ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

集团总部与分部的IPsec ×××连接

2019-07-11 21:00:25  阅读:331  来源: 互联网

标签:10 acl ip ACL hywl 0.0 分部 总部 IPsec



一、总部网关的设置(USG5530):三线固定IP出口,基础配置略,关键是策略绑定的出口配置中不要启用NAT,做源NAT配置,同时让到分部内网的数据流排除在NAT之外,因为NAT与IPSEC ×××是冲突的。

1.定义被保护的数据流。

acl number 3004

 rule 5 permit ip source 192.168.113.0 0.0.0.255 destination 172.17.1.0 0.0.0.255 

 rule 10 permit ip source 172.16.9.0 0.0.0.255 destination 172.17.1.0 0.0.0.255 

2.配置序号为10的IKE安全提议

ike proposal 10

 encryption-algorithm aes-128 

 dh group2 

3.配置名称为hywl的IKE Peer

ike peer hywl

 pre-shared-key 999999

 ike-proposal 10

 remote-id-type none 

4.配置名称为hywl的IPSec安全提议。

ipsec proposal hywl

 esp authentication-algorithm sha1 

 esp encryption-algorithm aes-128  

5.配置名称为hywl序号为1的IPSec安全策略模板。

ipsec policy-template hywl 1

 security acl 3004

 ike-peer hywl

  proposal hywl

6.在IPSec安全策略hyjt中引用安全策略模板hywl,安全策略模板的名称不能与安全策略的名称相同。

ipsec policy hyjt 10 isakmp template hywl

7.在接口GigabitEthernet 0/0/1上应用安全策略hyjt。

interface GigabitEthernet0/0/1

ipsec policy hyjt 


二、分部网关的设置(USG6100):PPPOE拨号上网

待……


三、出现的问题及解决

  1. 分部能PPPOE拨号成功,但不能上网:默认路由指向有误,默认指向虚拟端口dialer0,但实际的拨号端口为dialer1,更换即可。

    ip router 0.0.0.0 0.0.0.0 dialer1

  2. ***第一阶段协商不成功:两端的IKE安全提议配置中加密算法或认证算法不一至、不匹配。

  3. ***连接建立之后,总部ping不通分部网关的内网口172.17.1.254:原因是不拨号虚拟端口上没有开启PING权限。

    interface Dialer 1  //进入拨号虚拟接口

    service-manage ping permit //开启PING


四、问题诊断分析方法

1.流量统计分析过程:首先开启从源端到目的端的长ping

acl 3999   //建立ACL

rule 5 permit ip source 源ip 0 destination 目的ip

 rule 10 permit ip source 目的ip 0 destination 源ip

diagnose  //进入诊断模式

firewall statistics acl 3999 enable  //关联ACL

display firewall statistics acl  //显示流量状态

undo firewell statistics acl 3999    //要记得关闭流量统计,以免消耗资源。

2.ACL命中分析:首先开启从源端到目的端的长ping

只有IPSec隧道未建立时,发起协商的报文会命中ACL,导致命中次数增长,而接受协商一端的ACL不会增长。当IPSec隧道建立成功后,匹配ACL的数据流不会导致ACL命中次数增长。

display acl 3010  //查看ACL

*******                 //省略

(14 times matched)       //显示出来的命中次数

 ACL的匹配次数增长了14次,说明本端的ACL配置与需保护的数据流一致,即本端ACL配置无误。


标签:10,acl,ip,ACL,hywl,0.0,分部,总部,IPsec
来源: https://blog.51cto.com/77jiayuan/2419512

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有