ensp中ipsec配置实例过程

欢迎观看 ip seg 典型配置举例演示视频，本视频将详细介绍设备 ip seg 功能的配置方法。 ipsec 是一种三层隧道加密技术，通过在特定通信方之间建立通道， ipsec 为互联网上传输的数据提供了高质量的基于密码学的安全保证。 在该场景中， device a 与 device b 之间建了一条 ipsac 隧道，对 host 一所在子网与 host 二所在子网之间的数据流量进行保护， 具体要求为两端通过与共享密，要进行认证还可以协商。采用的加密算法为，三 d s c p c。 认证算法为 s h a。 二、五六 ip 赛道的封装模式为隧道模式，安全协议为 e s p。 配置步骤为，首先配置 d y s a 的接口 i p 地址和安全， 然后创建 trust 安全欲与 and trust 安全欲互通的安全策略。然后配置 ike 提议，按照组网要求配置加密和认证算法。配置 ipsic 策略，应用于相应接口。 配置 ike 策略引用 ike 提议，用于协商 ipsic 加密和认证采用的密要配置 acl， 定义需要 ipsic 保护的流量，按照相同步骤配置 usb。 下面将演示具体配置步骤，登录 dysa 的外网管页面，首先根据组网环境配置设备接口、 ip 地址及其所属安全域。本例中已配置完成， 进入安全策略页面，创建 trust 安全域与 untrust 安全域互通的安全策略。本例中已配置完成。 进入 i k e。 提议页面，创建 i k e 提议一，按照要求配置认证和加密算法， 进入 ipsec 策略页面，创建 ipsec 策略 policy one， 并应用于接口一杠零杠八，配置对端接口 ip 地址为二百二十点零点十点一百， 配置 i k e。 策略，输入与共享秘药，并引用 i k e。 提议，一，指定本端和对端 id 为 ip 地址，用于 i k e。 协商过程中确认身份。 新建 sl 规则，指定受保护的数据流为一九二点一百点零点零杠二十四网段到一九二点二百点零点零杠二十四网段的流量 高级配置区域使用默认配置，至此， device a 配置完成， 然后登录 dysb 的外网管页面，根据主网环境配置设备接口的 ip 地址及其所属安全域。分离中，已配置完成。进入安全策略页面，创建 trust 安全域与 untrust 安全域互通的安全策略。分离中，已配置完成。 进入 i k e。 提议页面，创建 i k e。 提议一，按照要求配置认证和加密算法。 进入 x x 策略页面，创建 x x 策略 policy one， 并应用于接口一杠零杠九，配置对端接口地址为 二百二十点零点零点一百 h i k e。 策略数与 d y s a。 相同的与共享秘药，并引用 i k e。 提议，一，指定本端和对端 id 为 ip 地址，用于 i k e。 协商过程中确认身份。 新建 a c l 规则，指定受保护的数据流为一九二点二百点零点零杠二十四网段到一九二点一百点零点零杠二十四网段的流量高级配置区域使用默认配置，至此， d s b。 配置完成。 验证配置，从 host 一拼 host 二的 ip 地址可以拼通 查看。 dysa 上 ipsec 监控页面， ipsec 隧道建立成功。本视频演示结束，谢谢观看。

基本配置三小节呢，我们介绍了所谓的 g i 一的 vpn， vpn 呢实际上就是在官网里面构建一个私有的隧道出来，那这个 g i u vpn 呢， 在隧道里面呢，并没有对数据进行保护，因此存在安全性的问题。 ip check 的 vpn 呢，就可以呃解决 g i evpn 的安全性的问题，它构建出来的是一个安全的一个隧道， 在公网上传出数据有三个问题要解决，第一个就是数据的加密问题， 第二个就是数据的呃叫做验证问题，就是防篡改，防更改。第三个 就是房冒充 冒充哈啊，加密呢就是数据的这个防窃听呢，我们可以通过加密算法来解决，防创改呢，可以经啊使用哈西来解决，防冒充呢，我们可以进行身份认证。 那这一小节呢，我们实际上对这些啊问题呢啊并没有仔细的探讨。 ip check 呢是一个架构啊，它并不是一个具体的啊，某一个协议它是由很多协议来组成，具体来讲呢，它里面有 a h 协议，有 e s p 协议，还有 i k e 的这个协议。 好在 ip sec 里面有一个非常重要的一个概念，叫安全的联盟，叫 s a 安全联盟。首先它是一个单向的，如果两个路由器之间要构建 ip sec 的隧道，那在出方向有一个 安全联盟，在进方向也有个安全联盟。那出方向的安全联盟的参数呢？必须和对方进方向的，这是出方向的吧， 对方的近方向的安全联盟的参数要保持一致。安全联盟啊，做什么东西呢？他定义的两个对填几之间呢？要使用的数据的封装的模式 以及加密认证秘药等等参数，我发送出去的数据，它的封装，它的认证，呃， 算法以及他加密算法以及的密，要和对方收到的数据，他的封装模式配置是要一致的，否则的话，我发送出去的数据对方是解不开的啊，解不开这个数据， 同样呢，对方发送过来的数据，我这边也有可能解不开啊，因此要保证双方的安全联盟的参数啊，一定要一致，而且是单向的一个东西。 ip seg， 它的模式有两种模式，一个叫传输模式，一个叫隧道模式。呃，什么叫隧道模式呢？我们用的比较多的应该是隧道 好，如果这个隧道是在这个边界路由器和边界路这个边界路由器啊建立起来的，这个 ip set 的模式我们称之为叫隧道。如果 ip sec 的隧道是从用户端到用户端这种模式呢，我们称之为叫传输模式。传输模式呢啊，我们这小节呢，并不会涉及到 ip sec vpn 呢，它的配置步骤呢？有这么五大步骤，首先呢，配置网络可达，你一定要保证互联网是通的啊。第二个配置，感兴趣流，感兴趣流意味着什么？对什么样的数据包要进行啊？ ip sec vpn 的保护。 