v5防火墙ipsec命令行配置

参考一下

3.2 F1000-E-SI（V5平台）设置

#将接口G0/5划分到Trust区域。

zone name Trust

import interface GigabitEthernet0/5

#将接口G0/4划分到Untrust区域。

zone name Untrust

import interface GigabitEthernet0/4

#定义Trust区域到Untrust区域的规则。

interzone source Trust destination Untrust

   rule 1 permit

   source-ip any_address

   destination-ip any_address

   service any_service

   rule enable

#定义Untrust区域到trust区域的规则。

interzone source Untrust destination Trust

   rule 0 permit

   source-ip any_address

   destination-ip any_address

   service any_service

   rule enable

#

#创建高级ACL 3000

acl number 3000

#描述为ipsec acl for V7。

description ipsec acl for V7

#定义要保护由子网192.168.1.0/24去子网192.168.2.0/24的数据流。

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

#

#创建ike提议，名称为1。

ike proposal 1

#选择IKE提议所使用的加密算法为3des-cbc。

  encryption-algorithm 3des-cbc

#选择IKE提议所使用的验证算法为md5。

authentication-algorithm md5

#选择IKE提议所使用的验证方法为预共享秘钥。

authentication-method pre-share

#

#创建IKE peer，名称为123，默认使用主模式。

ike peer 123

#调用IKE提议proposal 1。

 proposal 1

#设置预共享秘钥，密码为123。

 pre-shared-key simple 123

#指定匹配对端IP地址为100.1.1.2。

remote-address 100.1.1.2

#指定本地地址为100.1.1.1。

 local-address 100.1.1.1

#

#创建IPsec安全提议t1。

ipsec transform-set t1

#配置安全协议对IP报文的封装形式为隧道模式。

encapsulation-mode tunnel

#安全协议为esp。

protocol esp             

#加密算法为128比特的AES。

esp encryption-algorithm aes-cbc-128

#认证算法为HMAC-Md5。

esp authentication-algorithm md5

#

#创建一条IKE协商方式的IPsec安全策略，名称为policy1，序号为1。

ipsec policy policy1 1 isakmp

#调用ipsec安全提议为t1。

transform-set t1

#调用acl 3000。

security acl 3000

#调用IKE peer为123。

  ike-peer 123

#

#配置公网接口地址

interface GigabitEthernet0/4

ip address 100.1.1.1 255.255.255.0

#公网口调用IPsec安全策略policy1

  ipsec policy policy1

#配置私网地址。

interface GigabitEthernet0/5

ip address 192.168.1.1 255.255.255.0

# 配置到Host A所在子网的静态路由。100.1.1.2为本例中的直连下一跳地址，实际使用中请以具体组网情况为准。

ip route-static 192.168.2.0 255.255.255.0 100.1.1.2