采用默认配置通过IKE协商方式建立IPSec隧道示例

刘俊辉个人博客
67 阅读2分钟

组网需求

如图所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。

配置思路

采用如下思路配置采用IKE协商方式建立IPSec隧道:

  1. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。
  2. 配置ACL,以定义需要IPSec保护的数据流。
  3. 配置IPSec安全提议,定义IPSec的保护方法。
  4. 配置IKE对等体,定义对等体间IKE协商时的属性。
  5. 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。
  6. 在接口上应用安全策略组,使接口具有IPSec的保护功能。

操作步骤

配置接口的IP地址和到对端的静态路由

RouterA

<Huawei> sys
[Huawei] sys RouterA
[RouterA] int g0/0/1
[RouterA-GigabitEthernet0/0/1] ip add 1.1.1.1 255.255.255.0
[RouterA-GigabitEthernet0/0/1] q
[RouterA] int g0/0/0
[RouterA-GigabitEthernet0/0/0] ip add 10.1.1.1 255.255.255.0
[RouterA-GigabitEthernet0/0/0] q

[RouterA] ip route-static 2.1.1.0 24 1.1.1.2
[RouterA] ip route-static 10.1.2.0 24 1.1.1.2

RouterB

<Huawei> sys
[Huawei] sys RouterB
[RouterB] int g0/0/0
[RouterB-GigabitEthernet0/0/1] ip address 2.1.1.1 24
[RouterB-GigabitEthernet0/0/1] q
[RouterB] int g0/0/0
[RouterB-GigabitEthernet0/0/0] ip address 10.1.2.1 24
[RouterB-GigabitEthernet0/0/0] q

[RouterB] ip route-static 1.1.1.0 24 2.1.1.2
[RouterB] ip route-static 10.1.1.0 24 2.1.1.2

Internet

#模拟环境需要配置
<Huawei>sys
[Huawei]sys Internet
[Internet]int g0/0/0
[Internet-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[Internet-GigabitEthernet0/0/0]q
[Internet]int g0/0/1
[Internet-GigabitEthernet0/0/1]ip add 2.1.1.2 24
[Internet-GigabitEthernet0/0/1]q

配置ACL,定义各自要保护的数据流

RouterA

[RouterA] acl number 3100
[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[RouterA-acl-adv-3101] q

RouterB

[RouterB] acl number 3100
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[RouterB-acl-adv-3101] q

配置IPSec安全提议,定义IPSec的保护方法

RouterA

[RouterA] ipsec proposal 21wl
[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha1
#
[RouterA-ipsec-proposal-tran1] encryption-algorithm aes-cbc-192
[RouterA-ipsec-proposal-tran1] quit

RouterB

配置IKE对等体,定义对等体间IKE协商时的属性。

RouterA

RouterB

配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。

RouterA

RouterB

在接口上应用安全策略组,使接口具有IPSec的保护功能。

RouterA

RouterB

avatar
文章
阅读
粉丝