第三步，创建安全的体育 proposal， 这个第四步，创建安全的策略 policy。 最后呢，在接口上应用安全的策略。下面呢我们简单的给大家演示一下啊，这一小节呢，实际上对 ipad check vbn 呢，只是，呃比较简单的接手啊， 大家能够把基本配起来就完了，里面很多深入的这个原理呢啊，大家要去学习另外相关的课程， 刚才提到了 ib checker 的这个 sa 安全联盟，安全联盟的建立啊，有两种方式，一个是通过手工来建立，第二个通过 i k 动态协商 来建立。如果要使用 i k e 动态协商呃，方式呢？实际上我们需要用到 i k e 这个协议。 i k e 协议这一小节呢，我们介绍的只是通过手工来配置 i p set vpn， 也就是 s a 是通过手工来配置的。 好，下边呢，我们以具体的例子来查看这个 top 图。在上个小节呢，我们使用的 g i 的 v p n 来实现了两地网络的互通，深圳的网络和北京的网络通过私网的 ip 地址可以互相拼通。这一小节呢，我们要换成 ip sec 的 v p n。 好，参照这个 ppt 上的这个配置。首先第一步啊，你要保证网络的互通，那这个我们基本上已经做到了。 好，这个网络互通，我们来验证一下，从深圳的路由器拼通，北京的路由器二零二点九，六点一，三四点二可以拼通，就是从这个公网啊，已经可以拼通这个公网的 ip 地址。 好，紧接着下面呢，要创建感兴趣流，定义感兴趣流啊，定义感兴趣流， 这个感兴趣牛呢，他的目的是就是什么样的数据要进行微偏的这个保护，为什么我们要定义呢？因为我们这台计算机 的数呃的这个发往这台路由器的这个数据，有很多数据，有可能这次目的是要发往这边，有可能我是要通过这台路由器上互联网，比如说我要上新浪网，如果发上发往新浪网的这个数据包，你不能啊，不能给我做加密，对吧？好，我们这个例子里面 什么样的数据包要做加密呢？从这个网段到这个网段，因此呢，我们定一个防控列表，呃， a c l 采用扩展防控列表，就是高级防控列表啊。规则， permi ip source e 零点一点一点零。这个这个网络的零点零点零二五到目标十点二点二点零，零点零点零点二五啊，把这个网段的数据包发往另外网段的这个数据，呃，另外网段的这样数据包进行微片的这个保护。 然后呢，紧接着要配置 ib checker 的 proposer 啊， ib checker 的 proposer， ib checker 的 proposer。 就是要定义我们采用 esp 的封装还是采用。呃，什么样的封装？ 那么这个封装呢，有 a h e s p 和 a h 加 e s p 这三个的区别在哪里呢？如果采用 a h 的封装呢？我们只能保证数据是啊，不会被篡改的，但是数据是不被加 密的。如果采用 esp 的封装呢，数据既会做加密啊，又会做，呃，防篡改，还可以做身份认证啊，因此 esp 这种封装呢，实际上是用的最多的。当然，如果采用 as ah 再加 esp 这种封装呢， 同样也是可以保证数据又是加密的啊，数据也是啊，防篡改的，也是防冒充的啊，常用的是这个，因此呢，我们采用的是这个 ip checker proposal， 呃， propose。 假设，呃，我取一个名字就叫 ip sec， 好吧啊，就叫 ip sec。 回车采用 esp 的这个认证啊， esp 的， 呃，封装，然后他的身份认证的算法里面有这么多种啊，我假设我们采用 h h 一啊， h 一安全性太低了哈，我们采用 h h 二，好吧， h h 二杠二百三百八十四啊，二百五十六吧。这个算法它的强度稍微弱一点，对温度去要求啊，没那么高。然后 e s p 还有加密算法， 加密的算法是采用 a e s 杠一百一百九十二，这就是配置 pro pose 啊。紧接着要配置 please， 就是配置它的策略 啊。这个策略呢，我们使用的是手工配置，刚才讲了 s a 可以手工来创建，也可以通过 i k 一协议来创建。我们使用的是手工 最大上一集 ip sec please。 然后呢，给他取一个名字，这个也叫爱迪赛卡，需要注意哈这两个名字，一个是 please 的这个名字，一个是 proposal 的名字。这两个名字，呃，是，虽然是一样，但是其实它是没有关联的 一个编号。通过手工来配置好配置 security， 什么样的数据包要进行 ipsec 的保护？我们刚才防控列表是三零零一，然后调用我们刚才配置的 proposal ip set 好。应该还要定义隧道，隧道的这一端原端是什么目的，端是什么隧道的它呢？的 source， 呃， local 啊， tarl 的 local 这一端呢？这个 top 里面六一点零点零点二，六一点零点零点二， tarl 的另外一端零 mote 是二零二点九，六点一三四点二， 好，下面紧接着要来配置 s a 的这个参数啊， s a 的，呃，它里面的所使用的 id 以及发送数据包给对方的时候 采用的加密的密码， s a， s p， i d。 然后先配置二方向的，二方向的采用的是 e s p， 这边有一个 spi 的 id 值，就是他的缩影号。这个假设的配置一二三四五六。好，另外一端，哎，我收到的硬方向的 esp 六五四三二一，好吧，需要注意对方等会要对称哈，然后还要配置 sa 的，他的加密的密码， 加密的密码二方向，假设二方向采用 e s p 的封装，一二三四呃，五六 六个 a 吧，六个 a 还不行是吧？啊？密码加密存放，这个密码加密存放呢，是指放在我们配置文件里面，我们这台路由器的配置文件采用加密存放哈。 s a 硬方向的 esp 也采用一二三四五六六个 b 哈来进行啊，那么这样子的话，关于策略就配置完了。最后呢，要把它应用在接口上应用在接口上，那么我们这个图应用在哪个接口呢？应用在这个接口上 s 一杠零杠零接口上 s 一杠零杠零接口。