中國(guó)專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁(yè) > 資訊動(dòng)態(tài) > IT知識(shí)庫(kù) >

網(wǎng)絡(luò)運(yùn)維|防火墻的VPN

2020-06-11 17:01 作者：艾銻無(wú)限瀏覽量：

網(wǎng)絡(luò)運(yùn)維|防火墻的VPN

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下點(diǎn)到點(diǎn)IPSec配置實(shí)例，網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

點(diǎn)到點(diǎn)IPSec隧道

介紹采用IKE方式協(xié)商的點(diǎn)到點(diǎn)IPSec隧道的配置舉例。

組網(wǎng)需求

如圖10-9所示，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B通過(guò)USG_A和USG_B連接到Internet。在USG_A和USG_B之間建立IPSec隧道，以保護(hù)兩個(gè)網(wǎng)絡(luò)進(jìn)行安全通信。網(wǎng)絡(luò)環(huán)境描述如下：

網(wǎng)絡(luò)A屬于10.1.1.0/24子網(wǎng)，與USG_A的GigabitEthernet 0/0/1接口連接。
網(wǎng)絡(luò)B屬于192.168.1.0/24子網(wǎng)，與USG_B的GigabitEthernet 0/0/1接口連接。
USG_A和USG_B相互路由可達(dá)。

圖10-9 IKE方式協(xié)商的點(diǎn)到點(diǎn)IPSec隧道舉例組網(wǎng)圖

項(xiàng)目		數(shù)據(jù)
USG_A	（1）	接口號(hào)：GigabitEthernet 0/0/1 IP地址：10.1.1.1/24 安全區(qū)域：Trust
	（2）	接口號(hào)：GigabitEthernet 0/0/2 IP地址：200.1.1.1/24 安全區(qū)域：Untrust
	IPSec配置	IKE驗(yàn)證身份類型：IP IKE預(yù)共享密鑰：abcde IKE對(duì)端IP地址：固定地址，200.10.1.1
USG_B	（3）	接口號(hào)：GigabitEthernet 0/0/2 IP地址：200.10.1.1/24 安全區(qū)域：Untrust
	（4）	接口號(hào)：GigabitEthernet 0/0/1 IP地址：192.168.1.1/24 安全區(qū)域：Trust
	IPSec配置	IKE驗(yàn)證身份類型：IP IKE預(yù)共享密鑰：abcde IKE對(duì)端IP地址：固定地址，200.1.1.1

配置思路

兩個(gè)網(wǎng)絡(luò)的公網(wǎng)IP地址固定不變，且兩個(gè)網(wǎng)絡(luò)之間要互相訪問(wèn)，可建立IKE協(xié)商的點(diǎn)到點(diǎn)方式的IPSec隧道，使兩個(gè)網(wǎng)絡(luò)中的設(shè)備都可以主動(dòng)發(fā)起連接。
對(duì)于USG_A和USG_B，配置思路相同。如下：

完成接口基本配置、路由配置，并開(kāi)啟本地策略和轉(zhuǎn)發(fā)策略。
配置IPSec策略。包括配置IPSec策略的基本信息、配置待加密的數(shù)據(jù)流、配置安全提議的協(xié)商參數(shù)。

操作步驟

配置USG_A。
1. 配置接口基本參數(shù)。
  1. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
  2. 在“接口列表”中，單擊GE0/0/1對(duì)應(yīng)的。
  3. 在“修改GigabitEthernet”界面中，配置如下：
    - 安全區(qū)域：trust
    - IP地址：10.1.1.1
    - 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

單擊“應(yīng)用”。
在“接口列表”中，單擊GE0/0/2對(duì)應(yīng)的。
在“修改GigabitEthernet”界面中，配置如下：
- 安全區(qū)域：untrust
- IP地址：200.1.1.1
- 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

單擊“應(yīng)用”。
對(duì)于USG系列，配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常。對(duì)于USG BSR/HSR系列，不需要執(zhí)行此步驟。
1. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
  1. 選擇“防火墻 > 安全策略 > 本地策略”。
  2. 在“本地策略”中單擊“新建”。配置如下參數(shù)：
    - 源安全區(qū)域：untrust
    - 源地址：200.10.1.0/24
    - 動(dòng)作：permit
  3. 單擊“應(yīng)用”。
2. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
  - 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
  - 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
    - 源安全區(qū)域：trust
    - 目的安全區(qū)域：untrust
    - 源地址：10.1.1.0/24
    - 目的地址：192.168.1.0/24
    - 動(dòng)作：permit
  - 單擊“應(yīng)用”。
  - 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
  - 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
    - 源安全區(qū)域：untrust
    - 目的安全區(qū)域：trust
    - 源地址：192.168.1.0/24
    - 目的地址：10.1.1.0/24
    - 動(dòng)作：permit
  - 單擊“應(yīng)用”。
配置USG_A到網(wǎng)絡(luò)B的靜態(tài)路由，此處假設(shè)到達(dá)網(wǎng)絡(luò)B的下一跳地址為200.1.1.2。
1. 選擇“路由 > 靜態(tài) > 靜態(tài)路由”。
2. 在“靜態(tài)路由列表”中，單擊“新建”。
3. 在“新建靜態(tài)路由”界面中，配置如下：
  - 目的地址：192.168.1.0
  - 掩碼：255.255.255.0
  - 下一跳：200.1.1.2

