首頁>科技>

華為裝置與思科裝置對接建立IPSec隧道

組網需求如圖所示,RouterA為企業分支閘道器,RouterB為企業總部閘道器(思科路由器),分支與總部透過公網建立通訊。企業希望對分支子網與總部子網之間相互訪問的流量進行安全保護。由於分支與總部透過公網建立通訊,可以在分支閘道器與總部閘道器之間建立一個IPSec隧道來實現該需求。圖 配置裝置與思科路由器採用主模式(IKEv1)建立IPSec隧道組網圖

操作步驟配置RouterA#sysname RouterA //配置裝置名稱#ipsec authentication sha2 compatible enable#acl number 3000 //指定被保護的資料流,分支子網訪問總部子網的流量rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255#ipsec proposal prop1 //配置IPSec安全提議esp authentication-algorithm sha2-256esp encryption-algorithm aes-128#ike proposal 1 //配置IKE安全提議encryption-algorithm aes-cbc-128 //V200R008及之後的版本,aes-cbc-128引數修改為aes-128dh group14authentication-algorithm sha2-256#ike peer peer1 v1 //配置IKE對等體及其使用的協議時,不同的軟體版本間的配置有差異:V200R008之前的版本命令為ike peer peer-name [ v1 | v2 ];V200R008及之後的版本命令為ike peer peer-name和version { 1 | 2 },預設情況下,對等體IKEv1和IKEv2版本同時啟用。裝置發起協商時會使用IKEv2協議,響應協商時則同時支援IKEv1協議和IKEv2協議。如果裝置需要使用IKEv1協議,則可以執行命令undo version 2pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%# //配置預共享金鑰為huawei@1234ike-proposal 1remote-address 60.1.2.1 //採用IP地址方式標識對等體#ipsec policy policy1 10 isakmp //配置IPSec安全策略security acl 3000ike-peer peer1proposal prop1#interface GigabitEthernet0/0/1ip address 60.1.1.1 255.255.255.0ipsec policy policy1 //在介面上應用安全策略#interface GigabitEthernet0/0/2ip address 10.1.1.1 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 //配置靜態路由,保證兩端路由可達#return配置RouterBhostname RouterB //配置裝置名稱!crypto isakmp policy 1encryption aes 128hash sha256authentication pre-sharegroup 14crypto isakmp key huawei@1234 address 0.0.0.0 0.0.0.0 //配置預共享金鑰為huawei@1234!crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 //配置IPSec採用的安全演算法!crypto map p1 1 ipsec-isakmp //配置IPSec安全策略set peer 60.1.1.1 //採用IP地址方式標識對等體set transform-set p1match address 102!!interface GigabitEthernet0/0ip address 60.1.2.1 255.255.255.0duplex autospeed autocrypto map p1 //在介面上應用安全策略!interface GigabitEthernet0/1ip address 10.1.2.1 255.255.255.0duplex autospeed auto!!ip route 0.0.0.0 0.0.0.0 60.1.2.2 //配置靜態路由,保證兩端路由可達!access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保護的資料流,總部子網訪問分支子網的流量!end驗證配置結果# 配置成功後,在PC A上執行ping操作仍然可以ping通PC B。# 在RouterA上執行display ike sa和display ipsec sa命令,在RouterB上執行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的資訊。# 在RouterA上執行命令display ipsec statistics可以檢視資料包的統計資訊。

28
最新評論
  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 華為裝置與思科裝置OSPF路由對接