华为设备与思科设备对接建立IPSec隧道
组网需求如图所示,RouterA为企业分支网关,RouterB为企业总部网关(思科路由器),分支与总部通过公网建立通信。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实现该需求。
图 配置设备与思科路由器采用主模式(IKEv1)建立IPSec隧道组网图
操作步骤
配置RouterA
#
sysname RouterA//配置设备名称
#
ipsec authentication sha2 compatible enable
#
acl number 3000//指定被保护的数据流,分支子网访问总部子网的流量
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1//配置IPSec安全提议
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 1//配置IKE安全提议
encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128
dh group14
authentication-algorithm sha2-256
#
ike peer peer1 v1//配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ];V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },缺省情况下,对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议,则可以执行命令undo version 2
pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%#//配置预共享密钥为huawei@1234
ike-proposal 1
remote-address 60.1.2.1 //采用IP地址方式标识对等体
#
ipsec policy policy1 10 isakmp//配置IPSec安全策略
security acl 3000
ike-peer peer1
proposal prop1
#
interface GigabitEthernet0/0/1
ip address 60.1.1.1 255.255.255.0
ipsec policy policy1 //在接口上应用安全策略
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2//配置静态路由,保证两端路由可达
#
return
配置RouterB
hostname RouterB//配置设备名称
!
crypto isakmp policy 1
encryption aes 128
hash sha256
authentication pre-share
group 14
crypto isakmp key huawei@1234 address 0.0.0.0 0.0.0.0//配置预共享密钥为huawei@1234
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128//配置IPSec采用的安全算法
!
crypto map p1 1 ipsec-isakmp//配置IPSec安全策略
set peer 60.1.1.1 //采用IP地址方式标识对等体
set transform-set p1
match address 102
!
!
interface GigabitEthernet0/0
ip address 60.1.2.1 255.255.255.0
duplex auto
speed auto
crypto map p1 //在接口上应用安全策略
!
interface GigabitEthernet0/1
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2//配置静态路由,保证两端路由可达
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流,总部子网访问分支子网的流量
!
end
验证配置结果
# 配置成功后,在PC A上执行ping操作仍然可以ping通PC B。
# 在RouterA上执行display ike sa和display ipsec sa命令,在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的信息。
# 在RouterA上执行命令display ipsec statistics可以查看数据包的统计信息。
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
页:
[1]