Chinaunix首页 | 论坛 | 博客
  • 博客访问: 381489
  • 博文数量: 114
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1219
  • 用 户 组: 普通用户
  • 注册时间: 2015-02-07 21:23
文章分类

全部博文(114)

文章存档

2018年(1)

2017年(5)

2016年(87)

2015年(21)

我的朋友

分类: 系统运维

2015-11-28 11:22:01


  1. 配置防火墙策略和nat策略(省.......
USA:
  1. acl number 3010
  2.  rule 5 permit ip source 192.168.88.0 0.0.0.255 destination 192.168.15.0 0.0.0.255
  3. ike proposal 11
  4.  encryption-algorithm aes-cbc
  5.  dh group2
  6. #
  7. ike peer a2
  8.  pre-shared-key abcqwe
  9.  ike-proposal 11
  10.  remote-address 219.235.18.112
  11.  ipsec proposal tran2
  12.  esp authentication-algorithm sha1
  13.  esp encryption-algorithm aes
  14.  ipsec policy sec_tcslight 11 isakmp
  15.  security acl 3010
  16.  ike-peer a2
  17.  proposal tran2
  18.  
  19.  配置到对端路由
  20.  ip route-static 192.168.15.0 255.255.255.0 202.14.10.1
  21.  
  22.   
  23.  配置不需要进行NAT转换
  24.  nat-policy interzone trust untrust outbound
  25.  policy 1
  26.   action no-nat
  27.   policy source 192.168.88.0 0.0.0.255
  28.   policy destination 192.168.15.0 0.0.0.255
  29.   
  30.   
  31.    WAN口应用策略
  32.  interface Ethernet0/0/0
  33.  alias WAN
  34.  ip address 202.14.10.2 255.255.255.248
  35.  ipsec policy sec_tcslight auto-neg
  36. #

  37. interface Vlanif1
  38.  alias LAN
  39.  ip address 192.168.88.1 255.255.255.0
  40.  service-manage enable
  41.  service-manage https permit
  42.  service-manage ping permit
  43.  service-manage ssh permit
  44.  service-manage telnet permit
  45.  
  46. #
  47.   
  48. USGB: 
  49.   
  50. acl number 3010
  51.  rule 5 permit ip source 192.168.15.0 0.0.0.255 destination 192.168.88.0 0.0.0.255
  52. #
  53.  ike proposal 11
  54.  encryption-algorithm aes-cbc
  55.  dh group2
  56.  #
  57. ike peer c
  58.  pre-shared-key abcqwe
  59. ike-proposal 11                          
     remote-address 202.14.10.2 
     ipsec proposal tran1                      
     esp authentication-algorithm sha1        
     esp encryption-algorithm aes             
    #                  
    ipsec policy sec_tcslight 11 isakmp       
     security acl 3010                        
     ike-peer c                               
     proposal tran1 


    配置到对端USG路由 
     ip route-static 192.168.88.0 255.255.255.0 219.235.18.111
     
     配置不需要进行NAT转换
     nat-policy interzone trust untrust outbound
     policy 1                                 
      action no-nat                           
      policy source 192.168.15.0 0.0.0.255    
      policy destination 192.168.88.0 0.0.0.255
      
     
     WAN口应用策略
     interface Ethernet0/0/0                   
     alias WAN                                
     ip address 219.235.18.112 255.255.255.248
     ipsec policy sec_tcslight auto-neg       
    #                                    


    interface Vlanif1                         
     alias LAN                                
     ip address 192.168.15.3 255.255.255.0     
     service-manage enable                    
     service-manage https permit              
     service-manage ping permit               
     service-manage ssh permit                
     service-manage telnet permit    
     
    执行displayike sadisplay ipsec sa会显示安全联盟的建立情况





阅读(5507) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~