唱， ip sec， please ip sec。 回车给大家看一下我们的配置， 我们首先呢定义的感兴趣，牛，紧接着定义的 proposer， 第三第三个定义了这个 please。 然后呢在接口上 s 一杠零杠零。呃， s 一这个接口上我们把它应用上了 s 一，这个好，对方的配置呢，基本上是一一致的，所以呢，我就把这边呢 把它复制出来，在外面直接来改，我懒得敲了哈。 好，对方在这台路由器上的配置他应该是对称的，对吧？好，所以呢，这边的原 ip 地址应该改一下，对不对？好，这个呢，我们保持不变，两方应该一致，这个也是一样，塌了的铃木特，这两个应该掉一个方向了，对吧？ 好，英豹和英英蹦的方向和奥蹦的方向，这两个应该反过来了吧？ 好，同样呢，这个啊，引爆的方向应该是我进的方向，应该是对方出的方向，对吧？刚才我们配置的，呃，一个是 open 的方向是六个 a， 音泵的方向是六个 b， 对不对？因此 呢，我这边呢，配置的应该就是 open 的方向，那就是这边是六个 a， 一二三四五六， open 的方向是一二三四五六，对吗？再确认一下 这边，这边出的方向是六个 a 嘛，那意味着我这边进的方向应该是六个 a， 对不对？好，他们的 location， 我们看一下这个 有没有问题？ inbo uk。 好，没问题，把这个复制下来， 到这台路由器上，直接采用粘贴啊，然后呢，也需要应用在接口上，应用在 s 一杠零杠零接口上。 interface s 一杠零杠零接口。 呃， ip， please， ip sec please， 然后 ip sec 回车。好，这样子的话我们 ip sec 就配完了。配完之后呢，我们要测试一下从这台计算机来拼对方的计算机，拼十点二点二点一百 啊，可以拼通了。前面呢，为什么有一个数据包不通呢？是因为它需要建立建立 ip check 的这样的一个过程。好，呃，先抓一下数据包，现在呢，我同样在这个接口上抓数据包， s 一杠零杠零接口 啊，然后呢，计算题重新再来听 啊，你会发现现在呢，你收到的 抓到的这个数据包从六一点零点零两二发往二零二点九，六点幺三四点二啊，也就是这个数据包从这个接口发向这个接口啊， 但是呢，我们打开这个，呃，把这个数据包进行分析，你除了能看到 ip 数据包的头部里面的这个所有的数据呢啊，实际上我们都看不懂，就是它的数据是经过加密的， 我们只知道说有 ip set 的这个数据过去，但是这个里面的具体的数据是什么呢？我们这边啊并不能抓到，因此呢， ip set 可以来保证 我们数据在公网上传输的时候，他的数据不会被窃听啊，也创改不了，也没别人也没有办法进行冒充啊。啊，最后 呢，我们来查看一下跟 ibc 有关的一个信息， display ipsac 啊，比如说我们要看一下 proposal 啊， proposal， 我们定义的 proposal visa， 呃，这个是我们定义的 proposal， 它的这个认证的呃，算法以及它的加密的一个算法，你可以看见 ibsic 的 policy， 呃，我们这是我们定义的，对吧？英泵的方向以及 album 的方向采用的是什么？我们这边所配置的还可以看 ibsic 的 s a 的绘画，这个是我们定义的 s 一杠零杠零交流上所使用的安全的 联盟，它的这一端是什么？对端是什么对吧？然后 s p i s p i 的这个编号 proposal 调用的是哪一个 啊？还可以查看 ip check 的统计数啊，因为我们使用的 e s p 可以看到它里面呢，你看进来了九个数据包，出去的十个数据包，我们可以重新再拼一下， 重新再骗啊，重新再看一下统计数，哎，你看进来十四个，出去十五个，又来回增加了五个。 好，那这一小节呢，我们就简单介绍了， ip sec 的 vpn 采用的是手工来建立，呃，安全联盟，它的配置相对来说比较复杂，谢谢大家。

首先打开我们的软件 ins p， 然后今天主要给大家讲一下这个静态路由是怎么配置的，在我们生活当中的应用场景还是比较多的， 给大家提供一下这个关键的代码，就是咱们待会做配置需要用到的，一个的话就是路由表查询，另一个的话就是静态路由添加 display ip routing gun table， 加上我们的 ipd 值， 然后静态路由添加是 ip road 杠 static 加目标网段加野马，加下一条地址， 请大家忽略我这个弱鸡的打字 速度， 然后的话我们来新建这个 top， 呃，拖一台 pc， 然后再给两台陆游， 然后咱们再拖一台 dns 服务器，然后的话就是我们需要给他做一下配置吧，就是 ip， 就是现在我们 咱们先写一下，省的后面麻烦忘记掉， 然后 p c 的话咱们给个一点一，然后这里给个一点幺零，这边的话给个二点一， 这里再给一个二点幺零，然后这边的话是三点一， 这里再给一个三点幺零。好，咱们就这样，然后咱们将他们连接起来吧，那就 然后又到了漫长等待开机的时候， 那么接下来我们的这个设备开启好了，那我们就开始操作了，先配一下 pc 的 ip 版，一九二点一六八点一点一， 然后直网野马的是三个二五五点零，网关的话咱们就是一九二点一六八点一点幺零。 然后应用一下下面的话就进入到以我们 pc 相连的这个路由，它其实的话可以作为一个网关，关闭一下泛红信息，然后进入下系统视图，进入 g 零杠零杠零 ip address， 然后我们的 ip 加指网验码， 呃同样退出，然后再进入咱们这个 g 零杠零杠一，然后也是一九二点一六八点二点一， 然后加上自网野马，然后第二台路由的配置话，其实就跟这个一样的，就很简单，我是习惯性的保存一下， 以免就是自己配置未保存。进到第二台路由关闭咱们的泛红信息，然后进入系统视图，然后同样我们把这两个接口的 ip 给他配一下相关信息，配一下， 很多时候咱们不要怕这些东西，其实有些时候就你配置配置的话就记得了，就是说还是比较好理解的。 