v3防火墙和v7防火墙ipsec对接-主模式-都是固定ip.docx

V3防火墙和v7防火墙ipsec对接-主模式功能需求：·防火墙A和防火墙B之间建立一个ipsec隧道，对Host A所在的子网（192.168.5.1）与Host B所在的子网（192.168.7.1）之间的数据流进行安全保护。·防火墙A和防火墙B之间采用IKE协商方式建立IPsec SA。· 使用IKE主模式进行协商，防火墙A向防火墙B发起方隧道触发· 使用缺省的预共享密钥认证方法。此案例适用于：两边都是固定ip，中间公网ip不经过nat设备的组网。组网信息及描述：此案例中，以防火墙A的loopback0口代表A设备的内网hostA，以防火墙B的loopback0口代表B设备的内网hostB，A设备的E1/1作为连接外网的接口，ip：1.1.1.1。B设备的G1/0/1口作为连接外网的接口，ip：2.2.2.1。loopback口代表各自的内网。1.1.1.1和2.2.2.1作为公网ip能相互通信配置步骤：防火墙A配置接口的ip，路由，安全域等基本配置定义要保护由子网192.168.5.0/24去往子网192.168.7.0/24的数据流。acl number 3001rule 1 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255配置nat 转换的流，拒绝ipsec保护的流acl number 3000rule 0 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.7.0 0.0.0.255rule 1 permit ip配置外网接口ipinterface Ethernet1/1 ip address 1.1.1.1 255.255.255.0 nat outbound 3000配置内网接口interface LoopBack0ip address 192.168.5.1 255.255.255.255配置去上外网的路由，1.1.1.2是E1/1公网接口的网关ipip route-static 0.0.0.0 0.0.0.0 1.1.1.2使用的接口加入安全域，loopback除外firewall zone untrustadd interface Ethernet1/1firewall packet-filter enable firewall packet-filter default permitike提议参数，需要和对方B设备的ike提议参数一致指定IKE提议使用的认证算法为md5，加密算法3des-cbcike proposal 1 encryption-algorithm 3des-cbc authentication-algorithm md5配置ike 对等体名称v3，默认主模式，默认使用ip进行双方身份验证，remote-address的ip需要和对端B设备ikeprofile中local-identity的ip一致，反之，local-address的ip是对端的match remote identity address的ip。，使用admin密码为域共享密码，和对方设备一致即可，ike peer v3pre-shared-key cipher admin remote-address 2.2.2.1 local-address 1.1.1.1配置ipsec的安全提议，保持和B设备配置的安全提议一致配置安全协议对IP报文的封装形式为隧道模式，默认采用的安全协议为ESP，配置ESP协议采用的加密算法为3DES，默认认证算法为md5。ipsec proposal 1 esp encryption-algorithm 3des配置ipsec 策略，名称为v3序列号为1，引用ike对等体v3，引用acl 3001，引用ipsec安全提议1ipsec policy v3 1 isakmpsecurityacl 3001 ike-peer v3proposal 1 proposal 1外网接口上引用ipsec 策略interface Ethernet1/1ipsec policy v3防火墙B配置配置接口的ip，路由，安全域等基本配置定义要保护由子网192.168.7.0/24去往子网192.168.5.0/24的数据流。acl advanced 3001 rule 5 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255配置nat 转换的流，拒绝ipsec保护的流acl advanced 3333rule 0 deny