v7防火墙和v7防火墙ipsec对接-野蛮模式-总部ip固定.docxVIP

v7防火墙和v7防火墙ipsec对接-野蛮模式功能需求：防火墙A和防火墙B之间建立一个ipsec隧道，对Host A所在的子网（192.168.7.1）与Host B所在的子网（192.168.5.1）之间的数据流进行安全保护。· 防火墙A和防火墙B之间采用IKE协商方式建立IPsec SA。· 使用IKE野蛮模式进行协商，防火墙A作为分部，防火墙B作为总部。· 使用缺省的预共享密钥认证方法。此案例适用于：分部ip不固定，总部公网ip固定，中间经过nat或者不经过nat的组网。组网信息及描述：本案例中，以防火墙A（拨号的）的loopback0口代表A设备的内网hostA，以防火墙B（固定ip的）的loopback0口代表B设备的内网hostB，A设备的G1/0/1作为连接外网的接口，ip：2.2.2.1.B设备的G1/0/1口作为连接外网的接口，ip：1.1.1.1。loopback口代表各自的内网。防火墙A能ping的通防火墙B的公网ip。2.2.2.1去往1.1.1.1的公网路由中间经过了nat设备,对源2.2.2.1的转换成了1.1.1.2。配置步骤：防火墙A配置接口的ip，路由，安全域等基本配置定义要保护由子网192.168.7.0/24去往子网192.168.5.0/24的数据流。acl advanced 3001 rule 5 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255配置nat 转换的流，拒绝ipsec保护的流acl advanced 3333 rule 0 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 5 permit ip可以看到拨号口是dial1interface GigabitEthernet1/0/1 port link-mode route pppoe-client dial-bundle-number 1配置内网接口interface LoopBack0 ip address 192.168.7.1 255.255.255.255配置去上外网的路由，2.2.2.2是公网接口的网关ipip route-static 0.0.0.0 0.0.0.0 2.2.2.2 接口加入安全域及放通安全域。V7防火墙的域间规则默认都是禁止的，本实验放通域间所有流量为例子，具体的域间规则，请以实际的需求为准。security-zone name Trust import interface LoopBack0security-zone name Untrust import interface Dialer 1 import interface GigabitEthernet1/0/1acl advanced 3000 rule 0 permit ipzone-pair security source Any destination Any packet-filter 3000zone-pair security source Any destination Local packet-filter 3000zone-pair security source Local destination Any packet-filter 3000ike提议参数，需要和对方B设备的ike提议参数一致指定IKE提议使用的认证算法为md5，加密算法3des-cbcike proposal 1 encryption-algorithm 3des-cbc authentication-algorithm md5配置和对方1.1.1.1建立vpn时使用ike域共享密码。使用admin，和对方设备一致即可ike keychain 1 pre-shared-key address 1.1.1.1 255.255.255.0 key simple admin配置ike profile名称v7,野蛮模式，本端使用FQDN进行身份标识。匹配对端时使用IPV4地址进行身份标识，match remote identity的ip需要和对端B设备ike profile中local-identity的ip一致，反之，local-identity的fqdn名称是对端的match remote identity的fqdn名称。ike profile v7 keychain 1 exchange-mode aggressive local-identity fqdn v7 match remote identity address 1.1.1.1 255.25