退出，然后咱们也是进入这个 g 零杠零杠一这个接口，然后配一下 ip 加字网页码， 配完之后保存，然后退出，退出保存 boss， 然后下面的话就是配置一下这个呃服务器的一个 ip 地址，一九二点一六八点三点幺零，然后此网也满有了网关，我们给一个一九二点一六八点三点一吧 应用一下保存，然后这个时候我们来看一下我们的 p c 能不能访问到服 布奇的这个 ip 地址，拼一下一九二点一六八点三点幺零，看看是什么情况。 哎，好，请求超时，那咱们就说明这个还没有配通，就刚刚那一套操作配置的话是不行的，这个时候我们就需要用到一串代码，也就是刚刚说的呃，静态路由添加， 这里我们先看一下吧，就是这个路由表，我们查询一下，看看有没有有没有到一九二点一六八点三点幺零的这个呃路由信息，咱们就浅浅的看一下，看一下是什么情况，好，这里查不到他的相关信息， 那么咱们就来做一个静态路由的添加， 呃，这里的话这个信息就这个关键代码，这个 routing 刚刚被我就写错了，是 rot r o u t e， 这个里面按 table 键的话，它返回来就是有点搞人的， 大家一定要记住，记清楚。然后就是咱们的 p c 如果需要访问到这个服务区的话，它是在三点 零这个网段，对吧？ 对，三点零这个网段，然后咱们输一下他的此网页码，然后咱们的下一条地址是不是到二点幺零啊？ 进入到二点幺零这个接口，然后这个路由再把信息发给咱们 dns 服务器解析，然后这里的话也是保存一下， 然后这边这个漏油的话，咱们也是同样的做一下配置， 然后咱们的目标网端的话是 是一点零网段，然后自网延码他的下一条地址，呃，咱们是是不是二点一，咱们要到这个路由这里 退出，然后保存一下， 因为我们在做操作的时候，呃，去和返回来的路咱们都要同时去做，所以说，呃，光去然后没有回来的路话是不行。现在的话我们来看一下能不能聘通三点幺零 啊？这里不用管它啊，现在是可以拼的通了， 因为刚刚那个 pc 没有关，然后打开的话，你拼的话他就是有一定的延迟啊，现在再拼一下，嗯，现在就好了，然后今这个就是今天要给大家讲的一个静态路由的配置。

那我们今天给大家去说一下 ip 赛克微拼的一个配置的一个真实案例啊，当我们所有的配置 我们都配置完以后呢，但是从总部到分支之间，内网就是拼不通，那么我们如何去解决？左边是呃，北京的一个总部，那么右边是上海的分支，通过微拼进行互联互通。当然呢，现在北京和上海都可以去单独的去访问互联网，我们先来做个测试啊，我们用北京的这台内网，我们去拼一个外网二二零 点一点一点一啊，呃，应该是可以拼多的，是没问题的。好，那么我们再来看一下我们用呃，这个上海的内网，我们也去拼一下他的一个互联网，看能拼多啊，我们去拼啊，二排点一点一点 一啊，这个应该也是可以通的，说明呢，两边呢都可以进行防护的网。好，那么现在我们用北京总部呢，去拼一下分支上海的二百点一百，拼一下幺九二点幺六八点二减 一百啊，我们这样子呃是听不通的啊，那么现在我们来看下需求啊，看下错误到底在哪里啊？其实我们只需要打开咱们呃，上海或者是北京的这个每个路由器上的 nit 转换，我们来看一下啊，那我们进到咱们去零杠零杠一，零杠零杠一里面去，我们第一次类似查看一下，咱们当前使用的是 nit 呢，使用是奥特曼三幺零零啊，所以说我们只需要 进到 icr 三幺零零里面去，我们查看他当前的一个策略啊，是允许所有的 ip 我们进行 nt 转发，所以在这里我们做个 nit 豁免啊，我们入了，比如我们家前第五条啊，入了体内，我拒绝 ip， 原地址是幺九二点幺六八点，本网贷的一点零万的网贷档啊，那么原地址啊，去到达目标地址，幺九二点幺六八点二点零啊，呃，这个目标地址呢？给他去 拒绝这个流量做 nit 转发啊，然后同理也需要在上海这边啊，上海的 s 呃，三幺，我们三个这个策略里面去，我们也是需要加一条相反方向的，就比如我们入了体内啊，我们该去入了地方条吧，我们加一千万入了体内 啊，然后呢是 ipsos 幺九二点幺六八点二点零啊，因为他本端的是二点零码啊，呃，此网页码，我们这要写反页码，怎么呢？目标地点呢？是这端幺九二点幺六八点一点零，然后呢我们零点零点零点二五， 那这样我们加完以后呢，那么我们就做这个 n i t 豁免，现在我们需要用 p c 一再去拼啊，咱们对端的啊，分支的二点一百，我们看下能不能拼动。 好，这个时候你会发现啊，我们这个，呃， ip 赛格 b p a 其实已经建立起来，是吧？我们通过内网主机就可以啊，跨互联网通过微拼进行数据转述了。

大家好，我是精彩网络技术，今天呢我们为大家讲解啊， usg 啊，六千微防火墙来配置啊，点到点的一个 absect 啊，一个 vpn 的隧道， 在这里面，我们先看一下啊，这个 top 呢，左边呢是我们其公司的总部， 那么右侧呢是我们公司的分布啊，这两个网络呢，它都是四网啊，都是四网，中间呢是利用互联网将两个公司进行连接，但是呢我们现在需要呢，就说，呃， p c 一这边呢，我希望去访问公司分布的啊， p c 二， 那么我们这样的话，我们需要丝网与丝网之间的一个通信，但是丝网与丝网通信的话，我们需要去借助 ipsak 啊，就说我们在互联网上啊，就从防火墙的这个一点一点一啊，到这个对端的二点二点二点一，中间呢我们要建立一个 ip ipsak 隧道，这样的话，我们 pc 到 pc 二的流量呢，他经过这个隧道以后呢，再到达我们这边 pcr， 当然因为 ipc 隧道呢，他可以对进入隧道的数据呢进行安全加密，这样的话可以防止啊， 进行加密以后呢，呃，我们的数据呢，他可以达到一个加密，还有完完整性，真实性，防重放的这样的效果啊，这样的话来减少啊，即便是被我们一些敏感的数据，被被其他窃取到的话，他也是没办法 啊。