H3C IPSec基本原理及配置指导
H3C配置IPSEC教程实例介绍
H3C配置IPSEC教程实例介绍作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。
这篇文章主要介绍了H3C配置IPSEC VPN教程实例(图文),需要的朋友可以参考下方法步骤H3C配置IPSEC VPN思路跟思科差不多,无非就是命令不一样的,下面就演示一下拓扑:RT1背后有个1.1.1.1网段,RT3背后有个3.3.3.3网段,ISP没有这两条路由RT2:system-viewSystem View: return to User View with Ctrl+Z.[RT2]int g0/0/0[RT2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[RT2-GigabitEthernet0/0/0]quit[RT2]int g0/0/1[RT2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[RT2-GigabitEthernet0/0/1]quitRT1:acl number 3000rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5authentication-metod pre-sharedh group2ike peer ciscoid-type ippre-shared-key simple ciscoremote-address 23.1.1.3local-address 12.1.1.1#ipsec proposal ciscotransform espesp authentication-algorithm md5esp encryption-algorithm 3desipsec policy cisco 10 isakmpsecurity acl 3000ike-peer ciscoproposal ciscoint g0/0/0ipsec policy ciscoip route-static 0.0.0.0 0.0.0.0 12.1.1.2RT3:acl number 3000rule 0 permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255ike proposal 1encryption-algorithm 3des-cbcauthentication-algorithm md5authentication-metod pre-sharedh group2ike peer ciscoid-type ippre-shared-key simple ciscoremote-address 12.1.1.1local-address 23.1.1.3#ipsec proposal ciscotransform espesp authentication-algorithm md5esp encryption-algorithm 3desipsec policy cisco 10 isakmpsecurity acl 3000ike-peer ciscoproposal ciscoint g0/0/1ipsec policy ciscoip route-static 0.0.0.0 0.0.0.0 23.1.1.2相关阅读:路由器安全特性关键点由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性:(1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。
IPSEC 原理 华三
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。
IPSec VPN应用场景IPSec VPN的应用场景分为3种:1.Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
2.End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
3.End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。
IPSec是一个框架性架构,具体由两类协议组成:1.AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
2.ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。
当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。
IPSec封装模式介绍完IPSec VPN的场景和IPSec协议组成,再来看一下IPSec提供的两种封装模式(传输Transport模式和隧道Tunnel模式)上图是传输模式的封装结构,再来对比一下隧道模式:可以发现传输模式和隧道模式的区别:1.传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。
IPSec原理介绍
27
分支1设备配置,其余分支设置类似
# // acl 3000设置,匹配 192.168.1.0/24 192.168.0.0/16的流量 acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 # // 设置ike对等体center ike peer center // 预共享密钥和总部保持一致为h3c pre-shared-key simple h3c // 设置总部设备60.191.99.140为对端地址 remote-address 60.191.99.140 # // 建立IPSec安全提议def ipsec proposal def # # // IPSec策略center,节点1设置 ipsec policy center 1 isakmp // 对匹配acl 3000的流量进行IPSec处理 security acl 3000 // ike对等体为center ike-peer center // 调用安全提议def proposal def
11
