cisco防火墙
点击上方蓝字关注我们!
切记:我下面说的以及做的是GRE Over IPSec,不是单纯的L2L的IPSec,单纯的L2L IPSec很容易就配置成功。GRE Over IPSec是需要数据在Tunnel隧道上传输的,并且可以启用动态路由协议传递私网路由的技术。
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同厂家的不同或者相同类型设备之间做对接,比如思科的路由器和山石网科防火墙、深信服的防火墙和山石网科的防火墙等。这种情况往往会出一些小麻烦。
其实今天这个实验我准备了两天才搞定,对于思科路由器的GRE Over IPSec我自认为还是比较熟悉的,但是山石网科的配置以及里面的细节我确实不怎么清楚,因此我花了两天时间专门查阅了山石的文档,查阅归查阅,但是实际操作又会遇到一些问题。
比如我一开始做这个实验的时候,刚开始思科路由器和山石防火墙的GRE Over IPSec协商都起不来,后来协商成功了,但是无法传输被ESP(IPSec)封装的实际数据。感谢,结局是好的,实验成功了。我给大家演示一下。拓扑图如下:拓扑解析:
CSR是思科的一款路由器,Hillstone是山石网科的防火墙,Vyos是一款开源的没有网速限制路由器,如果做一些大型的数据流比较大的实验,Vyos是一个不错的选择,我这里的Vyos仅仅是用来模拟一个Internet,PC1和Server是两个公司内部的设备。
实验目标:
在CSR和Hillstonbe之间建立一条GRE Over IPSec的安全隧道,用来传输PC1和Server之间通信的数据。
实验步骤:
①基础IP地址和路由配置②思科GRE配置③思科IPSec配置④Hillstone的IPSec配置⑤Hillstone GRE配置 ⑥隧道路由配置 ⑦山石网科防火墙做策略⑧测试
另外据山石网科的在线客服说,山石的墙不支持在WEB页面配置GRE隧道,但是IPSec可以在WEB配置,因为我是CLI+WEB的方式配置Hillstone的防火墙。
第一步:基础IP地址和路由配置CSR#show run int G1/G2interface GigabitEthernet1ip address 202.100.1.1 255.255.255.0no shutdowninterface GigabitEthernet2ip address 192.168.111.1 255.255.255.0no shutdownendCSR#show run | sec ip routeip route 0.0.0.0 0.0.0.0 202.100.1.10 //写一条去往对方加密点的路由vyos@vyos# set interfaces ethernet eth0 address 202.100.1.10/24vyos@vyos# set interfaces ethernet eth1 address 103.231.1.10/24vyos@vyos# commit //提交配置vyos@vyos# save //保存配置interface ethernet0/1zone “untrust”ip address 103.231.1.1 255.255.255.0manage pingexitinterface ethernet0/2zone “trust”ip address 192.168.222.1 255.255.255.0manage pingip vrouter “trust-vr”ip route 0.0.0.0/0 103.231.1.10 //写一条去往对方加密点的路由
第二步:思科GRE配置思科路由器:
interface Tunnel0ip address 123.1.1.1 255.255.255.0tunnel source GigabitEthernet1tunnel destination 103.231.1.1ip route 192.168.222.0 255.255.255.0 Tunnel0 //去往Server的数据包走Tunnel0隧道,//用对方的Tunnel IP地址也是可以的第三步:思科IPSec配置crypto isakmp policy 10 //IPSec阶段一SAencr 3deshash sha512authentication pre-sharegroup 2crypto isakmp key Cisc0123 address 0.0.0.0crypto isakmp identity hostname //使用主机名作为对方识别的标识,用IP地址也是可以的
第三步:思科IPSec配置
crypto isakmp policy 10 //IPSec阶段一SAencr 3deshash sha512authentication pre-sharegroup 2crypto isakmp key Cisc0123 address 0.0.0.0crypto isakmp identity hostname //使用主机名作为对方识别的标识,用IP地址也是可以的crypto ipsec transform-set Trans esp-3des esp-sha512-hmac //阶段二转换集mode transportaccess-list 100 permit ip host 202.100.1.1 host 103.231.1.1 //感兴趣流crypto map GRE 10 ipsec-isakmpset peer 103.231.1.1set transform-set Transset pfs group2match address 100
interface GigabitEthernet1 //接口下调用IPSeccrypto map GRE
第四步:Hillstone的IPSec配置
阶段一提议:阶段二提议:VPN对端列表:IKE VPN列表:
第五步:Hillstone GRE配置
tunnel gre “CSR”source 103.231.1.1destination 202.100.1.1interface ethernet0/1next-tunnel ipsec 1exitinterface tunnel1 //创建Tunnel接口zone “trust”ip address 123.1.1.2 255.255.255.0manage pingtunnel gre “CSR” gw 123.1.1.1exit
第六步:隧道路由配置思科CSR路由器:
ip route 192.168.222.0 255.255.255.0 Tunnel0山石网科防火墙:ip vrouter “trust-vr”ip route 192.168.111.0/24 123.1.1.1exit
第七步:山石网科防火墙做策略
rule id 1action permitsrc-zone “Any”dst-zone “Any”src-addr “Any”dst-addr “Any”service “Any”name “Permit-Any”
第八步:测试用PC分别去ping 和Telnet Server 的80端口看看CSR和Hillstone之间的9个Isakmp协商包和ESP所封装的实际数据看CSR和Hillstone的IPSec会话OK。这个实验圆满成功。给大家三点建议:①Hillstone最后那条去往对方通信点的路由(192.168.111.0/24)建议加上下一跳IP地址(CSR的Tunnel地址),不要只写一个出接口(虽然是P2P接口)。②在思科路由器上建议敲上crypto isakmp identity hostname并且山石网科那边设置peer对端的时候,用dqdn标识对端并且接收任何id的连接。peer-id fqdn “CSR”accept-all-peer-id③山石网科配置IKE VPN的时候,记得启用“使用代理ID”和“自动连接”tunnel ipsec “1” auto sa-index 1
auto-connectaccept-all-proxy-id
鉴于篇幅有限,更多详细课程大纲/知识体系/实体书籍/网工必备工具包等请扫码加群获取!
领取福利
种下一棵树最好的时间是10年前其次是现在学习也一样