看到了，那么我们下面呢来看一下这个配置是如何去配置的，那么我们在这里呢，先看一下左侧公司总部，那么公司总部防火墙连接到我们的交换机啊，交换机连接到我们电脑主机 pc 的 ip 呢是幺幺二点幺六八点十点一， 那么防火墙的这个接口就是幺九二点幺六八，十点二五四这个接口 ip 呢来作为 pc 的网关 啊，防火墙的右侧呢是一点一点一，这是一个公网地址啊。 br 一呢是啊，互联网上的一台路由器，右侧呢是二点二点一，那么内侧的这个幺九二点幺六八点二十点二五四呢来作为 pcr 主机的网关。 那我们首先呢来看一下这个是如何去配置的。那么我们首先呢来看一下，我们把 互联网中间呢，它只是一台路由器啊，我们这台路由器的话，我们只要只需要给它配置相应的 ip 就可以。我们先配置 ar 机， 进入系统识图，修改设备名称 ar 一进入记忆零杠零杠零接口配置 ip 地址呢是一点一点一点二点满二十四位。 然后呢再进入到接口记忆零杠零杠一地址的 ip 地址呢是二点二点二点二， 年满二十四嘞。好，这样的话，我们只需要其实呢就是防火墙的这个外网口啊，那我们这个接口一点一点一啊，指定我们对端啊，就是一点一点二呢作为这边接口的 网关。那么右边这个防火墙啊，就是二点二点二点一这个接口啊，指定他的呃，网关呢是二点二点二，机械这样的话就可以实现啊，一点一点一到二点二点一之间的一个通行。 那我们先呢来看一下我的防火墙如何配置。首先呢，在防火墙的内部啊，我们设置到他的一个区域是 across 的区域 啊， trust 的区域啊，它是一个授信区域，而我们互联网这边的区域呢，它是一个 oncast 的区域 啊，然后对右侧这边呢也是这样的情况，就说公网这边呢是 on trust 区域，那么内网呢是 trust 区域，我们先把这个区域呢给它规 画上，规划好以后呢，我们把接口啊，配置 ip 啊，设置相应的安全区域。好，我们这样的话，我们用网页的方式来配置，首先呢我们已经连接到啊，就是本地电脑已经通过幺九二幺六八幺三七点幺，这是我本地的 啊，虚拟网卡已经连接到这个防火墙上面啊，当然第一次要配置防火墙的话，我们首先呢还是要进防火墙 啊，它的缺省的密码是 a b m l n t 一二三，第一次使用防火墙的时候呢，要修改一下密码，输入它的缺省密码，然后呢 我们把它修改成一个新的密码， admi 三四五六对，确认一下新密码。 好，那么我们进入到防火墙以后呢，进入系统视图进入到，那么我们通过这个云朵连接到这个接口 d 零杠零，这个接口 ip 呢，我们给它配置成幺点二点幺六八点幺三七点二， 和我的本地还会网卡呢，是同一个地址，同一个网段的地址。然后呢这个接口呢，我们要去配置他的一个 https 的权限，这个权限主要用于我们浏览器通过幺九幺六八幺三七啊点二呢进行登录到防火墙。 好，那么右侧这个呢，我们再继续给他做一个简单配置进入，呃，用户名是 a d m i n， 密码呢是 a d m l h e 二三，第一次使用修改密 对吧？ 好，修改完以后呢，我们进入系统视图修改，进入到记忆零杠零杠零的接口配置， ip 地址呢？这边是幺九二零幺六八点幺三八点二，连满二十四位 啊，去开启 https 的这个权限。好，开启完以后呢，我们防火墙呢啊，我们就可以通过浏览器的方式来进行登录， 我们打开浏览器，呃，我们先登录啊，第一个啊， h t t p ps， 幺九二点幺六八点幺三七点二啊，端口号是八四四三点高级点继续访问，这样的话我们就进入了第啊左左边的第一排防火墙，用本名和密码输上， 我们登录到防火墙里面去，然后呢取消确定，同意确定。那么在这里我们先来观察一下啊，那么我们内网可能是记忆一杠零杠零这个接口 ip 地址是幺九二幺零八十点五四啊，外网口是记忆一杠零杠一这个接口啊， ip 地址是一点一点一点一，我先呢在这个网络里面的接口里面去设一下，呃 啊，这是内网口是吧？内网口，我们配内网口的话，他的左手区域呢是 trust 区域，内网口 ip 呢是幺九二点零六八点十点二五四，野马，二十四位野马，好，确定，那我们再来看一下他的外网口， 这个呢是外网口，外网口的话所处在的安全区域是 on trust 啊，一点一点一点一啊， ip， 当然他有默认网关啊，就是一点一点一点二，就是对面路由器的接口的那个 ip 啊，配置网关以后呢，我们就不需要配缺省路由。 好，那么我们下面呢，我们再来看接口啊，配完了，配完以后呢，我们就要去配置安全策略啊，去配置安全策略，那么因为我们 用的是 ip sec 啊，要就说在防火墙与防火墙之间呢，建立 ip sec 这个隧道，建立这个隧道的话，我们呢他有四个安全策略，这个呢需要注意啊，第一个呢就是 trust 的啊， trust trust 呢就是指的我的内部的啊，内部的这个售进去，比如说我 p c 要访问 p c r， 那么对于这个防火墙来讲，这边内部呢就是 trust 区域，而因为他从工往出去的啊，所以外部呢他全部变成 r trust， 真的我要开启幺九二点幺六八十点二啊，十点零这个网段去访问目标地址，幺九幺六八二十点这个网段的安全策略，这是第一。第二个的话就是 ontrust 到 trust， 就是因为我们去的包，它还有返程的包， 对吧？那么返程的话就是 on trust 到 trust， 那么也就是原地址呢，就是幺九二点幺六八二十点零这网段到我这个 pc 幺九二点幺六八啊，二十啊十点零这个网段， 那么要注意啊，就是我 pc 一到 pc 二的流量，或者是 pc 二到返回到 pc 一的流量，他是进入到我的这个 ipsec 的这个隧道里在通行啊，因为在这个隧道里通行的话，那么我们是对这个数据呢要进行加密啊，进行加密， 那么还有呢一个 local 到 unchart 区域的一个安全策略，那么在这里呢，呃，我们就说这个口啊，记一个啊，一点一点一点一，那么要访问对的二点二点一啊，这个呢 是建立隧道的啊，啊，一端是吧？