AH报文
12
ESP报文格式
0
ESP协议包结构
8
16 安全参数索引(SPI) 序列号
24
有效载荷数据(可变) 填充字段(0-255字节)
填充字段长 度
下一个头
验证数据
13
ESP封装格式
IP报头 传输模式 原IP报头 ESP 数据 ESP尾部
6
IPSEC基本概念
安全联盟(Security Association) 安全参数索引(Security Parameter Index) 序列号(Serial Number) 安全联盟生存时间(Lifetime) 数据流(Data Flow) 安全策略(Security Policy)
H3C IPSec配置
目录
目录
第 1 章 IPSec配置 ...................................................................................................................1-1 1.1 IPSec简介 .......................................................................................................................... 1-1 1.1.1 IPSec的实现 ............................................................................................................ 1-2 1.1.2 IPSec基本概念 ........................................................................................................ 1-2 1.1.3 加密卡...................................................................................................................... 1-4 1.1.4 协议规范 .................................................................................................................. 1-4 1.2 IPSec配置任务简介............................................................................................................ 1-5 1.3 配置访问控制列表 .............................................................................................................. 1-6 1.4 配置安全提议 ..................................................................................................................... 1-6 1.5 配置安全策略 ..................................................................................................................... 1-7 1.5.1 手工配置安全策略.................................................................................................... 1-8 1.5.2 配置IKE协商安全策略.............................................................................................. 1-9 1.6 在接口上应用安全策略组 ................................................................................................. 1-12 1.7 在加密卡接口上绑定安全策略组或者安全策略................................................................. 1-13 1.8 使能加密引擎功能 ............................................................................................................ 1-14 1.9 使能主体软件备份功能..................................................................................................... 1-14 1.10 配置会话空闲超时时间................................................................................................... 1-14 1.11 使能解封装后IPSec报文的ACL检查功能 ....................................................................... 1-15 1.12 配置IPSec抗重放功能 .................................................................................................... 1-15 1.13 配置共享源接口安全策略组............................................................................................ 