手機終端通過ipsec vpn撥號,防火牆 怎麼配置
- 0關注
- 0收藏,2904瀏覽
問題描述:
用戶通過手機上的ipsec vpn進行撥號連接,防火牆上要怎麼配置?
配完手機測了下,在防火牆上看不到ike sa 和ipsec sa。
組網及組網描述:
- 2023-01-10提問
- 舉報
-
(0)
最佳答案
手機ipsec參考:
手機IPSec VPN接入配置實驗
4.1 實驗內容與目標
完成本實驗,您應該能夠:
l
l
l
4.2 實驗組網圖
實驗組網如圖4-1所示。手機連接wifi獲取地址172.31.2.7,與網關設備172.31.0.1同網段,防火牆在網關上做NAT,手機與防火牆建立IPSec VPN。
4.3 背景需求
V7防火牆設備作為VPN總部,客戶通過移動終端Phone撥入,中間跨越運營商NAT,客戶撥入後可實現訪問總部資源的需求。
4.4 實驗設備和器材
本實驗所需之主要設備器材如表4-1所示。
|
名稱和型號 |
版本 |
數量 |
描述 |
|
F1020 |
CMW710-D9333P07 |
2 |
|
|
SR6602 |
CMW520-R3303P41 |
2 |
|
|
Phone |
-- |
1 |
Android/IOS |
|
AP |
-- |
1 |
|
|
第5類UTP以太網連接線 |
-- |
2 |
|
4.5 實驗過程
實驗任務一:配置防火牆側IPSec VPN
步驟一:準備工作
按照圖4-1搭建實驗環境,配置網關設備的接口地址和NAT功能。配置如下:
[Router]interface GigabitEtherne0/1
[Router-GigabitEthernet0/1]ip address 172.31.0.1 255.255.252.0
[Router-GigabitEthernet0/1]nat server protocol udp global 172.31.0.22 any inside 10.0.2.20 any
[Router-GigabitEthernet0/1]quit
[Router]interface GigabitEtherne0/2
[Router-GigabitEthernet0/2]ip address 10.0.2.10 255.255.255.0
[Router-GigabitEthernet0/2]quit
配置防火牆G1/0/2的接口地址為10.0.2.20/24,將接口加入安全域Untrust,並配置所需的安全策略。配置和顯示信息如下:
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 10.0.2.20 255.255.255.0
[FW-GigabitEthernet1/0/2]quit
[FW]security-zone name trust
[FW-security-zone-Trust]import interface Ten-GigabitEthernet1/0/24
[FW-security-zone-Trust]quit
#配置安全策略為全通
[FW]security-policy ip
[FW-security-policy-ip]rule 1 name any
[FW-security-policy-ip-1-any]action pass
[FW-security-policy-ip]display this
#
security-policy ip
rule 1 name any
action pass
#
return
[FW-security-policy-ip]quit
#配置默認路由
[FW]ip route-static 0.0.0.0 0 10.0.2.10
AP配置略,手機能獲取到地址即可。
步驟二:采用模板方式配置IPSec VPN
由於終端地址不固定,總部防火牆采用模板方式建立IPSec VPN。
說明:
由於手機接入IPSec的部分配置特殊,當前版本Web界麵暫無配置項,因此建議使用命令行配置。
配置domain的IKE認證/授權類型:
[FW]domain system
[FW-isp-system]authentication ike none
[FW-isp-system]authorization ike local
配置為移動終端分配IPv4地址的IKE本地地址池,從而使得企業分支客戶端使用由企業中心網關統一分配的IP地址作為私網地址來進行通信,配置如下:
[FW]ike address-group ikepool 2.2.2.2 2.2.2.10 255.255.255.255
創建本地用戶並指定用戶類型為IKE,並授權IKE地址池:
[FW]local-user user1 class network
[FW-luser-network-user1]password simple 654321
[FW-luser-network-user1]service-type ike
[FW-luser-network-user1]authorization-attribute ip-pool ikepool
配置IKE提議:
[FW]ike proposal 1
[FW-ike-proposal-1]dh group2
[FW-ike-proposal-1]quit
配置IKE keychain:
[FW]ike keychain 1
[FW-ike-keychain-1]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[FW-ike-keychain-1]quit
配置IKE策略:
[FW]ike profile 1
[FW-ike-profile-1]proposal 1
[FW-ike-profile-1]keychain 1
[FW-ike-profile-1]match remote identity address 0.0.0.0 0.0.0.0
#開啟對客戶端的認證,指定為xauth
[FW-ike-profile-1]client-authentication xauth
[FW-ike-profile-1]aaa authorization domain system username user1
[FW-ike-profile-1]quit
配置IPSec安全提議:
[FW]ipsec transform-set 1
[FW-ipsec-transform-set-1]esp encryption-algorithm aes-cbc-256
[FW-ipsec-transform-set-1]esp authentication-algorithm sha1
[FW-ipsec-transform-set-1]quit
創建一個IPSec安全策略模板,引用安全提議和IKE策略:
[FW]ipsec policy-template 1 10
[FW-ipsec-policy-template-1-10]transform-set 1
[FW-ipsec-policy-template-1-10]ike-profile 1
[FW-ipsec-policy-template-1-10]quit
引用IPsec安全策略模板創建一條IKE協商方式的IPsec安全策略:
[FW]ipsec policy 1 10 isakmp template 1
在接口G1/0/2下應用IPSec安全策略:
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ipsec apply policy 1
實驗任務二:配置手機側IPSec撥入(IOS係統)
步驟一:IOS係統配置
添加VPN配置,選擇類型為IPSec,配置服務器為防火牆NAT後地址“172.31.0.22”,賬戶user1,密碼654321,與防火牆上創建的IKE本地用戶保持一致。
其中密鑰為防火牆上配置的預共享密鑰123456。
圖4-2 IOS係統VPN配置
步驟二:驗證配置
