最佳答案
参考一下
#将接口G0/5划分到Trust区域。
zone name Trust
import interface GigabitEthernet0/5
#将接口G0/4划分到Untrust区域。
zone name Untrust
import interface GigabitEthernet0/4
#定义Trust区域到Untrust区域的规则。
interzone source Trust destination Untrust
rule 1 permit
source-ip any_address
destination-ip any_address
service any_service
rule enable
#定义Untrust区域到trust区域的规则。
interzone source Untrust destination Trust
rule 0 permit
source-ip any_address
destination-ip any_address
service any_service
rule enable
#
#创建高级ACL 3000
acl number 3000
#描述为ipsec acl for V7。
description ipsec acl for V7
#定义要保护由子网192.168.1.0/24去子网192.168.2.0/24的数据流。
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
#创建ike提议,名称为1。
ike proposal 1
#选择IKE提议所使用的加密算法为3des-cbc。
encryption-algorithm 3des-cbc
#选择IKE提议所使用的验证算法为md5。
authentication-algorithm md5
#选择IKE提议所使用的验证方法为预共享秘钥。
authentication-method pre-share
#
#创建IKE peer,名称为123,默认使用主模式。
ike peer 123
#调用IKE提议proposal 1。
proposal 1
#设置预共享秘钥,密码为123。
pre-shared-key simple 123
#指定匹配对端IP地址为100.1.1.2。
remote-address 100.1.1.2
#指定本地地址为100.1.1.1。
local-address 100.1.1.1
#
#创建IPsec安全提议t1。
ipsec transform-set t1
#配置安全协议对IP报文的封装形式为隧道模式。
encapsulation-mode tunnel
#安全协议为esp。
protocol esp
#加密算法为128比特的AES。
esp encryption-algorithm aes-cbc-128
#认证算法为HMAC-Md5。
esp authentication-algorithm md5
#
#创建一条IKE协商方式的IPsec安全策略,名称为policy1,序号为1。
ipsec policy policy1 1 isakmp
#调用ipsec安全提议为t1。
transform-set t1
#调用acl 3000。
security acl 3000
#调用IKE peer为123。
ike-peer 123
#
#配置公网接口地址
interface GigabitEthernet0/4
ip address 100.1.1.1 255.255.255.0
#公网口调用IPsec安全策略policy1
ipsec policy policy1
#配置私网地址。
interface GigabitEthernet0/5
ip address 192.168.1.1 255.255.255.0
# 配置到Host A所在子网的静态路由。100.1.1.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准。
ip route-static 192.168.2.0 255.255.255.0 100.1.1.2
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论