1-16 1.14 IPSec显示和维护 ........................................................................................................... 1-17 1.15 IPSec典型配置举例........................................................................................................ 1-18 1.15.1 采用手工方式建立IPSec安全隧道 ....................................................................... 1-18 1.15.2 采用IKE方式建立IPSec安全隧道......................................................................... 1-21 1.15.3 使用加密卡进行加/解密和认证 ............................................................................ 1-24 1.15.4 配置IPSec接口备份 ............................................................................................. 1-27iΒιβλιοθήκη 操作手册 安全分册 IPSec
H3C-ER系列路由器IPSEC-VPN的典型配置
H3C-ER系列路由器IPSEC-VPN的典型配置H3CER 系列路由器 IPSECVPN 的典型配置在当今数字化的时代,企业对于数据安全和远程访问的需求日益增长。
IPSECVPN 作为一种常用的安全通信技术,能够为企业提供可靠的数据加密和远程接入服务。
H3CER 系列路由器以其出色的性能和丰富的功能,成为了实现 IPSECVPN 的理想选择。
接下来,我们将详细介绍 H3CER 系列路由器 IPSECVPN 的典型配置过程。
一、前期准备在进行配置之前,我们需要明确一些基本信息和准备工作:1、确定两端路由器的公网 IP 地址,这是建立 VPN 连接的关键。
2、规划好 IPSECVPN 的参数,如预共享密钥、IKE 策略、IPSEC 策略等。
3、确保两端路由器能够正常连接到互联网,并且网络连接稳定。
二、配置步骤1、配置 IKE 策略IKE(Internet Key Exchange,互联网密钥交换)策略用于协商建立IPSEC 安全联盟所需的参数。
在 H3CER 系列路由器上,我们可以按照以下步骤进行配置:(1)进入系统视图:```systemview```(2)创建 IKE 安全提议:```ike proposal 1```(3)设置加密算法和认证算法:```encryptionalgorithm aescbc-128authenticationalgorithm sha1```(4)创建 IKE 对等体:```ike peer peer1```(5)设置对等体的预共享密钥:```presharedkey simple 123456```(6)指定对等体使用的 IKE 提议:```ikeproposal 1```(7)指定对等体的对端 IP 地址:```remoteaddress ____```2、配置 IPSEC 策略IPSEC 策略用于定义数据的加密和认证方式。
以下是配置步骤:(1)创建 IPSEC 安全提议:```ipsec proposal proposal1```(2)设置封装模式和加密算法:```encapsulationmode tunneltransform espesp encryptionalgorithm aescbc-128esp authenticationalgorithm sha1```(3)创建 IPSEC 策略:```ipsec policy policy1 1 isakmp```(4)指定引用的 IKE 对等体和 IPSEC 安全提议:```ikepeer peer1proposal proposal1```(5)指定需要保护的数据流:```security acl 3000```(6)创建访问控制列表,定义需要保护的数据流:```acl advanced 3000rule 0 permit ip source 19216810 000255 destination 19216820 000255```3、在接口上应用 IPSEC 策略完成上述配置后,需要在相应的接口上应用 IPSEC 策略,以启用VPN 功能:```interface GigabitEthernet0/1ipsec apply policy policy1```三、配置验证配置完成后,我们可以通过以下方式进行验证:1、查看 IKE 安全联盟状态:```display ike sa```2、查看 IPSEC 安全联盟状态:```display ipsec sa```3、从一端向另一端发送测试数据,检查数据是否能够正常加密传输。
H3C华为-IPsecVPN配置教程
H3C华为-IPsecVPN配置教程H3C&华为-IPsecVPN配置教程第⼀篇:⽹关对⽹关IPSec-VPN⼀、H3C路由1、型号:MER5200;软件版本: version 7.1.064, Release 0809P07;固定外⽹IP;2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条,如下图:3、创建IPsecVPN3.1 “虚拟专⽹”---“IPsecVPN”---新建-如下图:3.2 名称----⾃⾏编辑;接⼝---选择外⽹出⼝,组⽹⽅式---分⽀节点;对端⽹关---对端外⽹IP;认证⽅式---预共享密钥;预共享密钥要与对端路由⼀致;3.3 保护流配置H3C路由器下有个内⽹段需要与对端通信,就添加⼏个。
本例172.16.10.0/24与10.10.11.0/24为本地内⽹,172.24.0.0/24为对端内⽹。
注:H3C设备不需要单独再做NAT配置。
