7.4 IPSEC配置
7.4.1 标准的ipsec配置
『需求』
两台路由器通过internet采用ipsec tunnel方式互通
【router A】
当前路由器提示视图 |
依次输入的配置命令,重要的命令红色突出显示 |
简单说明 |
|
! |
适用版本vrp1.74及1.44 |
[Router] |
ike pre-shared-key abc remote 202.38.160.2 |
配置IKE,使用预共享密钥的认证方法,其中的abc是密钥,202.38.1.2是对端的地址 |
|
! |
|
[Router] |
acl 3000 match-order auto |
配置acl 3000 |
[Router-acl-101] |
rule normal permit ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255 |
配置本端内网到对端内网的acl策略 |
[Router-acl-101] |
rule normal permit ip source 172.17.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 |
配置对端内网到本端内网的acl策略 |
[Router-acl-101] |
rule normal deny ip source any destination any |
禁止其他任何报文 |
|
! |
|
[Router] |
ipsec proposal l2tptrans |
创建名为l2tptrans的安全提议 |
[Router-ipsec-proposal-l2tptrans] |
encapsulation-mode tunnel |
报文的封装形式采用隧道模式 |
esp-new authentication-algorithm sha1-hmac-96 |
安全协议选择sha1-hmac-96 |
|
|
! |
|
[Router] |
ipsec policy l2tpmap 10 isakmp |
创建一条安全策略,协商方式为ISAKMP |
[Router-ipsec-policy-l2tpmap] |
security acl 3000 |
引用访问列表 |
proposal l2tptrans |
引用l2tptrans安全提议 |
|
tunnel remote 202.38.160.2 |
设置对端地址 |
|
|
! |
|
[Router] |
interface Ethernet0 |
进入以太0口 |
[Router-ethernet0] |
ip address 172.16.0.1 255.255.0.0 |
配置ip地址 |
|
! |
|
[Router] |
interface Serial0 |
进入串口0口 |
[Router-Serial0] |
link-protocol ppp |
封装ppp链路层协议 |
[Router-Serial0] |
ip address 202.38.160.1 255.255.255.0 |
配置ip地址 |
[Router-Serial0] |
ipsec policy l2tpmap |
在接口上应用相应的安全策略 |
|
! |
|
[Router] |
ip route-static 0.0.0.0 0.0.0.0 serial 0 |
配置静态路由 |
|
! |
|
|
return |
|
【Router B】
当前路由器提示视图 |
依次输入的配置命令,重要的命令红色突出显示 |
简单说明 |
[Router] |
! |
适用版本vrp1.74及1.44 |
[Router] |
ike pre-shared-key abc remote 202.38.160.1 |
配置IKE,使用预共享密钥的认证方法,其中的abc是密钥,202.38.160.1是对端的地址 |
|
! |
|
[Router] |
acl 3000 match-order auto |
配置acl 3000 |
[Router-acl-101] |
rule normal permit ip source 172.17.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 |
配置本端内网到对端内网的acl策略 |
[Router-acl-101] |
rule normal permit ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255 |
配置对端内网到本端内网的acl策略 |
[Router-acl-101] |
rule normal deny ip source any destination any |
禁止其他任何报文 |
|
! |
|
[Router] |
ipsec proposal l2tptrans |
创建名为l2tptrans的安全提议 |
[Router-ipsec-proposal-l2tptrans] |
encapsulation-mode tunnel |
报文的封装形式采用隧道模式 |
esp-new authentication-algorithm sha1-hmac-96 |
安全协议选择sha1-hmac-96 |
|
|
! |
|
[Router] |
ipsec policy l2tpmap 10 isakmp |
创建一条安全策略,协商方式为ISAKMP |
[Router-ipsec-policy-l2tpmap] |
security acl 3000 |
引用访问列表 |
proposal l2tptrans |
引用l2tptrans安全提议 |
|
tunnel remote 202.38.160.1 |
设置对端地址 |
|
|
! |
|
[Router] |
interface Ethernet0 |
进入以太0口 |
[Router-ethernet0] |
ip address 172.17.0.1 255.255.0.0 |
配置ip地址 |
|
! |
|
[Router] |
interface Serial0 |
进入串口0口 |
[Router-Serial0] |
link-protocol ppp |
封装ppp链路层协议 |
[Router-Serial0] |
ip address 202.38.160.2 255.255.255.0 |
配置ip地址 |
[Router-Serial0] |
ipsec policy l2tpmap |
在接口上应用相应的安全策略 |
|
! |
|
[Router] |
ip route-static 0.0.0.0 0.0.0.0 serial 0 |
配置静态路由 |
|
! |
|
|
return |
|
7.4.2 IPSEC加密卡NDEC配置
『说明』
NDEC(Network Data Encryption Card,网络数据加密卡)是网络数据加密模块的简称.NDEC支持IPSec协议,通过硬件加速IP数据包的加密处理,为路由器提供了高性能,高可靠性的加密特性.其配置和IPSec的配置基本一样,包括加密协议及算法等,和IPSec所不同的是配置加密卡时,配置transform要用加密卡.
