IKE野蛮模式
为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建×××的方案中的特殊情况――即局端设备的IP 地址为固定分配的,用户端设备的IP 地址为动态获取的情况,在IKE阶段的协商模式中增加了IKE野蛮模式,它可以选择根据协商发起端的IP 地址或者ID 来查找对应的身份验证字,并最终完成协商。IKE 野蛮模式相对于主模式来说更加灵活,能够支持协商发起端为动态IP地址的情况。
实验要求:
fw2的Ethernet0/4口为公网固定IP地址,fw1的eth0/4为动态获取IP地址,所以分公司要和总部建立起IPSEC连接必须具备IKE野蛮模式,为了保证信息安全采用IPsec/IKE方式创建安全隧道
实验拓扑:
实验主要配置
(1)isp配置dhcp服务
[isp]dhcp enable
[isp]dhcp server ip-pool fw1
[isp-dhcpfw1]network 1.1.1.0 mask 255.255.255.0
[isp-dhcpfw1]gateway-list 1.1.1.2
[isp-dhcpfw1]dns-list 222.85.85.85
(2) 配置fw1
[fw1-Ethernet0/4]ip add dhcp-alloc #获得ip
# 配置本端防火墙设备的名字。
[fw1] ike local-name fw1
# 配置acl。
[fw1] acl number 3000
[fw1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[fw1-acl-adv-3000]rule deny ip source any destination any
# 配置IKE对等体peer。
[fw1] ike peer fw2
[fw1-ike-peer-fw2] exchange-mode aggressive
[fw1-ike-peer-fw2] pre-shared-key abc
[fw1-ike-peer-fw2] id-type name
[fw1-ike-peer-fw2] remote-name fw2
[fw1-ike-peer-fw2] remote-address 2.2.2.1
# 创建IPsec安全提议prop。
[fw1] ipsec proposal prop
[fw1-ipsec-proposal-prop] encapsulation-mode tunnel
[fw1-ipsec-proposal-prop] transform esp
[fw1-ipsec-proposal-prop] esp encryption-algorithm des
[fw1-ipsec-proposal-prop] esp authentication-algorithm sha1
# 创建安全策略policy并指定通过IKE协商建立安全联盟。
[fw1] ipsec policy policy 10 isakmp
[fw1-ipsec-policy-isakmp-policy-10] ike-peer fw2
# 配置安全策略policy引用访问控制列表3000。
[fw1-ipsec-policy-isakmp-policy-10] security acl 3000
# 配置安全策略policy引用IPsec安全提议prop。
[fw1-ipsec-policy-isakmp-policy-10] proposal prop
# 进入Eth0/4并配置IP地址。
[fw1]firewall zone untrust
[fw1-zone-untrust]add interface eth0/4 #eth0/4加入区域
[fw1] interface Ethernet 0/4
[fw1-Ethernet0/0/0] ip address 1.1.1.1 255.255.0.0
[fw1-Ethernet0/0/0] ipsec policy policy # 配置E0/0/0引用安全策略组policy。
(2) 配置fw2防火墙
# 配置本端防火墙设备的名字。
[fw2] ike local-name fw2
# 配置acl。
[fw2] acl number 3000
[fw2-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[fw2-acl-adv-3000]rule deny ip source any destination any
# 配置IKE对等体peer。
[fw2] ike peer fw1
[fw2-ike-peer-fw1] exchange-mode aggressive
[fw2-ike-peer-fw1] local-address 2.2.2.1
[fw2-ike-peer-fw1] pre-shared-key abc
[fw2-ike-peer-fw1] id-type name
[fw2-ike-peer-fw1] remote-name fw1
# 创建IPsec安全提议prop。
[fw2] ipsec proposal prop
[fw2-ipsec-proposal-prop] encapsulation-mode tunnel
[fw2-ipsec-proposal-prop] transform esp
[fw2-ipsec-proposal-prop] esp encryption-algorithm des
[fw2-ipsec-proposal-prop] esp authentication-algorithm sha1
# 创建安全策略policy并指定通过IKE协商建立安全联盟。
[fw2] ipsec policy policy 10 isakmp
[fw2-ipsec-policy-isakmp-policy-10] ike-peer fw1
# 配置安全策略policy引用访问控制列表3000。
[fw2-ipsec-policy-isakmp-policy-10] security acl 3000
# 配置安全策略policy引用IPsec安全提议prop。
[fw2-ipsec-policy-isakmp-policy-10] proposal prop
# 进入Eth0/4并配置IP地址。
[fw2]firewall zone untrust
[fw2-zone-untrust]add interface eth0/4 #eth0/4加入区域
[fw2] interface Ethernet 0/4
[fw2-Ethernet0/4] ip address 2.2.2.1 255.255.0.0
[fw2-Ethernet0/4] ipsec policy policy # 配置E0/0/0引用安全策略组policy。
实验结果及测试
使用display ike sa命令检查双方是否都已建立SA
客户端192.68.1.100测试与192.168.2.254的连通性(测试时从分支到总公司进行测试)
实验结束
