F100CG2 ipsec web 配置方法 求
- 2关注
- 0收藏,954浏览
最佳答案
您好,请知:
以下是配置举例,请参考:
IPsec基础组网配置举例
组网需求
如图-1所示,在Device A和Device B之间建立一条IPsec隧道,对Host A所在的子网与Host B所在的子网之间的数据流进行安全保护。具体要求如下:
· 两端通过预共享密钥方式进行认证。
· IKE协商采用的加密算法为3DES-CBC,认证算法为SHA256。
· IPsec隧道的封装模式为隧道模式,安全协议为ESP。
图-1 使用IPsec保护子网之间的用户流量组网图
使用版本
本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
配置步骤
Device A的配置
1. 配置接口的IP地址
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/13右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:220.0.0.100/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/12,配置如下。
· 安全域:Trust
· 选择“IPv4地址”页签,配置IP地址/掩码:192.100.0.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:220.0.10.100
· 掩码长度:24
· 下一跳IP地址:220.0.0.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,配置如下。
· 目的IP地址:192.200.0.2
· 掩码长度:24
· 下一跳IP地址:220.0.0.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:192.100.0.0/24
· 目的IPv4地址:192.200.0.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:192.200.0.0/24
· 目的IPv4地址:192.100.0.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:local-untrust
· 源安全域:Local
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:220.0.0.100
· 目的IPv4地址:220.0.10.100
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:220.0.10.100
· 目的IPv4地址:220.0.0.100
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 新建IKE提议
# 选择“网络 > VPN > IPsec > IKE提议”,进入IKE提议页面。
# 单击<新建>按钮,进入新建IKE提议页面,进行如下操作:
· 设置优先级为1。
· 选择认证方式为预共享密钥。
· 设置认证算法为SHA256。
· 设置加密算法为3DES-CBC。
· 其它配置均使用缺省值。
· 单击<确定>按钮,完成新建IKE提议配置。
图-2 新建IKE提议
5. 配置IPSec策略
# 选择“网络 > VPN > IPsec > 策略”,进入IPsec策略配置页面。
# 单击<新建>按钮,进入新建IPsec策略页面。
· 在基本配置区域进行如下配置:
○ 设置策略名称为policy1。
○ 设置优先级为1。
○ 选择设备角色为对等/分支节点。
○ 选择IP地址类型为IPv4。
○ 选择接口GE1/0/13。
○ 设置本端地址为220.0.0.100。
○ 设置对端IP地址/主机名为220.0.10.100。
· 在IKE策略区域进行如下配置:
○ 选择协商模式为主模式。
○ 选择认证方式为预共享密钥。
○ 输入预共享密钥,并通过再次输入进行确认。
○ 选择IKE提议为1(预共享密钥;SHA256;3DES-CBC;DH group 1)。
○ 设置本端ID为IPv4地址220.0.0.100。
○ 设置对端ID为IPv4地址220.0.10.100。
· 在保护的数据流区域,单击<新建>按钮,进入新建保护的数据流页面,进行如下操作:
○ 设置源IP地址为192.100.0.0/24。
○ 设置目的IP地址为192.200.0.0/24。
○ 单击<确定>按钮,完成配置。
图-4 新建保护的数据流
· 在触发模式选择区域,选择IPsec协商的触发模式为流量触发。
· 在高级配置区域进行如下配置:
○ 选择IPsec封装模式为隧道模式。
○ 选择IPsec安全协议为ESP。
○ 其它配置均使用缺省值。
# 单击<确定>按钮,完成新建IPsec策略。
Device B的配置
1. 配置接口的IP地址
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE2/0/13右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:220.0.10.100/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE2/0/12,配置如下。
· 安全域:Trust
· 选择“IPv4地址”页签,配置IP地址/掩码:192.200.0.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:220.0.0.100
· 掩码长度:24
· 下一跳IP地址:220.0.10.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,配置如下。
· 目的IP地址:192.100.0.2
· 掩码长度:24
· 下一跳IP地址:220.0.10.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:192.200.0.0/24
