华为ipsec vpn 配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AR路由器配置 IKE 方式的 IPSec VPN
IPSec(Internet Protocol Security )是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP 层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet 上传输数据的安全性。在Internet 的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec 后,可对传输的数据进行保护处理,降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图 1 所示,RouterA 为企业分支网关,RouterB 为企业总部网关,分支与总部通过公网建立通信。分支子网为 10.1.1.0/24,总部子网为 10.1.2.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec 隧道来实施安全保护。
图 1 采用默认配置通过 IKE 协商方式建立 IPSec 隧道组网图
配置思路采用如下思路配置采用 IKE 协商方式建立 IPSec 隧道:
1.配置接口的 IP 地址和到对端的静态路由,保证两端路由可达。
2.配置ACL,以定义需要IPSec 保护的数据流。
3.配置IPSec 安全提议,定义IPSec 的保护方法。
4.配置IKE 对等体,定义对等体间IKE 协商时的属性。
5.配置安全策略,并引用ACL、IPSec 安全提议和IKE对等体,确定对何种数据流采取何种保护方
法。
6.在接口上应用安全策略组,使接口具有 IPSec 的保护功能。操作步骤
1.分别在 RouterA和RouterB 上配置接口的IP地址和到对端的静态路由
# 在 RouterA 上配置接口的 IP 地址。
# 在 RouterB 上配置接口的 IP 地址。
2.分别在 RouterA 和 RouterB 上配置 ACL,定义各自要保护的数据流
# 在 RouterA 上配置 ACL ,定义由子网 10.1.1.0/24 去子网 10.1.2.0/24 的数据流。
# 在 RouterB 上配置 ACL ,定义由子网 10.1.2.0/24 去子网 10.1.1.0/24 的数据流。
3.分别在 RouterA 和 RouterB 上创建 IPSec 安全提议
# 在 RouterA 上配置 IPSec 安全提议。
# 在 RouterB 上配置 IPSec 安全提议。
此时分别在 RouterA 和 RouterB 上执行display ipsec proposal 会显示所配置的信息。
4.分别在 RouterA 和 RouterB 上配置 IKE 对等体
# 在 RouterA 上配置 IKE 对等体,并根据默认配置,配置预共享密钥和对端 ID。[RouterA]
# 在 RouterB 上配置 IKE 对等体,并根据默认配置,配置预共享密钥和对端 ID。[RouterB]
[RouterA] display ike peer name spub verbose
Peer name : spub
Exchange mode : main on phase 1
Pre-shared-key : huawei
Local ID type : IP
DPD : Disable
DPD mode : Periodic
DPD idle time : 30
DPD retransmit interval : 15
DPD retry limit : 3
Host name
Peer Ip address : 202.138.162.1
VPN name
Local IP address
Remote name
Nat-traversal : Disable
Configured IKE version : Version one
PKI realm : NULL
Inband OCSP : Disable
Lifetime notification : Enable
在 RouterA 上配置 IKE 动态协商方式安全策略。
此时分别在 RouterA 和 RouterB 上执行display ike peer 会显示所配置的信息,以 RouterA 为例。
5. 分别在 RouterA 和 RouterB 上创建安全策
略
#
此时分别在 RouterA 和 RouterB 上执行display ipsec policy 会显示所配置的信息。
6. 分别在 RouterA和RouterB 的接口上应用各自的安全策略组,使接口具有IPSec 的保护功能
# 在 RouterA 的接口上引用安全策略组。
# 在 RouterB 的接口上引用安全策略组。
7.检查配置结果
# 配置成功后,在主机 PC A 执行ping 操作仍然可以 ping 通主机 PC B ,它们之间的数据
传输将被加密,执行命令display ipsec statistics esp 可以查看数据包的统计信息。
# 在 RouterA 上执行display ike sa 操作,结果如下。
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIME OUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
# 分别在 RouterA 和 RouterB 上执行display ipsec sa 会显示所配置的信息,以 RouterA 为例。[RouterA] display ipsec sa
Interface: GigabitEthernet 1/0/0
Path MTU: 1500
IPSec policy name: "map1"
Sequence number : 10