其他配置項(xiàng)采用缺省值。

單擊“應(yīng)用”。
配置USG_A的IPSec隧道。
1. 選擇“VPN > IPSec > IPSec”，單擊“新建”，選擇“場(chǎng)景”為“點(diǎn)到點(diǎn)”。
2. 配置IPSec策略基本信息，并指定對(duì)端網(wǎng)關(guān)，預(yù)共享密鑰為abcde。

在“待加密的數(shù)據(jù)流”中單擊“新建”，按如下數(shù)據(jù)增加一條數(shù)據(jù)流規(guī)則。

展開(kāi)“安全提議”中的“高級(jí)”，按如下參數(shù)配置IPSec安全提議。

本例中所使用的安全提議參數(shù)全部為缺省配置(見(jiàn)下圖)，用戶可以直接使用而不用逐一對(duì)照配置。如果實(shí)際應(yīng)用場(chǎng)景中對(duì)安全提議參數(shù)有明確要求時(shí)，可以對(duì)安全提議參數(shù)進(jìn)行修改，且隧道兩端所使用的安全提議配置必須相同。

單擊“應(yīng)用”。完成USG_A的配置。

配置USG_B。
1. 配置接口基本參數(shù)。
  1. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
  2. 在“接口列表”中，單擊GE0/0/1對(duì)應(yīng)的。
  3. 在“修改GigabitEthernet”界面中，配置如下：
    - 安全區(qū)域：trust
    - IP地址：192.168.1.1
    - 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

單擊“應(yīng)用”。
在“接口列表”中，單擊GE0/0/2對(duì)應(yīng)的。
在“修改GigabitEthernet”界面中，配置如下：
- 安全區(qū)域：untrust
- IP地址：200.10.1.1
- 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

單擊“應(yīng)用”。
對(duì)于USG系列，配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常。對(duì)于USG BSR/HSR系列，不需要執(zhí)行此步驟。
1. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
  - 選擇“防火墻 > 安全策略 > 本地策略”。
  - 在“本地策略”中單擊“新建”。配置如下參數(shù)：
    - 源安全區(qū)域：untrust
    - 源地址：200.1.1.0/24
    - 動(dòng)作：permit
  - 單擊“應(yīng)用”。
2. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。
  - 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
  - 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
    - 源安全區(qū)域：trust
    - 目的安全區(qū)域：untrust
    - 源地址：192.168.1.0/24
    - 目的地址：10.1.1.0/24
    - 動(dòng)作：permit
  - 單擊“應(yīng)用”。
  - 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
  - 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。
    - 源安全區(qū)域：untrust
    - 目的安全區(qū)域：trust
    - 源地址：10.1.1.0/24
    - 目的地址：192.168.1.0/24
    - 動(dòng)作：permit
  - 單擊“應(yīng)用”。
配置USG_B到網(wǎng)絡(luò)A的靜態(tài)路由，此處假設(shè)到達(dá)網(wǎng)絡(luò)A的下一跳地址為200.10.1.2。
1. 選擇“路由 > 靜態(tài) > 靜態(tài)路由”。
2. 在“靜態(tài)路由列表”中，單擊“新建”。
3. 在“新建靜態(tài)路由”界面中，配置如下：
  - 目的地址：10.1.1.0
  - 掩碼：255.255.255.0
  - 下一跳：200.10.1.2

其他配置項(xiàng)采用缺省值。

單擊“應(yīng)用”。
配置USG_B的IPSec隧道。
1. 選擇“VPN > IPSec > IPSec”，單擊“新建”，選擇“場(chǎng)景”為“點(diǎn)到點(diǎn)”。
2. 配置USG_B的IPSec策略基本信息，并指定對(duì)端網(wǎng)關(guān)，預(yù)共享密鑰為abcde。

在“待加密的數(shù)據(jù)流”中單擊“新建”，按如下數(shù)據(jù)增加一條數(shù)據(jù)流規(guī)則。

展開(kāi)“安全提議”中的“高級(jí)”，按如下參數(shù)配置IPSec安全提議。

本例中所使用的安全提議參數(shù)全部為缺省配置（見(jiàn)下圖），用戶可以直接使用而不用逐一對(duì)照配置。如果實(shí)際應(yīng)用場(chǎng)景中對(duì)安全提議參數(shù)有明確要求時(shí)，可以對(duì)安全提議參數(shù)進(jìn)行修改，且隧道兩端所使用的安全提議配置必須相同。

單擊“應(yīng)用”。完成USG_B的配置。

結(jié)果驗(yàn)證

配置成功后，使用網(wǎng)絡(luò)A中的某臺(tái)主機(jī)訪問(wèn)網(wǎng)絡(luò)B中的某臺(tái)主機(jī)或服務(wù)器，訪問(wèn)成功。
在USG_A上選擇“VPN > IPSec > 監(jiān)控”，查看IPSec隧道監(jiān)控信息，可以看到建立的如下信息的隧道。