.0的路径，通过路由发到公网口上。
	#

[Secpath2-wuhan]	ike peer 1	配置IKE参数
	pre-shared-key 12345	配置预共享字。两端必须一致。有些路由器版本需要加”extrange main”启动主模式。
	remote-address 202.38.1.1	配置隧道对端地址。
	#
	ipsec proposal p1	创建安全提议，可采用默认安全提议内容。通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改，则在安全提议模式下更改
	#
	ipsec policy policy1 1 isakmp	创建ipsec策略，其安全内容采用IKE自动协商。
	security acl 3000	指定哪些数据需要加密
	ike-peer 1	引用IKE对等体
	proposal p1	引用安全提议
	#
	interface Ethernet0/0/0
	ip address 202.38.1.2 255.255.255.0
	ipsec policy policy1	在外网接口上启用IPSEC策略，加密相关私网数据
	#
	acl number 3000
	rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255	指定去往对端私网的数据流，注意与对端的ACL应为镜像，这样双方才能互相对数据加解密。
	rule 1 deny ip
	#
	ip route-static 0.0.0.0 0.0.0.0 202.38.2.1 preference 60	注意：一定要有去往对端的路由

1、常见错误为路由设置问题。没有去往对端私网的路由。
2、以武汉去往北京的报文为例，报文格式如下：

可见，在这种模式下由于无TCP/UDP端口号，无法穿越NAPT网关。

SecPath系列防火墙之IPSEC配置主模式
2007-05-10

延伸阅读

热文

SecPath系列防火墙之IPSEC配置主模式 2007-05-10

延伸阅读

热文

SecPath系列防火墙之IPSEC配置主模式
2007-05-10