點擊連接VPN,VPN狀態顯示已連接,查看VPN詳情如圖所示,其中“地址”就是從防火牆上配置的IKE地址中自動獲取的。
圖4-3 IOS係統VPN詳細情況
在防火牆上可查看隧道狀態正常,安全策略采用的協商方式為模板方式,對端受保護數據流的IP地址為2.2.2.2/32。
<FW>display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/2
-------------------------------
-----------------------------
IPsec policy: 1
Sequence number: 10
Mode: Template
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Path MTU: 1420
Tunnel:
local address: 10.0.2.20
remote address: 172.31.2.7
Flow:
sour addr: 0.0.0.0/0.0.0.0 port: 0 protocol: ip
dest addr: 2.2.2.2/255.255.255.255 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 2652109651 (0x9e13fb53)
Connection ID: 21474836481
Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843173/3384
Max received sequence-number: 347
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: Y
Status: Active
[Outbound ESP SAs]
SPI: 246464222 (0x0eb0bede)
Connection ID: 21474836480
Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843200/3384
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: Y
Status: Active
在防火牆上創建一個loopback接口,配置接口地址為2.2.2.22/32。從手機側ping這個地址,可以ping通。
圖4-4 IOS係統VPN測試連通性
實驗任務三:配置手機側IPSec撥入(Android係統)
步驟一:Android係統配置
添加VPN網絡,選擇“IPSec Xauth PSK”。配置服務器地址為防火牆NAT後地址“172.31.0.22”,用戶名user1,密碼654321,IPSec預共享密鑰123456。
圖4-5 Android係統VPN配置
步驟二:驗證配置
點擊連接VPN,VPN狀態為已連接,說明IPSec VPN建立成功。如圖4-6所示:
圖4-6 Android係統VPN連接狀態
在防火牆上可查看隧道狀態正常,安全策略采用的協商方式為模板方式,對端受保護數據流的IP地址為2.2.2.2/32。
<FW>display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/2
-------------------------------
-----------------------------
IPsec policy: 1
Sequence number: 10
Mode: Template
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Path MTU: 1420
Tunnel:
local address: 10.0.2.20
remote address: 172.31.2.7
Flow:
sour addr: 0.0.0.0/0.0.0.0 port: 0 protocol: ip
dest addr: 2.2.2.2/255.255.255.255 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 4040720768 (0xf0d88180)
Connection ID: 30064771072
Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3591
Max received sequence-number: 8
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: Y
Status: Active
[Outbound ESP SAs]
SPI: 9696822 (0x0093f636)
Connection ID: 38654705665
Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843200/3591
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: Y
Status: Active
在防火牆上創建一個loopback接口,配置接口地址為2.2.2.22/32。從手機側ping這個地址,可以ping通。
圖4-7 Android係統VPN測試連通性
4.6 實驗中的命令列表
表4-2 命令列表
|
命令 |
描述 |
|
ike proposal proposal-number |
創建IKE安全提議,並進入安全提議視圖 |
|
dh { group1 | group14 | group2 | group24 | group5 } |
配置IKE階段1密鑰協商時所使用的DH密鑰交換參數。 |
|
ike keychain keychain-name |
創建並進入一個IKE ketchain視圖 |
|
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher cipher-key | simple simple-key } |
配置預共享密鑰 |
|
ike profile profile-name |
創建IKE profile,並進入IKE profile視圖 |
|
keychain keychain-name |
指定采用預共享密鑰認證時使用的IKE keychain |
|
proposal proposal-number&<1-6> |
配置IKE profile引用的IKE提議 |
|
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name } } |
配置一條用於匹配對端身份的規則 |
|
ipsec transform-set transform-set-name |
創建IPsec安全提議,並進入IPsec安全提議視圖 |
|
ipsec { ipv6-policy-template | policy-template } template-name seq-number |
用來創建一個IPsec安全策略模板,並進入IPsec安全策略模板視圖 |
|
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name |
用來引用IPsec安全策略模板創建一條IKE協商方式的IPsec安全策略。 |
|
transform-set transform-set-name&<1-6> |
指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架所引用的IPsec安全提議 |
|
ike-profile profile-name |
指定IPsec安全策略/IPsec安全策略模板引用的IKE profile |
- 2023-01-10回答
- 評論(0)
- 舉報
-
(0)
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論