v7防火墙和v7防火墙ipsec对接-野蛮模式-总部ip固定

v7防火墙和v7防火墙ipsec对接-野蛮模式

功能需求：

防火墙A和防火墙B之间建立一个ipsec隧道，对Host A所在的子网（192.168.7.1）与Host B所在的子网（192.168.5.1）之间的数据流进行安全保护。

· 防火墙A和防火墙B之间采用IKE协商方式建立IPsec SA。

· 使用IKE野蛮模式进行协商，防火墙A作为分部，防火墙B作为总部。 · 使用缺省的预共享密钥认证方法。此案例适用于：分部ip不固定，总部公网ip固定，中间经过nat或者不经过nat的组网。 组网信息及描述：

本案例中，以防火墙A（拨号的）的loopback0口代表A设备的内网hostA，以防火墙B（固定ip的）的loopback0口代表B设备的内网hostB，A设备的G1/0/1作为连接外网的接口，ip：2.2.2.1.B设备的G1/0/1口作为连接外网的接口，ip：1.1.1.1。loopback口代表各自的内网。防火墙A能ping的通防火墙B的公网ip。2.2.2.1去往1.1.1.1的公网路由中间经过了nat设备,对源2.2.2.1的转换成了1.1.1.2。

配置步骤：

防火墙A

配置接口的ip，路由，安全域等基本配置

定义要保护由子网192.168.7.0/24去往子网192.168.5.0/24的数据流。 acl advanced 3001

rule 5 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255

配置nat 转换的流，拒绝ipsec保护的流 acl advanced 3333

rule 0 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255

rule 5 permit ip 可以看到拨号口是dial1

interface GigabitEthernet1/0/1 port link-mode route

pppoe-client dial-bundle-number 1

配置内网接口 interface LoopBack0

ip address 192.168.7.1 255.255.255.255 配置去上外网的路由，2.2.2.2是公网接口的网关ip ip route-static 0.0.0.0 0.0.0.0 2.2.2.2

接口加入安全域及放通安全域。V7防火墙的域间规则默认都是禁止的，本实验放通域间所有流量为例子，具体的域间规则，请以实际的需求为准。

security-zone name Trust import interface LoopBack0 security-zone name Untrust import interface Dialer 1

import interface GigabitEthernet1/0/1

acl advanced 3000 rule 0 permit ip

zone-pair security source Any destination Any packet-filter 3000

zone-pair security source Any destination Local packet-filter 3000

zone-pair security source Local destination Any packet-filter 3000

ike提议参数，需要和对方B设备的ike提议参数一致 指定IKE提议使用的认证算法为md5，加密算法3des-cbc ike proposal 1

encryption-algorithm 3des-cbc authentication-algorithm md5

配置和对方1.1.1.1建立vpn时使用ike域共享密码。使用admin，和对方设备一致即可

ike keychain 1

pre-shared-key address 1.1.1.1 255.255.255.0 key simple admin 配置ike profile名称v7,野蛮模式，本端使用FQDN进行身份标识。匹配对端时使用IPV4地址进行身份标识，match remote identity的ip需要和对端B设备ike profile中local-identity的ip一致，反之，local-identity的fqdn名称是对端的match remote identity的fqdn名称。

ike profile v7 keychain 1

exchange-mode aggressive local-identity fqdn v7

match remote identity address 1.1.1.1 255.255.255.0 proposal 1

配置ipsec的安全提议，保持和B设备配置的安全提议一致

配置安全协议对IP报文的封装形式为隧道模式，配置采用的安全协议为ESP，配置ESP协议采用的加密算法为3DES，认证算法为md5。

ipsec transform-set 1

esp encryption-algorithm 3des-cbc esp authentication-algorithm md5

配置ipsec 策略，名称为V7序列号为1，引用ike profileV7，引用acl 3001，引用ipsec安全提议1。配置好隧道对端的ip。

ipsec policy v7 1 isakmp transform-set 1 security acl 3001 remote-address 1.1.1.1 ike-profile v7

外网接口上引用ipsec 策略 interface Dialer 1 ipsec apply policy v7

防火墙B配置

配置接口的ip，路由，安全域等基本配置 配置nat 转换的流，拒绝ipsec保护的流 acl advanced 3333

rule 0 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255

rule 5 permit ip 配置外网接口ip

interface GigabitEthernet1/0/1 port link-mode route

ip address 1.1.1.1 255.255.255.0 nat outbound 3333 配置内网接口