思科防火墙 思科防火墙配置

发布时间:2020-06-09 12:14:00   来源:网络 关键词:思科防火墙

思科防火墙


使用IPsec-VPN建立站点到站点的连接时,在配置完阿里云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。

VPC和本地IDC的网络配置如下:
配置 示例值
VPC网络配置 VSwitch网段 192.168.10.0/24、192.168.11.0/24
VPN网关公网IP 47.xxx.xxx.161
本地IDC网络配置 私网网段 10.10.10.0/24
防火墙公网IP 124.xxx.xxx.171
说明 如果本地IDC侧有多个网段要与VPC互通,建议您在阿里云侧创建多个IPsec连接,并添加VPN网关路由。

配置IKEv1 VPN

前提条件
  • 已经在阿里云VPC内创建了IPsec连接。详细说明,请参见创建IPsec连接。

  • 已经下载了IPsec连接的配置。详细说明,请参见下载IPsec连接配置。本操作中以下表中的配置为例。
    协议 配置 示例值
    IKE 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v1
    生命周期 86400
    协商模式 main
    PSK 123456
    IPsec 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v1
    生命周期 86400
    协商模式 esp
操作步骤

完成以下操作,在思科防火墙中加载用户网关的配置:

  1. 登录防火墙设备的命令行配置界面。
  2. 配置isakmp策略。
    crypto isakmp policy 1 authentication pre-share encryption aeshash sha group  2lifetime 86400
  3. 配置预共享密钥。
    crypto isakmp key 123456 address 47.xxx.xxx.161
  4. 配置IPsec安全协议。
    crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel
  5. 配置ACL(访问控制列表),定义需要保护的数据流。 说明 如果本地网关设备配置了多网段,则需要分别针对多个网段添加ACL策略。
    access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
  6. 配置IPsec策略。
    crypto map ipsecpro64 10 ipsec-isakmpset peer 47.xxx.xxx.161set transform-set ipsecpro64set pfs group2match address 100
  7. 应用IPsec策略。
    interface g0/0crypto map ipsecpro64
  8. 配置静态路由。
    ip route 192.168.10.0 255.255.255.0 47.xxx.xxx.161ip route 192.168.20.0 255.255.255.0 47.xxx.xxx.161
  9. 测试连通性。

    您可以利用您在云中的主机和您数据中心的主机进行连通性测试。

配置IKEv2 VPN

前提条件
  • 已经在阿里云VPC内创建了IPsec连接。详细说明,请参见创建IPsec连接。

  • 已经下载了IPsec连接的配置。详细说明,请参见下载IPsec连接配置。本操作中以下表中的配置为例。

    协议 配置 示例值
    IKE 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v2
    生命周期 86400
    PRF算法 SHA-1
    PSK 123456
    IPsec 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v2
    生命周期 86400
    协商模式 esp

操作步骤

完成以下操作,在思科防火墙中加载用户网关的配置。
  1. 登录防火墙设备的命令行配置界面。
  2. 配置IKE第一阶段算法。
    crypto ikev2 proposal daemon encryption aes-cbc-128integrity sha1group 2
  3. 配置IKE v2策略,并应用proposal。
    crypto ikev2 policy ipsecpro64_v2proposal daemon
  4. 配置预共享密钥。
    crypto ikev2 keyring ipsecpro64_v2 peer vpngw address 47.xxx.xxx.161pre-shared-key 0 123456
  5. 配置身份认证。
    crypto ikev2 profile ipsecpro64_v2match identity remote address 47.xxx.xxx.161 255.255.255.255identity local address 10.10.10.1 authentication remote pre-share     authentication local pre-share keyring local ipsecpro64_v2
  6. 配置IPsec安全协议。
    crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmacmode tunnel
  7. 配置ACL(访问控制列表),定义需要保护的数据流。 说明 如果本地网关设备配置了多网段,则需要分别针对多个网段添加ACL策略。
    access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
  8. 配置IPsec策略。
    crypto map ipsecpro64_v2 10 ipsec-isakmpset peer 47.xxx.xxx.161set transform-set ipsecpro64_v2 set ikev2-profile ipsecpro64_v2match address 100
  9. 应用IPsec策略。
    interface g0/1crypto map ipsecpro64_v2
  10. 配置静态路由。
    ip route 192.168.10.0 255.255.255.0 47.xxx.xxx.161ip route 192.168.20.0 255.255.255.0 47.xxx.xxx.161
  11. 测试连通性。

    您可以利用您在云中的主机和您数据中心的主机进行连通性测试。


海外CDN
什么是CC攻击
猜你喜欢
上一篇:3d 地图 地图容器 下一篇:最后一页