4、显⽰⾼级配置4.1 ike配置:主模式、本地外⽹、对端外⽹,关闭对等体检测,算法组推荐。
如下图:4.2 IPsec配置:按照默认配置即可。
5、监控信息待对端华为路由配置完成且正确后,监控会显⽰如下信息。
6、命令⾏检查[H3C]dis acl allDis ike saDis ipsec sa⼆、华为路由1、型号:AR1220-S,软件版本:[V200R007C00SPC900],固定外⽹IP。
2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条,如下图:2、配置⾼级ACL2.1 新建“nonat”,添加⽬的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条,其他允许NAT转换;如下图2.2 新建“nj-g”,i添加本地内⽹172.24.0.0/24⾄⽬的内⽹10.10.11.0/24,172.16.10.0/24的acl,此路由⾛IPsec。
如下图2.3 创建“⽣效时间”3、NAT应⽤⾼级acl“ip业务”--“NAT”---“外⽹访问”---编辑----ACL名称选择“nonat”。
H3C路由器两种ipsec gre配置总结
H3C路由器gre over ipsec和ipsec over gre的差别与配置方法概念区分IPSEC Over GRE即IPSEC在里,GRE在外。
先把需要加密的数据包封装成IPSEC包,然后再扔到GRE隧道里。
作法是把IPSEC的加密图作用在Tunnel口上的,即在Tunnel口上监控(访问控制列表监控本地ip网段-源ip和远端ip 网段-目的地),是否有需要加密的数据流,有则先加密封装为IPSEC包,然后封装成GRE包进入隧道(这里显而易见的是,GRE隧道始终无论如何都是存在的,即GRE隧道的建立过程并没有被加密),同时,未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道,即存在有些数据可能被不安全地传递的状况。
GRE Over IPSEC是指,先把数据分装成GRE包,然后再分装成IPSEC包。
做法是在物理接口上监控,是否有需要加密的GRE流量(访问控制列表针对GRE 两端的设备ip),所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递,这样保证的是所有的数据包都会被加密,包括隧道的建立和路由的建立和传递。
无论是哪种数据流,若一方进行了加密,而另一方没有配,则无法通讯,对于GRE则,路由邻居都无法建立。
另一个概念是隧道模式和传输模式。
所谓的隧道模式还是传输模式,是针对如ESP如何封装数据包的,前提是ESP在最外面,如果都被Over到了GRE里,自然谈不上什么隧道模式和传输模式(都为隧道模式)。
只有当GRE Over IPSEC 的时候,才可以将模式改为传输模式。
IPSEC不支持组播,即不能传递路由协议,而GRE支持。
配置方法两者配置方法上差别不大,注意定义访问控制列表的流量、配置过程中的对端地址以及策略应用位置即可。
总结一下就是:gre ove ipsec在配置访问控制列表时应配置为物理端口地址,而IPSEC Over GRE中则应配置为兴趣流量网段地址。
在gre ove ipsec配置对端地址过程中全都配置为相应物理地址,而IPSEC Over GRE中则全都配置为对端tunnel口虚拟地址。
H3C中IPSec的配置和应用
实验报告
1.首先按上面的拓补图配置好ip地址,在这我们用路由器上loopback 口代替PC机,为了实现两台路由器下的局域网能够相互通信,我们需要先在两台路由器上各创建一条默认路由:
2.现在测试一下:
3.然后我们现在路由器R1上进行配置,首先定义一条ACL列表,允许哪些数据包能够通过:
4.进行创建并配置安全提议(包含一些加密方式、认证方式、工作模
式):
5.接着进行创建并配置IKE对等体(协商时的共享密钥、远程地址):
6.然后进行创建一个安全策略,进行把刚才配置的ACl列表、安全提议和对等体进行综合在一块:
7.所有配置做完后为了使配置生效,我们进行应用到接口中:
8.此时,一端已配置好了,现在我们再到R2上进行配置:
9.然后进行创建并配置安全提议:
10. 然后进行创建并配置IKE对等体(协商时的共享密钥、远程地址):
11. 然后进行创建一个安全策略,进行把刚才配置的ACl列表、安全提议和对等体进行综合在一块:
12.然后把配置应用到接口中:
13.此时两端的配置都已做完了,我们检测一下:
14.现在进行与R1下的网络通信一下:
15.然后进行查看一些相关信息:
16.完成!!。
H3C_VPN原理及配置
H3C_VPN原理及配置
H3C_VPN(Virtual Private Network)是指通过公共网络建立一条可靠的、安全的、加密的网络连接,用于远程访问私有网络资源的技术。
它能够实现远程办公、数据传输、跨地域连接等功能。
本文将介绍H3C_VPN 的原理以及如何进行配置。
1.网络规划与拓扑设计:根据需求设计私有网络的架构,并规划IP 地址、子网等网络资源。
2.设备配置:首先需要配置VPN设备,包括设置设备的IP地址、主机名等基本信息,并对设备进行初始化。
3. IPsec策略制定:制定IPsec安全策略,包括加密算法、认证算法等,以确保数据传输的安全性。
4.用户身份验证:配置用户身份验证方式,通常有预共享密钥、数字证书等方式。
5.VPN隧道配置:配置VPN隧道,包括本地端和远程端的IP地址、隧道加密域等信息。
6.VPN路由配置:配置虚拟私有网络的路由,使得数据可以正确地从源地址传输到目标地址。
7.VPN测试与监控:测试VPN连接是否成功,同时可以监控VPN连接的状态和性能。
总结:
H3C_VPN通过使用IPsec协议建立私有网络连接,能够在公共网络上实现数据的加密传输,确保数据的安全性。
配置H3C_VPN需要对网络进行
规划和设备进行配置,同时要制定安全策略和用户身份验证方式。
最后还需要配置VPN隧道和路由,以及进行测试和监控。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPSec基本原理及配置指导一、IPSec描述:1、IPSec在RFC2401中描述了IP得安全体系结构IPSec,以便保证在IP网络数据传输的安全性。