一端在一点一点一，另外一端呢在二点二点一，这样的话一点一点一呢，对这个网络，对我的防火墙来讲呢，他就是一个 lock 的区域，那么这边的另外一个二点二点二的区域，这边呢就是昂昂创的区域，要放心他的一个安全策略， 同时呢要放心二点二点一的啊，到我这个一点一点一啊啊的一个安全策略，这样来建立策略呢，实际上呢，因为我们在这里面呢还涉及到因为建创建这个 epsic 的隧道的话，他会使用的这个 udp 的协议啊，就是五百，那么我们要通过这个啊，在我们其实呢在创建 epsic 隧道的时候呢，首先呢要他要建立一个 i k e 啊啊 i k e 啊，那么 i k e 的一个啊安全联盟，然后呢创建好 i k e 的安安全联盟以后呢再创建 apathetic 的安全联盟，然后两个安全联盟呢两个阶段全部 建立通了以后呢他们才能进行真正的通信。 r k e 呢，主要进行一个啊，就是在我们不管在这个互联网上不安全的网络上呢，去创建一个安全的一个 r k e 的一个 啊隧道啊一个通道，这个 i p e 呢主要来生成啊，我们 i p sac 它所适用的这个加密的密药 啊，加密的密要，所以呢这是第一阶段，第二阶段的话就是我们把生成的啊通过 i k e 生成的这个呃密要呢用于 apsec 的对数据呢进行加密啊，比如说我们的一也 sp 啊，那么对数据呢进行啊分装啊，进行加密加解密。好，我们下面呢来看防火墙是如何去配置的？ 那么首先我们直接去配置策略了，配置策，安全策略呢？我们新建，刚才我们给大家讲的要配四个安全策略啊，第一个呢就是 trust 到 on trust 这个，那么原地址的话原安全区域，那么就是 trust 区域，物理安全区域呢是 on trust 区域，原地址呢是，就是我左边的这个丝网的这个地址啊，幺九幺六八十点零 啊，这个地址 p c 一啊，这个网段目的地址呢是我对端的啊， p c r 的啊，网段要价一百二十点零。好， 然后呢我们去放行他的一个安全策略，就是另外一个呢，我们还要去创建呢， t to you 啊， you to t 啊，就是原安全策略呢，就是 across 的 目的 i 目的区域呢是 trust 原 ip 原地只能是幺九二幺六八啊，就是 p c 二的这个网段的地址来访问我 p c 一的啊，幺九二点幺六八啊，点十点零，这个网段的地址。 好，然后呢我们请确定啊，那么在这里呢还有两个啊，一个呢是本地 locker 到 untrust 去，那么也就是原安全区域是 locker 目的安全区域呢是 untrust， 原地址呢就是我从我这个防火 强的一点一点一啊，然后呢它是一个三十二倍的啊，野马，这样的话代表是从这个接口出去啊，本地路由器这个防火墙接口出去，我要到达二点二点一啊， 好，这样的话我们设置好了，然后点确定，那么我们还需要去配置安全侧面就是 untrust 到 lock 这个区域，原来语言区域呢是 untrust， 目的区呢是 lock， 然后呢原地址呢是二点二点二，点击三十二位的眼码， 然后本地呢是一点一点一点一，三十二度的一点码，好点确定，然后呢我们再点进去，这样的话安全 策略我们就配置完成，配置完成以后，那么其实我们左边呢，我还需要去配置啊，去配置什么呢？要配置 ipsyk， 在网络里面呢，我们去配创建这个 absec 的隧道，那么我们点新建 absec 在这里面呢，我们场景呢是点到点啊，因为我们对端防护墙，本端防护墙连接到对端防护墙，点对点， 那么策略的名称的话，我们去写一个 ipsyk 啊，这样的一个名称就行。本端的端口是我的出接口 啊，我的出接口，那么对端的话是二点二点二点一啊， 也就是我们看一下啊，对端的话就是二点二点一啊，这是我的对端借口，这是我的本端借口。 好，然后愚公享密要这个呢，就是两边的密，密要呢要，必须要一致，那我的密要写的是华为啊，小写的华为本端地址一点一点一点一，对端呢 ip 的话是二点二点二点一。好， 这样的话我们把这个这边设置好以后呢，要带加密的数据流，就说因为我们其实通过这个里面的话，也就说我 pc 一的流量要去访问 pc 二的流量，那么我这个流量肯定是在经过隧道， pc 隧道走，他是加密的隧道加密的流量， 那么那么如果我去访问互联网，比如说我 pc， 我希望去访问互联网的某一某一个主机，那我要上网，是吧？这个呢就不需要加密了，不需要在这档里跑，所以呢我在这里呢还要配 地址，带加密的数据流，那么原地址呢，就是我幺九二零幺六八 p c 一的这个网段，然后目的网段的话就是 p c r 就是分公司的这个主机， 二十点零野马的话是二十四。好，然后呢协议呢？是所有协议啊，那是加密啊，动作是加密好， 第三步呢，我们要设置安全提议啊，点高级啊，在这高级里面的话，其实这里面他都已经有默认值啊 啊，我们呢可以直接打勾啊，那么当然我们啊直接用默认也行啊，在这里面你看 i k 有两个版本啊，那么呃都行，那么这里面呢，你看有加密算， 比如说协商模式你要设，如果要设置的话，你两边必须要设置成一样的啊，两边的模式要设置一样的加密算法的啊，有算法也要保持一致，认证算法要一致， 还有完整性的算法，还有各种算法啊，那么 dh 这个命要的交换组啊，还有下面的这些分装啊，传输模式或者隧道模式 分装好，默认的话都是 e s p e s p 指的是加密啊， a h 呢，它只是验证头部，它是对我们传输的，具体的数据呢，不会加密啊，所以呢啊，一般情况下的话用 e e s p 啊，这是 e s p 的加密算法， 什么认证算法等等，我们点应用就行啊，哎，加密算法至少选一种，哪一种哪一个没有选 加密算法啊，我们刚才把它点掉了，是不是啊，我们看一下啊 啊，那么这个我们算 a e s 啊，这样的话我们点确定就行 啊，点应用，那往左侧呢就配置完成了啊，左侧配置完成，那我们再来看一下右侧啊，看一下右侧，右侧呢，我们通过浏览器呢来登录到防火墙上去， 我们再新建一个啊，链接， h t t p s。 