· 目的IPv4地址:192.100.0.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:192.100.0.0/24
· 目的IPv4地址:192.200.0.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:local-untrust
· 源安全域:Local
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:220.0.10.100
· 目的IPv4地址:220.0.0.100
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:220.0.0.100
· 目的IPv4地址:220.0.10.100
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 新建IKE提议
# 选择“网络 > VPN > IPsec > IKE提议”,进入IKE提议页面。
# 单击<新建>按钮,进入新建IKE提议页面,进行如下操作:
· 设置优先级为1。
· 选择认证方式为预共享密钥。
· 设置认证算法为SHA256。
· 设置加密算法为3DES-CBC。
· 其它配置均使用缺省值。
· 单击<确定>按钮,完成新建IKE提议配置。
图-5 新建IKE提议
5. 配置IPSec策略
# 选择“网络 > VPN > IPSec > 策略”,进入IPSec策略配置页面。
# 单击<新建>按钮,进入新建IPsec策略页面。
· 在基本配置区域进行如下配置:
○ 设置策略名称为policy1。
○ 设置优先级为1。
○ 选择设备角色为对等/分支节点。
○ 选择IP地址类型为IPv4。
○ 选择接口GE2/0/13。
○ 设置本端地址为220.0.10.100。
○ 设置对端IP地址/主机名为220.0.0.100。
图-6 基本配置
· 在IKE策略区域进行如下配置:
○ 选择协商模式为主模式。
○ 选择认证方式为预共享密钥。
○ 输入预共享密钥,并通过再次输入进行确认。
○ 选择IKE提议为1(预共享密钥;SHA256;3DES-CBC;DH group 1)。
○ 设置本端ID为IPv4地址220.0.10.100。
○ 设置对端ID为IPv4地址220.0.0.100。
图-7 IKE策略
· 在保护的数据流区域,单击<新建>按钮,进入新建保护的数据流页面,进行如下操作:
○ 设置源IP地址为192.200.0.0/24。
○ 设置目的IP地址为192.100.0.0/24。
○ 单击<确定>按钮,完成配置。
图-8 新建保护的数据流
· 在触发模式选择区域,选择IPsec协商的触发模式为流量触发。
· 在高级配置区域进行如下配置:
○ 选择IPsec封装模式为隧道模式。
○ 选择IPsec安全协议为ESP。
○ 其它配置均使用缺省值。
# 单击<确定>按钮,完成新建IPsec策略。
验证配置
1. Device A和Device B可以相互访问。
2. 在Device A上查看IPSec隧道信息如下。
# 选择“网络 > VPN > IPSec > 监控”,可以看到当前建立的IPSec隧道。点击隧道列表右侧的“详情”图标,可以看到详细的隧道信息,IPSec SA和统计信息。
图-9 Device A的IPsec隧道详细信息
3. 在Device B上查看IPSec隧道信息如下。
# 选择“网络 > VPN > IPSec > 监控”,可以看到当前建立的IPSec隧道。点击隧道列表右侧的“详情”图标,可以看到详细的隧道信息,IPSec SA和统计信息。
图-10 Device B的IPsec隧道详细信息
IPsec智能选路配置举例
组网需求
如图-11所示,企业分支使用IPsec VPN接入企业总部,通过在分支Device A上配置IPsec智能选路功能,实现IPsec隧道在Link 1和Link 2两条链路上动态切换,具体需求如下:
· Device A首先使用Link1与总部建立IPsec隧道。
· 当基于Link1建立的IPsec隧道丢包严重或时延过高时,能自动切换到Link2建立新的IPsec隧道。
图-11 配置IPsec智能选路功能组网图
使用版本
本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
配置步骤
Device A的配置
1. 配置接口的IP地址
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/4右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:1.1.1.2/24,网关:1.1.1.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/5,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:2.2.2.2/24,网关:2.2.2.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/3,配置如下。
· 安全域:Trust
· 选择“IPv4地址”页签,配置IP地址/掩码:10.1.1.10/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:10.1.2.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.2.0/24
· 目的IPv4地址:10.1.1.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:local-untrust
· 源安全域:Local
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:1.1.1.2,2.2.2.2
· 目的IPv4地址:3.3.3.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:3.3.3.3
