Print

SecPath100F和浪潮NS-0210防火墙IPSec互通案例

2006-09-14 发表

SecPath100F和浪潮NS-0210防火墙

IPSec互通案例

 

一、 组网需求:

SecPath100F和浪潮NS-0210防火墙做IPSec VPN互通。

二、 网图

 

三、 配置信息

1.     SecPath100F的主要配置

ike sa keepalive-timer interval 120  

ike proposal 1

 dh group2

ike peer 1

 pre-shared-key 111111

 remote-address 218.57.136.54

 local-address 219.133.94.138

ipsec proposal 1

 esp authentication-algorithm sha1

ipsec policy policy1 1 isakmp

 security acl 3000

 pfs dh-group2

 ike-peer 1

 proposal 1

acl number 3000

 rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

acl number 3001

 rule 0 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

 rule 1 deny ip

interface Ethernet0/0                                                          

 ip address 219.133.94.138 255.255.255.0

 nat outbound 3001

 ipsec policy policy1

interface LoopBack0

 ip address 172.16.1.1 255.255.255.0

 ip route-static 0.0.0.0 0.0.0.0 219.133.94.129

 

2.        浪潮NS-0210的主要配置

 

 

 

 

 

四、 配置关键点

1、      浪潮防火墙上的流量周期必须设置为零;

2、  浪潮防火墙默认IPSEC Proposal和IKE Proposal一致;

3、  浪潮防火墙的安全级别的定义:中代表加密为des,验证为sha1;高代表加密为3des,验证为sha1;

4、  浪潮防火墙密钥交换采用的是DH-GROUP 2。