『需求』
左侧的路由器为RTA,右侧的路由器为RTB,其IP地址如下:
RTA的以太网口所在网段为10.1.1.0/24,广域网口IP地址为202.38.0.1/24;
RTB的以太网口所在网段为10.1.2.0/24,广域网口IP地址为202.38.1.1/24
【Router A】
当前路由器提示视图 |
依次输入的配置命令,重要的命令红色突出显示 |
简单说明 |
|
! |
适用版本vrp1.74 |
[Router] |
ike pre-shared-key abc remote 202.38.0.2 |
相应的IKE配置 |
|
! |
|
[Router] |
acl 3001 |
配置acl3001 |
[Router-acl-101]
|
rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 |
定义由子网10.1.1.0去子网10.1.2.0的数据流 |
[Router-acl-101]
|
rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 |
定义由子网10.1.2.0去子网10.1.1.0的数据流 |
[Router-acl-101]
|
rule deny ip source any destination any |
禁止其他任何数据包 |
|
! |
|
[Router] |
ipsec card-proposal 123 |
创建名为123的适用加密卡的安全提议 |
[Router-ipsec-card-proposal-123] |
encapsulation-mode tunnel |
报文封装形式采用隧道模式 |
transform esp-new |
配置安全协议采用ESP协议 |
|
esp encryption-algorithm des |
选择加密算法和验证算法 |
|
esp authentication-algorithm sha1-hmac-96 |
|
|
|
! |
|
[Router] |
ipsec policy pol1 1 isakmp |
创建一条安全策略,协商方式为ISAKMP |
[Router-ipsec-policy-pol1-1] |
security acl 3001 |
引用访问列表 |
tunnel remote 202.38.0.2 |
设置对端地址 |
|
proposal 123 |
引用安全提议 |
|
! |
|
|
[Router] |
interface Ethernet0 |
进入以太0口 |
[Router-Ethernet0] |
ip address 10.1.1.1 255.255.255.0 |
配置ip地址 |
|
! |
|
[Router] |
interface serial 0 |
进入串口0口 |
[Router-serial0] |
link-protocol ppp |
封装ppp链路层协议 |
[Router-serial0] |
ip address 202.38.0.1 255.255.255.0 |
配置ip地址 |
[Router-serial0] |
ipsec policy pol1 |
在接口上应用相应的安全策略 |
|
! |
|
[Router-serial0] |
quit |
|
[Router] |
ip route-static 10.1.2.0 255.255.255.0 202.38.0.2 |
配置静态路由 |
|
! |
|
【Router B】
当前路由器提示视图 |
依次输入的配置命令,重要的命令红色突出显示 |
简单说明 |
|
! |
适用版本vrp1.74 |
[Router] |
ike pre-shared-key abc remote 202.38.0.1 |
相应的IKE配置 |
|
! |
|
[Router] |
acl 101 |
配置一个访问列表 |
[Router-acl-101]
|
rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 |
定义由子网10.1.2.0去子网10.1.1.0的数据流 |
[Router-acl-101]
|
rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 |
定义由子网10.1.1.0去子网10.1.2.0的数据流 |
[Router-acl-101]
|
rule deny ip source any destination any |
禁止其他任何数据包 |
[Router] |
ipsec card-proposal 123 |
创建名为123的适用加密卡的安全提议 |
[Router-ipsec-card-proposal-123] |
encapsulation-mode tunnel |
报文封装形式采用隧道模式 |
transform esp-new |
配置安全协议采用ESP协议 |
|
esp encryption-algorithm des |
选择加密算法和验证算法 |
|
esp authentication-algorithm sha1-hmac-96 |
|
|
|
! |
|
[Router] |
ipsec policy pol1 1 isakmp |
创建一条安全策略,协商方式为ISAKMP |
[Router-ipsec-policy-pol1-1] |
security acl 3001 |
引用访问列表 |
tunnel remote 202.38.0.1 |
设置对端地址 |
|
proposal 123 |
引用安全提议 |
|
|
! |
|
[Router] |
interface Ethernet0 |
进入以太0口 |
[Router-Ethernet0] |
ip address 10.1.2.1 255.255.255.0 |
配置ip地址 |
|
! |
|
[Router] |
interface serial 0 |
进入串口0口 |
[Router-serial0] |
link-protocol ppp |
封装ppp链路层协议 |
[Router-serial0] |
ip address 202.38.0.1 255.255.255.0 |
配置ip地址 |
[Router-serial0] |
ipsec policy pol1 |
在串口上应用安全策略库 |
|
! |
|
[Router] |
ip route-static 10.1.1.0 255.255.255.0 202.38.0.1 |
配置静态路由 |
|
! |
|
【注意】
1、 当路由器即需要配置ipsec,又需要使用NAT的,一定要在NAT的ACL中deny掉ipsec保护的流。否则需要进行ipsec
保护的流会先会被NAT的ACL匹配,进行NAT,而无法触发ipsec的建立。