<meta name="AizhanSEO" content="cd18259dc7a8c7dbadf10a1ad4ca32c6">
在线客服
热线电话
返回顶部
首页 >新闻中心 > 安防监控

通过IPSec VPN保护总部与分支机构之间的通信

分享到:
点击次数:755 更新时间:2018年11月23日02:50:13 打印此页 关闭

本示例介绍建立IPsec VPN隧道,保护总部与分支机构的通信。

如下图所示,Device A作为某公司总部的网关设备,Device B作为分公司的网关设备。要求在总部和分公司之间建立IPsec VPN隧道,安全协议采用ESP协议,认证算法采用SHA,加密算法采用3DES,从而保证公司总部与分公司之间通信数据的完整性和安全性。

*本例为实验室环境,10.10.1.0/24网段表示公网网段。

Device A

步骤一:配置接口

1.配置连接内网用户的接口。

选择“网络 > 接口”,双击ethernet0/1。

  • 绑定安全域:三层安全域
  • 安全域:trust
  • 类型:静态IP
  • IP地址:192.168.1.1
  • 网络掩码:255.255.255.0

2.配置连接Internet的接口。

选择“网络 > 接口”,双击ethernet0/2接口。

  • 绑定安全域:三层安全域
  • 安全域:untrust
  • 类型:静态IP
  • IP地址:10.10.1.1
  • 网络掩码:255.255.255.0
步骤二:配置安全策略

1.配置允许内网用户访问Internet的安全策略。

选择“策略 > 安全策略”,点击“新建”。

  • 名称:trust_untrust
  • 源信息
    • 安全域:trust
    • 地址:Any
  • 目的信息
    • 安全域:untrust
    • 地址:Any
  • 其他信息
    • 行为:允许

2.配置允许Internet访问内网的安全策略。

选择“策略 > 安全策略”,点击“新建”。

  • 名称:untrust_trust
  • 源信息
    • 安全域:untrust
    • 地址:Any
  • 目的信息
    • 安全域:trust
    • 地址:Any
  • 其他信息
    • 行为:允许
步骤三:配置IPsec VPN

1.配置P1提议,用来协商IKE SA。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击<P1提议>标签页,点击“新建”。

  • 提议名称:Headquarter_to_Branch_P1
  • 认证:Pre-share
  • 验证算法:SHA
  • 加密算法:3DES

2.配置P2提议,用来协商IPSec SA。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击<P2提议>标签页,点击“新建”。

  • 提议名称:Headquarter_to_Branch_P2
  • 协议:ESP
  • 验证算法:SHA
  • 加密算法:3DES

3.配置VPN对端参数。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击<VPN对端列表>标签页,点击“新建”。

  • 名称:Headquarter_to_Branch
  • 接口:选择“ethernet0/2”
  • 认证模式:主模式
  • 类型:静态IP
  • 对端IP地址:10.10.1.2
  • 提议1:选择“Headquarter_to_Branch_P1”
  • 预共享密钥:123456

4.配置IKE VPN。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击左上方的<IKE VPN列表>标签页,点击“新建”。

  • 对端选项:选择“Headquarter_to_Branch”
  • 名称:Tunnel
  • 模式:tunnel
  • P2提议:选择“Headquarter_to_Branch_P2”
步骤四:创建隧道接口

选择“网络 > 接口”,并点击“新建 > 隧道接口”。

  • 基本配置
    • 名称:1
    • 安全域:untrust
  • 隧道绑定配置
    • 隧道类型:IPSec VPN
    • VPN名称:Tunnel

步骤五:配置路由。

选择“网络 > 路由 > 目的路由”,并点击“新建”。

  • 目的地:192.168.2.0
  • 子网掩码:24
  • 下一跳:接口
  • 接口:选择“tunnel1”  

Device B

步骤一:配置接口

1.配置连接内网用户的接口。

选择“网络 > 接口”,双击ethernet0/1接口。

  • 绑定安全域:三层安全域
  • 安全域:trust
  • 类型:静态IP
  • IP地址:192.168.2.1
  • 网络掩码:255.255.255.0

2.配置连接Internet的接口。

选择“网络 > 接口”,双击ethernet0/2接口。

  • 绑定安全域:三层安全域
  • 安全域:untrust
  • 类型:静态IP
  • IP地址:10.10.1.2
  • 网络掩码:255.255.255.0
步骤二:配置安全策略

1.配置允许内网用户访问Internet的安全策略。

选择“策略 > 安全策略”,点击“新建”。

  • 名称:trust_untrust
  • 源信息
    • 安全域:trust
    • 地址:Any
  • 目的信息
    • 安全域:untrust
    • 地址:Any
  • 其他信息
    • 行为:允许

2.配置允许Internet访问内网的安全策略。

选择“策略 > 安全策略”,点击“新建”。

  • 名称:untrust_trust
  • 源信息
    • 安全域:untrust
    • 地址:Any
  • 目的信息
    • 安全域:trust
    • 地址:Any
  • 其他信息
    • 行为:允许
步骤三:配置IPsec VPN

1.配置P1提议,用来协商IKE SA。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击<P1提议>标签页,点击“新建”。

  • 提议名称:Branch_to_Headquarter_P1
  • 认证:Pre-share
  • 验证算法:SHA
  • 加密算法:3DES

2.配置P2提议,用来协商IPSec SA。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击<P2提议>标签页,点击“新建”。

  • 提议名称:Branch_to_Headquarter_P2
  • 协议:ESP
  • 验证算法:SHA
  • 加密算法:3DES

3.配置VPN对端参数。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击<VPN对端列表>标签页,点击“新建”。

  • 名称:Branch_to_Headquarter
  • 接口:选择“ethernet0/2”
  • 认证模式:主模式
  • 类型:静态IP
  • 对端IP地址:10.10.1.1
  • 提议1:选择“Branch_to_Headquarter_P1”
  • 预共享密钥:123456

4.配置IKE VPN。

选择“网络 > VPN > IPSec VPN”,在<IKE VPN配置>部分,点击<IKE VPN列表>标签页,点击“新建”。

  • 对端选项:选择“Branch_to_Headquarter”
  • 名称:Tunnel
  • 模式:tunnel
  • P2提议:选择“Branch_to_Headquarter_P2”
步骤四:创建隧道接口

选择“网络 > 接口”,并点击“新建 > 隧道接口”。

  • 基本配置
    • 名称:1
    • 安全域:untrust
  • 隧道绑定配置
    • 隧道类型:IPSec VPN
    • VPN名称:Tunnel

步骤五:配置路由

选择“网络 > 路由 > 目的路由”,并点击“新建”。

  • 目的地:192.168.1.0
  • 子网掩码:24
  • 下一跳:接口
  • 接口:选择“tunnel1”  
步骤六:验证网络是否互通

完成以上配置步骤后,总部用户PC1通过ping分支机构用户PC2,可以ping通,说明总部与分支机构之间网络互通。

步骤七:验证IPsec VPN是否建立成功

完成网络互通验证后,选择“网络 > VPN > IPSec VPN > IPSec VPN监控 > ISAKMP SA”,可以看到IPsec VPN第一阶段已经成功建立。

完成网络互通验证后,选择“网络 > VPN > IPSec VPN > IPSec VPN监控 > IPSec SA”,可以看到IPsec VPN第二阶段已经成功建立。
上一条:通过SSL VPN实现远程终端访问内网业务 下一条:民治 网络布线 专业数据恢复 台式机维修
  • 发表评论
  • 查看评论
文明上网理性发言,请遵守评论服务协议。
首页 上一页 下一页 尾页