这是幺九二零幺六八点幺三八点二，端口号是八四四三。好，这样的话我们登到 i 第二台防火墙， 用户名是 id 名啊，密码是 adm， 一二三四五六点，登录好小确定，同意确定。然后呢我们首先呢去看接口 啊，接口呢，这记忆一杠零杠机啊，这边呢是内部接口，是记忆一杠零杠零。那么我们第一个接口呢，他是内部接口， 内部接口呢，我们是是 trust 区域是幺九二点幺六八点，这边是二十点二五四啊，内部接口的 ip 好确定。然后呢我们再看一下它的外部接口，外部接口的话是 entrap 的区域，呃，二点二点二点的接 野马的话二十四位的野马，这里面我们把网关设上的话，我们就可以少一条啊，就是配一条全省路由，这个就相当于是全省路由啦，对，安全区怎么 across 的啊？ 确定好 trust 的啊， trust， 我们看一下这边啊，第一台设备，我们这个有没有问题？接口 啊，这边没有问题啊，我们看第二个接口，配置完成以后呢，我们配置策略，策略呢，跟刚才呢是完全相同的，我们直接就来配就行， fast 到 on trust。 然后呢 trust 到 entrust 啊，原地址呢是幺九幺六八二，右侧呢是二十点这个网段原版的二十四。 然后呢我要到的目的网段呢是要加幺六八十点零这个网段年码呢是二十四啊， 好，我们确认这是 trust 到 on trust， 然后呢我们再去新建 on trust 到 trust 这个区域， on trust 呢就是 on trust 区域，是吧？安全区域，目的区域是 trust。 on trust 地址呢是幺九二点幺六八点十点零啊，就是对 p c e 的啊 啊，主机来访问我们 pc。 二点零这个网段。 好，然后呢我们确定，然后我们再去配置啊，一个是 lock 到昂唱 lock 就是本地 设备啊，远端设备呢是昂串的啊，原地址是本端是二点二点二点一，对吧？原码三十二倍的原码就是这个接口， 那么访问对端呢是一点一点一点一，野马呢是三十二维的野马。好，这是 locker 到 untrust， 然后确定，然后呢再去配置 untrust 到 lock 就是 on trust 到 lock。 on trust 呢是一点一点一点一，野马呢是三十二微的野马， 目的地址呢就是我本段二点二点二点一点满的话三十二位点满。好，确定这样的话我们就 配置好了，是吧？确定这样的话，四个安全策略配置完成以后呢，需要去配置 ipsec， ipsec 呢是这边呢，我们去新建一个 ipsec 啊，也许是点对点 ipsec， 然后本端接口呢是公网接口啊，是吧？二点二点一，对端是一点一点一点一啊， 月供小蜜要拿，两边要一致啊，都是华为小写的。华为本端的 ip 地址呢是二点二点二点一，对端的地址的话是一点一点一点一 啊，被加密的数据流啊，那肯定是我本端是幺九二，就是内部流量。二十点零这个网段，这是我的云地址，目的地址呢是对端的啊，幺九二零幺六八点十点零，野马二十， 好，配置完之后呢动作是加密啊，协议是 any， 那么安全提议啊，安全提议呢，其实我们没有做任何的变化，是吧？两边只要保持一致就行啊，然后我们点确定 好，然后呢我们可以去诊断一下啊，我们去诊断一下， 这时候你看可以看到，是吧？基本上已经创建完成啊，创建完成，创建完成以后，呃我们呢 啊去拼一下啊，可以去拼一下。那我怎么去拼呢？我们 pc 的 ip 呢是十点一啊，对端呢？是啊，网关是十点二五四，对端的 ip 呢是二十点二，网关是二十点二五四，那么我们从本端呢拼一下对端， 对端呢是幺九二零幺六八的二十点二二十点二， 然后我们拼一下，看一下它能不能通行，发现已经通了啊，那么也就是说我们左侧的流量它是经过什么？这边这两端呢建立了一个 ipsec 的一个隧道， 然后我们数据呢交到我的这个接口以后呢要进行分装，因为我要去的目的地呢是对端，就是私网地址啊，所以呢 我们通过这个啊记一杠零杠零啊，一杠零杠一，这个接口呢，对，我们要去往这边的这个数据流啊，匹配到的数据流呢进行分装啊，进行加密啊，然后到对端以后呢进行解密，然后呢解完以后呢就到了 p c 二，所以呢整个过 过程的话，就说在互联网这一块的话，他是非常安全的啊，互联网呢通信是非常安全的，那么我们在这，在互联网的这个位置上呢，我们可以去抓一个包，我们再拼一下，我们看一看。呃，他这个分装的数据包的内容。 好，我们现在呢直接去拼一下啊，用 p c 一去拼 p c 二，我们可以看一下啊。 好，这边下面这一部分呢，就是我们已经分啊两边的内容啊。呃， 在这里呢，其实我的数据包呢，它是因为我 pc 一访问 pc 二的时候呢，因为在这个接口上呢，它进行分装了啊，其实呢就是你看到的这个一点一点一访问我的对端二点二点一啊，这里面分装的话，你看分装的安全载合，这个呢实际上就是我的具体的数据了， 而我的这个具体数据量呢，其实还是比较多的啊，所以呢这个数据呢全部是被加密的，那么返程的数据啊， 就是我 smp 的这个协议就是拼包，那么返程的协议呢，他也是全部是加密的，所以呢在这里面他传输呢，他是非常安全的啊，非常安全的，因为我们在这里呢用的这个 i k 呢，它可以自动去生成啊啊，生成这个泌耀。而我们的这个 ip 赛客里 啊，他呢可以使用这个，就是大家刚才其实看到了这个啊这个协议，这个协议呢他是啊定期的话就是 变更密，要变更密要呢进行两端的一个安全传输啊。好，这个呢就是我们 给大家讲的防火墙点到点的 ipsic 隧道的一个配置，那么丝网到丝网之间呢，我们在公网上建立一个 ipsic 隧道呢，进行安全传输。好，我们今天就讲到这里啊，谢谢大家。

