Chinaunix首页 | 论坛 | 博客

w787815的ChinaUnix博客

首页 |  博文目录 |  关于我

w787815

  • 博客访问: 381489
  • 博文数量: 114
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1219
  • 用 户 组: 普通用户
  • 注册时间: 2015-02-07 21:23
文章分类

全部博文(114)

文章存档

2018年(1)

2017年(5)

2016年(87)

2015年(21)

我的朋友
最近访客
推荐博文
相关博文
华为USG防火墙之间做ipsecVPN

分类: 系统运维

2015-11-28 11:22:01


  1. 配置防火墙策略和nat策略(省.......
USA:
  1. acl number 3010
  2.  rule 5 permit ip source 192.168.88.0 0.0.0.255 destination 192.168.15.0 0.0.0.255
  3. ike proposal 11
  4.  encryption-algorithm aes-cbc
  5.  dh group2
  6. #
  7. ike peer a2
  8.  pre-shared-key abcqwe
  9.  ike-proposal 11
  10.  remote-address 219.235.18.112
  11.  ipsec proposal tran2
  12.  esp authentication-algorithm sha1
  13.  esp encryption-algorithm aes
  14.  ipsec policy sec_tcslight 11 isakmp
  15.  security acl 3010
  16.  ike-peer a2
  17.  proposal tran2
  18.  
  19.  配置到对端路由
  20.  ip route-static 192.168.15.0 255.255.255.0 202.14.10.1
  21.  
  22.   
  23.  配置不需要进行NAT转换
  24.  nat-policy interzone trust untrust outbound
  25.  policy 1
  26.   action no-nat
  27.   policy source 192.168.88.0 0.0.0.255
  28.   policy destination 192.168.15.0 0.0.0.255
  29.   
  30.   
  31.    WAN口应用策略
  32.  interface Ethernet0/0/0
  33.  alias WAN
  34.  ip address 202.14.10.2 255.255.255.248
  35.  ipsec policy sec_tcslight auto-neg
  36. #

  38. interface Vlanif1
  39.  alias LAN
  40.  ip address 192.168.88.1 255.255.255.0
  41.  service-manage enable
  42.  service-manage https permit
  43.  service-manage ping permit
  44.  service-manage ssh permit
  45.  service-manage telnet permit
  46.  
  47. #
  48.   
  49. USGB: 
  50.   
  51. acl number 3010
  52.  rule 5 permit ip source 192.168.15.0 0.0.0.255 destination 192.168.88.0 0.0.0.255
  53. #
  54.  ike proposal 11
  55.  encryption-algorithm aes-cbc
  56.  dh group2
  57.  #
  58. ike peer c
  59.  pre-shared-key abcqwe
  60. ike-proposal 11                          
     remote-address 202.14.10.2 
     ipsec proposal tran1                      
     esp authentication-algorithm sha1        
     esp encryption-algorithm aes             
    #                  
    ipsec policy sec_tcslight 11 isakmp       
     security acl 3010                        
     ike-peer c                               
     proposal tran1 


    配置到对端USG路由 
     ip route-static 192.168.88.0 255.255.255.0 219.235.18.111
     
     配置不需要进行NAT转换
     nat-policy interzone trust untrust outbound
     policy 1                                 
      action no-nat                           
      policy source 192.168.15.0 0.0.0.255    
      policy destination 192.168.88.0 0.0.0.255
      
     
     WAN口应用策略
     interface Ethernet0/0/0                   
     alias WAN                                
     ip address 219.235.18.112 255.255.255.248
     ipsec policy sec_tcslight auto-neg       
    #                                    


    interface Vlanif1                         
     alias LAN                                
     ip address 192.168.15.3 255.255.255.0     
     service-manage enable                    
     service-manage https permit              
     service-manage ping permit               
     service-manage ssh permit                
     service-manage telnet permit    
     
    执行displayike sadisplay ipsec sa会显示安全联盟的建立情况
阅读(5507) | 评论(0) | 转发(0) |
0

上一篇:centos一般系统操作(5.8)

下一篇:防火墙NAT小实验

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6