· 目的IPv4地址:1.1.1.2,2.2.2.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
3. 新建IKE提议
# 选择“网络 > VPN > IPsec > IKE提议”,进入IKE提议页面。
# 单击<新建>按钮,进入新建IKE提议页面,进行如下操作:
· 设置优先级为1。
· 选择认证方式为预共享密钥。
· 设置认证算法为SHA1。
· 设置加密算法为DES-CBC。
· 其它配置均使用缺省值。
· 单击<确定>按钮,完成新建IKE提议配置。
图-12 新建IKE提议
4. 配置IPsec策略
# 选择“网络 > VPN > IPsec > 策略”,进入IPsec策略配置页面。
# 单击<新建>按钮,进入新建IPsec策略页面。
· 在基本配置区域进行如下配置:
○ 设置策略名称为policy1。
○ 设置优先级为1。
○ 选择设备角色为对等/分支节点。
○ 选择IP地址类型为IPv4。
○ 选择接口GE1/0/4、GE1/0/5。
图-13 基本配置
· 在IKE策略区域进行如下配置:
○ 选择协商模式为主模式。
○ 选择认证方式为预共享密钥。
○ 输入预共享密钥。
○ 选择IKE提议为1(预共享密钥;SHA1;DES-CBC;DH group 1)。
○ 设置本端ID为IPv4地址0.0.0.0。
○ 设置对端ID为IPv4地址3.3.3.3。
图-14 IKE策略
· 在保护的数据流区域,单击<新建>按钮,进入新建保护的数据流页面,进行如下操作:
○ 设置源IP地址为10.1.1.0/24。
○ 设置目的IP地址为10.1.2.0/24。
○ 单击<确定>按钮,完成配置。
图-15 新建保护的数据流
· 在高级配置区域进行如下配置:
○ 选择IPsec封装模式为隧道模式。
○ 选择IPsec安全协议为ESP。
○ 其它配置均使用缺省值。
图-16 高级配置
# 单击<确定>按钮,完成新建IPsec策略。
Device B的配置
1. 配置接口的IP地址
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:3.3.3.3/24,网关:3.3.3.4
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/3,配置如下。
· 安全域:Trust
· 选择“IPv4地址”页签,配置IP地址/掩码:10.1.2.10/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.2.0/24
· 目的IPv4地址:10.1.1.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:10.1.2.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:local-untrust
· 源安全域:Local
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:3.3.3.3
· 目的IPv4地址:1.1.1.2,2.2.2.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:1.1.1.2,2.2.2.2
· 目的IPv4地址:3.3.3.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
3. 新建IKE提议
# 选择“网络 > VPN > IPsec > IKE提议”,进入IKE提议页面。
# 单击<新建>按钮,进入新建IKE提议页面,进行如下操作:
· 设置优先级为1。
· 选择认证方式为预共享密钥。
· 设置认证算法为SHA1。
· 设置加密算法为DES-CBC。
· 其它配置均使用缺省值。
· 单击<确定>按钮,完成新建IKE提议配置。
图-17 新建IKE提议
4. 配置IPsec策略
# 选择“网络 > VPN > IPsec > 策略”,进入IPsec策略配置页面。
# 单击<新建>按钮,进入新建IPsec策略页面。
· 在基本配置区域进行如下配置:
○ 设置策略名称为policy1。
○ 设置优先级为1。
○ 选择设备角色为中心分支。
○ 选择IP地址类型为IPv4。
○ 选择接口GE1/0/1。
图-18 基本配置
· 在IKE策略区域进行如下配置:
○ 选择协商模式为主模式。
○ 选择认证方式为预共享密钥。
○ 输入预共享密钥。
○ 选择IKE提议为1(预共享密钥;SHA1;DES-CBC;DH group 1)。
○ 设置本端ID为IPv4地址3.3.3.3。
图-19 IKE策略
· 在高级配置区域进行如下配置:
○ 选择IPsec封装模式为隧道模式。
○ 选择IPsec安全协议为ESP。
○ 其它配置均使用缺省值。
图-20 高级配置
# 单击<确定>按钮,完成新建IPsec策略。
验证配置
1. Device A和Device B可以相互访问。
2. 在Device A上查看IPsec隧道信息如下。
# 选择“网络 > VPN > IPsec > 监控”,可以看到当前建立的IPsec隧道。点击隧道列表右侧的“详情”图标,可以看到详细的隧道信息,IPsec SA和统计信息。
图-21 Device A的IPsec隧道详细信息
3. 在Device A上可以自动或手动进行链路智能切换。
# 选择“网络 > VPN > IPsec > 策略”,可以看到已创建的IPsec策略已开启IPsec智能选路功能,该功能会实时地自动探测链路的时延、丢包率,动态切换到满足通信质量要求的链路上建立IPsec隧道。
图-22 IPsec策略
# 单击智能选路链路状态中的“调整”按钮,进入“调整链路顺序”页面,可以勾选“激活”单选框手动切换链路。
图-23 调整链路顺序
4. 在Device B上查看IPsec隧道信息如下。
# 选择“网络 > VPN > IPsec > 监控”,可以看到当前建立的IPsec隧道。点击隧道列表右侧的“详情”图标,可以看到详细的隧道信息,IPsec SA和统计信息。
图-24 Device B的IPsec隧道详细信息
- 2023-01-01回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论