2、IPSec在IP层对IP报文提供安全服务。
3、IPSec并非单一协议,而是由一系列的安全开放标准构成。
4、IPSec实现于OSI参考模型的网络层,因此,上层的协议都可以得到IPSec 的保护。
5、IPSec是一个可扩展的体系,不受任何一种算法的局限,可以引入多种开放的验证算法。
6、IPSec的缺点是难部署,协议体系复杂,不支持组播,只能对点对点的数据进行保护,不利于语音视频实时性高的应用。
二、IPSec体系结构1、IPSec使用两种安全协议来提供通信安全服务:i.AH(验证头):AH提供完整性保护和数据源验证以及可选的抗重播服务,但是不能提供机密性保护。
ii.ESP(封装安全载荷):ESP可以提供AH的所有功能,而且还可以提供加密功能。
2、AH和ESP可以单独使用,也可以一起使用,从而提供额外的安全性。
3、安全协议AH和ESP都具有两种工作模式:i.传输模式:用于保护端到端的安全性。
ii.隧道模式:用于保护点到点的安全性。
4、IPSec通过两种途径获得密钥:i.手工配置:管理员预先手工配置,这种方法不便于随时更改,安全性较低,不易维护。
ii.通过IKE协商,通信双方可以通过IKE动态生成并交换密钥,获得更高的安全性。
5、IPSec SA(安全联盟)i.SA提供IPSec数据流安全服务的基础概念。
ii.SA是通信双方就如何保证通信安全达成的一个协定。
具体确定了对IP报文进行处理。
iii.SA是单向的,入站数据流和出站数据流分别由入站SA和出站SA 处理。
iv.一个SA由(SPI,IP目的地址,安全参数索引)构成。
v.SA可以手工配置,也可以通过IKE自动协商生成。
vi.SA的生存时间有“以时间进行限制”和“以流量进行限制”。
vii.IPSec把类似“对哪些数据提供哪些服务”这样的信息储存在SPD (安全策略数据库)中,而SPD中的项指向SAD(安全联盟数据库),如果,一个需要加密的出站数据包,系统会将他与SPD进行比较,如果匹配一项,系统会使用该项对应的SA以及算法进行对数据包的加密。
否则,需要新建一个SA。
6、IKEi.无论是AH还是ESP,在对一个IP包进行操作之前,首先必须要建立一个IPSec SA,IPSec SA可以手工建立,也可以通过IKE协商建立。
ii.IKE可以为IPSec提供自动协商交换密钥,建立SA服务,能够简化IPSec的使用和管理,大大的简化了IPSec的配置和管理。
iii.IKE不在网上直接传送密钥,而是通过DH交换,最终计算出双方的共享密钥。
iv.IKE可以定时更新SA,也可以定时更新密钥,而且各个SA之间没有关系。
v.IKE采用了ISAKMP所定义的密钥交换框架体系。
7、IKE与IPSec的关系i.IPSec利用SPD来判断一个数据包是否需要安全服务,当需要安全服务时,就会去SAD去查找相应的IPSec SA,IPSecSA有两种生成方式,一种是通过管理员手工配置,另外一种是通过IKE协商完成。
ii.IKE为IPSec提供PFS特性。
iii.IKE不仅用于IPSec,他是一个通用的交换协议,可以用于交换任何的共享密钥。
例如RIP、OSPF的安全协商服务。
8、IKE的协商阶段i.IKE也使用SA(IKE-SA),与IPSec SA不同,IKE SA是用于保护一对节点之间通信的密钥和策略的一个集合。
ii.IKE的两个协商阶段:1.阶段1:IKE使用DH交换建立共享密钥,在网络上建立一个IKESA,为阶段2协商提供保护。
其交换模式分为主模式和野蛮模式。
2.阶段2:在阶段1的保护下完成IPSec SA的协商。
其交换模式为快速模式。
3.IKE的主模式:主模式是强制实现阶段1交换模式。
主模式总计3个步骤,策略协商、DH交换、ID交换及验证。
这种模式主要应用在通信双方预先知道对方的IP地址,对于点对点的应用比较适宜。
4.IKE的野蛮模式:对于远程拨号访问,由于拨号用户的IP地址无法确认,就不能使用这种方法。
9、配置IPSeci.配置前的准备1.确定需要保护的数据:可以通过扩展的ACL来定义需要验证和加密的数据。
2.确定使用的安全保护路径:确定是要保护端到端的数据还是点到点的数据。
3.确定对数据流采用哪种方式进行安全保护:对于只验证不加密推荐使用AH,对于即验证又加密推荐使用ESP。
同时使用AH和ESP可以过多的损耗系统资源。
ii.配置IPSec VPN顺序1.配置安全ACL2.配置安全提议i.创建安全提议命令:【router】ipsec proposalii.选择安全协议:【router-ipsec-proposal-tran1】transform{ah|ah-esp|esp},默认选择esp。
iii.选择工作模式:【router-ipsec-proposal-tran1】encapsulation-mode{transport|tunnel}。
iv.选择安全算法(加密算法)【router-ipsec-proposal-tran1】espencryption-algorithm{3des|des|aes}。
v.选择安全算法(验证算法)【router-ipsec-proposal-tran1】espauthentication-algorithm{md5|sha1}。
【router-ipsec-proposal-tran1】ahauthentication-algorithm{md5|sha1}。
3.配置安全策略(配置安全策略有两种方式,手工配置参数的安全策略和通过IKE自动协商参数的安全策略)。
i.手工配置安全策略(手工配置安全策略详见H3C配置文档手册)ii.IKE自动协商安全配置1.创建一条安全策略,并进入安全策略视图。
2.配置安全策略引用的ACL3.配置安全策略引用的安全提议4.在安全策略中引用IKE对等体5.配置使用次安全策略发起协商时使用的PFS特性6.配置安全策略的SA生存周期7.配置全局SA生命周期4.在接口上应用安全策略10、配置案例指导RTA外网口地址:202.38.160.1/24RTB外网口地址:202.38.160.2/24RTA内网口地址:10.1.1.1/24RTB内网口地址:10.1.2.1/24RTA配置如下:[RTA]acl number3001#配置安全的ACL,意义在于那些数据流需要保护[RTA-ACL-ADV-3001]rule permit ip source10.1.1.00.0.0.255 destination10.1.2.00.0.0.255#允许源地址10.1.1.0的网络可以访问目标地址10.1.2.0的网络,也就是说如果引用这条ACL,那么符合这条ACL的数据流就取得了保护。