今天为大家介绍如何配置一个分支与他的总部建立两条 apc 的隧道。首先介绍一下 apc 的原理描述， apc 可是 iatf 制定了一组开放的网络安全协议，在 ip 层通过数据来源认证、数据加密、数据完整性和抗虫放功能来保证通讯双方应对内上传输数据的安全性。 如图所示，阿布斯格 vpn 利用 internet 构建， vpn 的发射允许用户以内衣发射接入 vpn， 并且不受地理因素的限制，无论用户在外地或海外，只需要从当地接入 internet 机。 abc 的 vpn 不仅适用于移动办公用户、商业伙伴接入，而且适用于企业分支和总部机构之间互联互通，站点之间的数据由通过 apc 的隧道进行安全保护传送， 虽然是在公网上传输，但都得到加密和认证保护。下面我们以一个事业来介绍， 如图所示，不图 a 为企业分支网关，不图 b 为企业总部网关，分支与总部通过一天天的建立通信， 其中总部双出口揭露 internet 以泰化一杠零杠零接口所在的炼入为主炼入以泰一杠零杠一接口所在的炼入为备份炼入。企业希望对分支和总部的流量 大进行安全保护，以太一杠零杠零接口出现故障时，能够优先将流量切换到以太一杠零杠一接口，此时可以配置 apc， 可实现上级需求。配置思路如下，在路子上配置物理借口电路路的壁配置着静态路由， 据指定一千级，使得以太一杠零杠零所在的电路为主。电路二， 在路途上配置 apc， 可实现加密保护分支和总部的流量，其中路都必须配置两个安全策略，并在准备接口分别应用 apca 策略。操作步骤如下，首先配置 a， 配置公司网 ip 地址及公司网路由，配置 aceo 用于匹配输机油进行 appec 加密。配置 apc 可安全 提议定义 abc 的认证和加密算法。配置的 asp 认证和加密算法必须和路途币一致配置阿 k。 安全提议和阿 k 对人体 配置阿特意加密和认准算法必须与路子币一致配置阿特意。电梯里中引用第一的安全提议， 配置与共享密要认证制和华为必须与录制币一致。配置阿根廷形象时的对待 app 地址，这里是指定录制币的两个接口地址，先采用第一个 地址与路的 b 建立阿 k 一连接，路第一个阿 k 一连接建立失败或对待你存活检测结果为失败，再采用第二个地址建立阿 k 一连接，配置 d b， d 周期性检测二 p c 的隧道故障 待我重生降格为十秒。配置阿克伊动态协商防治安全策略，分别引用第一的阿克伊对人体二比四可安全提议 和 aceo 在借口上营养安全车 a 组。接下来配置路子币，配置公司网 ip 地址及公司网路，由配置 到入退 a 的公司网低值的静态乳油，并配置优先即使的以派一杠零杠零 tico 所在的列路为主。列路配置 aceo 用于匹配数据由进行 apc 加密，配置 apc 和安全提印定义 apc 认证和加密算法。 对着比上配置的 esp 认证和加密商啊飞机和路特 a 一字配置阿 k e 安全提议和阿 k 对人体配置的阿 k 加 命和认证算法必须与路特 a 一致。阿根利对联体引用第一的安全提议，并且以共享密要认证之为华为，必须与路特 a 一致。配置阿根利取消时的对端 ip 地址，即路特 a 的地址。 配置 dpa 真心检测 apc 的隧道故障，包完重乘将个为十秒。配置 app 动态洗伤时的安全侧列需配置两个安全车位，分别引用第一的 apc 对人体 apc 安全提议和 aceo 在这个上移用安全车内组需在两个键上都应用阿迪斯科安全车内组配色完成后，我们来检查下配置结果。在路上直行 isa 查看安全联盟的建议，已入座 av 列， 我们可以看到与 rude b 第一阶段和第二阶段阿克伊 si 都建立成功，当 rude b 的仪态 一杠零杠零即可倒后。等待几秒后，在路对 a 上直行 a k s a 才看到安全联盟，可以看到对面的 ip 地址变为三点，一点一点一。下面在设备上演示。首先配置路对 a， 配置起接口的公司网地址，并配置公司网路由， 分别去往总部 准备接口。 配置 aceo 定义分支去往总部的数据流。配置 iq 安全提议及配置的认证和加密算法 新与路途宾一致配置 rp 四可安全提议，其配置的 asp 认证和加密算法系与路途宾保持一致。配置 ok。 对人体引用 rc 安全提议，指定原单的对人体 需指定日币的主备借口地址，开启 db 检测工人。配置 app 四可车安全车内组以后 rq 对联体以后 app 四可安全提议 一样， acl 在这个上沿用 rp 四个安全侧列手。接下来配置路途 b 开始，这是闭着指挥借口的 ip 地址以及及其失望借口的 ip 地址 配置到路特 a 的公司网地址的静态路由，并配置优先行驶的你在一杠零所在的街口的练路的为主练路 ace 用于第一路特 b 去往路特 a 有数据流配置阿迪斯卡安全提议，其配置的 esp 认证和加密算法须与路特 a 保持一致。 配置阿根业安全提议，配置认证和加密算法系与不对 a 保持一致。 配置阿 k 对人体营养阿 k 安全提议，配置认证制， 配置人员还可以洗伤时的对待。 app 地址 troeta 的地址开启 dpt 工人配置两个 ipc 可安全车一组，分别为 约十一约十二， 分别在组队建设上引用 abc 可安全车一组。 接下来文艺撸特 money 中间的 internet 配置 loot 使责撸的 a 和撸的撸的 b 路有可达。 因为我们这里用路特模拟 internet 与路特 b 双借口直连，所以我们还要需要在路特 b 上配置主接口的备份接口，并配示其优先级。 配置完成后，我们查看一下配置结果，可以看到一分之一 r k s a 建议成功。接下来我们模拟一下将主接口下了当查看一下啊阿 k s a 建议的情况， 等待几秒 鉴定过程中。 现在我们看到阿 ksa 已又建议成功。现在我们在如此 a 上查看一下。 现在我们可以看到阿 k 喜洋石的对端地址变为三点，一点一点一。关于如何配置一个分子与他的总部建立两条 rc 隧道，我们就介绍到这里。

那就不要留时光， 来来来，喝完这一杯还有一杯， 再喝完这一杯还有三杯， 那就不要， 那就不要留，时光，一过不再有。 来来来，喝完这一杯还有一杯， 再喝完这一杯还有三杯。