用户需求:
公司总部有一台Hillstone防火墙,分公司有一台Cisco ISR路由器,现在用户想在分公司访问总部的内网资源,于有就有了这一次的IPsec对接。
配置过程:
一、Cisco ISR路由器
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address xxx.xxx.xxx.xxx //这里是对端地址
!
crypto ipsec transform-set xxx-yyy esp-3des esp-md5-hmac
mode tunnel
!
crypto map xxx-yyy 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx //这里是对端地址
set transform-set xxx-yyy
match address 120
!
interface GigabitEthernet0/0/0
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy //这是本地公网地址
ip nat outside
negotiation auto
crypto map xxx-yyy
!
ip nat inside source list 121 interface GigabitEthernet0/0/0 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.yyy
ip route 10.100.0.0 255.255.0.0 172.16.1.2
!
access-list 120 permit ip 10.xxx.0.0 0.0.255.255 10.yyy.0.0 0.255.255.255
access-list 120 permit ip 172.xxx.1.0 0.0.0.3 10.yyy.0.0 0.255.255.255
access-list 120 permit ip 10.xxx.0.0 0.0.255.255 192.168.x0 0.0.0.255
access-list 120 permit ip 10.xxx.0.0 0.0.255.255 192.168.y.0 0.0.0.255
access-list 121 deny ip 10.xxx.0.0 0.0.255.255 192.168.x.0 0.0.0.255
access-list 121 deny ip 10.xxx.0.0 0.0.255.255 192.168.y.0 0.0.0.255
access-list 121 deny ip 10.xxx.0.0 0.0.255.255 10.yyy.0.0 0.255.255.255
access-list 121 permit ip 10.xxx.0.0 0.0.255.255 any
说明:以上的xxx,yyy是对用户IP做了处理,不影响阅读。
二、Hillstone防火墙
1、对端配置
在这里我配置了名称、接口、对端地址、提议1、预共享密钥及高级配置中的NAT穿越。其它根据情况进行配置。
2、具体配置
对端名称就是之前第一张图中配置的,隧道下面的名称根据实际情况配置,P2提议需要配置,根据情况进行选择。
另外代理ID这里需要手动添加,本地IP要访问远端IP哪些地址段就在这里手动添加完成即可。
另外高级配置中开启了“检查ID”和“自动连接”
3、创建tunnel接口,并绑定之前的IPsec配置
接口名称可以顺延当前系统的,安全域根据情况进行选择。
下面的隧道绑定配置中,绑定前面配置好的名称,然后点击确定。
4、创建安全策略
创建两条策略以放行内网到分公司方向,及分公司到总部方向的流量。
配置完成之后可在两端查看,连接是否建立成功。
Hillstone端查看如下:
在这里可以看到连接已经建立成功。
标签:ip,10,Cisco,0.0,xxx,ISR,255.255,list,Hillstone From: https://blog.51cto.com/05wylz/6101599