[RTA-ACL-ADV3001]rule deny ip source any destination any#拒绝所有IP数据包通过[RTA]ip route-static10.1.2.0255.255.255.0202.38.160.2#静态路由指向目的地址和下一跳地址[RTA]ipsec proposal tranl#创建安全提议tranl[RTA-IPSEC-PROPOSAL-TRANL]encapsulation-mode tunnel#选择安全提议的工作模式为tunnel隧道模式[RTA-IPSEC-PROPOSAL-TRANL]transform esp#选择安全算法为esp[RTA-IPSEC-PROPOSAL-TRANL]esp encryprion-algorithm des#esp的加密算法采用des[RTA-IPSEC-PROPOSAL-TRANL]esp authentication-algorithm shal #esp的认证算法采用shal[RTA-IPSEC-PROPOSAL-TRANL]quit#退出[RTA]ike peer peer1#创建ike对等体peer1[RTA-IKE-PEER-PEER]pre-share-key abcde#配置预共享密钥验证时的所需要的密钥[RTA-IKE-PEER-PEER]remote-address202.38.160.2#对端安全网关的IP地址[RTA-IKE-PEER-PEER]quit#退出[RTA]ipsec policy map110isakmp#创建安全策略名称为map1安全序号10[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]porposal tranl#配置安全策略所引用的安全提议[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]security acl3001#配置安全策略所引用的ACL[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]ike-peer peer1#引用ike对等体peer1[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]quit#退出[RTA]int s0/0#进入S0/0接口[RTA-SERIAL0/0]ip address202.38.160.124#配置接口地址[RTA-SERIAL0/0]ipsec policy map1#在接口上引用安全策略[RTA-SERAL0/0]quit#退出[RTA]int e0/0#进入E0/0接口[RTA-Ethernet0/0]ip address10.1.1.124#配置接口IP地址RTB配置如下:[RTA]acl number3001#配置安全的ACL,意义在于那些数据流需要保护[RTA-ACL-ADV-3001]rule permit ip source10.1.2.00.0.0.255destination10.1.1.00.0.0.255#允许源地址10.1.1.0的网络可以访问目标地址10.1.2.0的网络,也就是说如果引用这条ACL,那么符合这条ACL的数据流就取得了保护。
[RTA-ACL-ADV3001]rule deny ip source any destination any#拒绝所有IP数据包通过[RTA]ip route-static10.1.1.0255.255.255.0202.38.160.1#静态路由指向目的地址和下一跳地址[RTA]ipsec proposal tranl#创建安全提议tranl[RTA-IPSEC-PROPOSAL-TRANL]encapsulation-mode tunnel#选择安全提议的工作模式为tunnel隧道模式[RTA-IPSEC-PROPOSAL-TRANL]transform esp#选择安全算法为esp[RTA-IPSEC-PROPOSAL-TRANL]esp encryprion-algorithm des#esp的加密算法采用des[RTA-IPSEC-PROPOSAL-TRANL]esp authentication-algorithm shal#esp的认证算法采用shal[RTA-IPSEC-PROPOSAL-TRANL]quit#退出[RTA]ike peer peer1#创建ike对等体peer1[RTA-IKE-PEER-PEER]pre-share-key abcde#配置预共享密钥验证时的所需要的密钥[RTA-IKE-PEER-PEER]remote-address202.38.160.1#对端安全网关的IP地址[RTA-IKE-PEER-PEER]quit#退出[RTA]ipsec policy map110isakmp#创建安全策略名称为map1安全序号10[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]porposal tranl #配置安全策略所引用的安全提议[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]security acl3001 #配置安全策略所引用的ACL[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]ike-peer peer1 #引用ike对等体peer1[RTA-IPSEC-POLICY-ISAKMP-MAP1-10]quit#退出[RTA]int s0/0#进入S0/0接口[RTA-SERIAL0/0]ip address202.38.160.224#配置接口地址[RTA-SERIAL0/0]ipsec policy map1#在接口上引用安全策略[RTA-SERAL0/0]quit#退出[RTA]int e0/0#进入E0/0接口[RTA-Ethernet0/0]ip address10.1.2.124 #配置接口IP地址。