基于 IPSEC 动态VPN外网(untrust)用户拨入SRX防火墙,实现Untrust---->trust内网192.168.2.0/24网段的安全远程访问vpn,此案例与dmz无关。 第一步:配置用户认证配置文件set access profilera-users authentication-order passwordsetaccess profile ra-users
ike { proposal ike-prop { authentication-method pre-shared-keys; dh-group group2;
SRX source NAT setinterfaces ge-0/0/0 unit 0 family inet address 192.168.2.254/24setinterfaces ge-0/0/1 unit 0 family inet address 192.168.114.190/24setinterfaces ge-0/0/2 unit 0 family inet addr
华为USG与思科ASA ipsec ikev2 对接配置 USG:#acl number 3000rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255#ike proposal 1encryption-algorithm 3des-cbcdh group2#ike peer 1pre-sha
华为USG ipsec综合案例
案例比较典型,中大型企业网部署较多,当然了,生产网络中内外路由器的数量会增多(冗余),这里是仿真将就看吧。老规矩,直接上图上配置(配置是eNSP打开直接就有了)
直接上图: 因为设备较多,配置也较多,因此不展示配置,相关配置直接下载附件即可。另外:配置就是eNSP保存的文档,直接eNSP模拟器打开即可。没有txt、doc、pdf格式(整理比较麻烦)
fw1:interfaceGigabitEthernet0/0/0ip address 192.168.1.2 255.255.255.0hrp track masterinterfaceGigabitEthernet0/0/1ip address 202.100.1.1 255.255.255.0hrp track masterhrp mirror sessionenablehrp
interfaceGigabitEthernet0/0/0.2vlan-type dot1q 2 &nb
本帖最后由 freeit_zfz 于 2014 AR1:acl number 3001 rule 1 deny ip source 10.1.2.0 0.0.0.255destination 10.1.1.0 0.0.0.255rule 2 permit ip source 10.1.2.0 0.0.0.255rule 3 permit ip source 172.
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
