好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



7.4   IPSEC配置

7.4.1   标准的ipsec配置

『需求』

 

两台路由器通过internet采用ipsec tunnel方式互通

 

 

router A

 

当前路由器提示视图

依次输入的配置命令,重要的命令红色突出显示

简单说明

 

!

适用版本vrp1.741.44

[Router]

ike pre-shared-key abc remote 202.38.160.2

配置IKE,使用预共享密钥的认证方法,其中的abc是密钥,202.38.1.2是对端的地址

 

!

 

[Router]

acl 3000 match-order auto

配置acl 3000

[Router-acl-101]

rule normal permit ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255

配置本端内网到对端内网的acl策略

[Router-acl-101]

rule normal permit ip source 172.17.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255

配置对端内网到本端内网的acl策略

[Router-acl-101]

rule normal deny ip source any destination any

禁止其他任何报文

 

!

 

[Router]

ipsec proposal l2tptrans

创建名为l2tptrans的安全提议

[Router-ipsec-proposal-l2tptrans]

encapsulation-mode tunnel

报文的封装形式采用隧道模式

esp-new authentication-algorithm sha1-hmac-96

安全协议选择sha1-hmac-96

 

!

 

[Router]

ipsec policy l2tpmap 10 isakmp

创建一条安全策略,协商方式为ISAKMP

[Router-ipsec-policy-l2tpmap]

security acl 3000

引用访问列表

proposal l2tptrans

引用l2tptrans安全提议

tunnel remote 202.38.160.2

设置对端地址

 

!

 

[Router]

interface Ethernet0

进入以太0

[Router-ethernet0]

ip address 172.16.0.1 255.255.0.0

配置ip地址

 

!

 

[Router]

interface Serial0

进入串口0

[Router-Serial0]

link-protocol ppp

封装ppp链路层协议

[Router-Serial0]

ip address 202.38.160.1 255.255.255.0

配置ip地址

[Router-Serial0]

ipsec policy l2tpmap

在接口上应用相应的安全策略

 

!

 

[Router]

ip route-static 0.0.0.0 0.0.0.0 serial 0

配置静态路由

 

!

 

 

return

 

 

 

 

Router B

 

当前路由器提示视图

依次输入的配置命令,重要的命令红色突出显示

简单说明

[Router]

!

适用版本vrp1.741.44

[Router]

ike pre-shared-key abc remote 202.38.160.1

配置IKE,使用预共享密钥的认证方法,其中的abc是密钥,202.38.160.1是对端的地址

 

!

 

[Router]

acl 3000 match-order auto

配置acl 3000

[Router-acl-101]

rule normal permit ip source 172.17.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255

配置本端内网到对端内网的acl策略

[Router-acl-101]

rule normal permit ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255

配置对端内网到本端内网的acl策略

[Router-acl-101]

rule normal deny ip source any destination any

禁止其他任何报文

 

  !

 

[Router]

ipsec proposal l2tptrans

创建名为l2tptrans的安全提议

[Router-ipsec-proposal-l2tptrans]

encapsulation-mode tunnel

报文的封装形式采用隧道模式

esp-new authentication-algorithm sha1-hmac-96

安全协议选择sha1-hmac-96

 

!

 

[Router]

ipsec policy l2tpmap 10 isakmp

创建一条安全策略,协商方式为ISAKMP

[Router-ipsec-policy-l2tpmap]

security acl 3000

引用访问列表

proposal l2tptrans

引用l2tptrans安全提议

tunnel remote 202.38.160.1

设置对端地址

 

!

 

[Router]

interface Ethernet0

进入以太0

[Router-ethernet0]

ip address 172.17.0.1 255.255.0.0

配置ip地址

 

!

 

[Router]

interface Serial0

进入串口0

[Router-Serial0]

link-protocol ppp

封装ppp链路层协议

[Router-Serial0]

ip address 202.38.160.2 255.255.255.0

配置ip地址

[Router-Serial0]

ipsec policy l2tpmap

在接口上应用相应的安全策略

 

!

 

[Router]

ip route-static 0.0.0.0 0.0.0.0 serial 0

配置静态路由

 

!

 

 

return

 

 

7.4.2   IPSEC加密卡NDEC配置

『说明』

 

NDECNetwork Data Encryption Card,网络数据加密卡)是网络数据加密模块的简称.NDEC支持IPSec协议,通过硬件加速IP数据包的加密处理,为路由器提供了高性能,高可靠性的加密特性.其配置和IPSec的配置基本一样,包括加密协议及算法等,IPSec所不同的是配置加密卡时,配置transform要用加密卡.

 

 

『需求』

 

左侧的路由器为RTA,右侧的路由器为RTB,IP地址如下:

RTA的以太网口所在网段为10.1.1.0/24,广域网口IP地址为202.38.0.1/24;

RTB的以太网口所在网段为10.1.2.0/24,广域网口IP地址为202.38.1.1/24

 

Router A

 

当前路由器提示视图

依次输入的配置命令,重要的命令红色突出显示

简单说明

 

!

适用版本vrp1.74

[Router]

ike pre-shared-key abc remote 202.38.0.2

相应的IKE配置

 

!

 

[Router]

acl 3001

配置acl3001

[Router-acl-101]

 

rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

定义由子网10.1.1.0去子网10.1.2.0的数据流

[Router-acl-101]

 

rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

定义由子网10.1.2.0去子网10.1.1.0的数据流

[Router-acl-101]

 

rule deny ip source any destination any

禁止其他任何数据包

 

!

 

[Router]

ipsec card-proposal 123

创建名为123的适用加密卡的安全提议

[Router-ipsec-card-proposal-123]

encapsulation-mode tunnel

报文封装形式采用隧道模式

transform esp-new

配置安全协议采用ESP协议

esp encryption-algorithm des

选择加密算法和验证算法

esp authentication-algorithm sha1-hmac-96

 

 

!

 

[Router]

ipsec policy pol1 1 isakmp

创建一条安全策略,协商方式为ISAKMP

[Router-ipsec-policy-pol1-1]

security acl 3001

引用访问列表

tunnel remote 202.38.0.2

设置对端地址

proposal 123

引用安全提议

!

 

[Router]

interface Ethernet0

进入以太0

[Router-Ethernet0]

ip address 10.1.1.1 255.255.255.0

配置ip地址

 

!

 

[Router]

interface serial 0

进入串口0

[Router-serial0]

link-protocol ppp

封装ppp链路层协议

[Router-serial0]

ip address 202.38.0.1 255.255.255.0

配置ip地址

[Router-serial0]

ipsec policy pol1

在接口上应用相应的安全策略

 

!

 

[Router-serial0]

quit

 

[Router]

ip route-static 10.1.2.0 255.255.255.0 202.38.0.2

配置静态路由

 

!

 

 

 

 

Router B

 

当前路由器提示视图

依次输入的配置命令,重要的命令红色突出显示

简单说明

 

!

适用版本vrp1.74

[Router]

ike pre-shared-key abc remote 202.38.0.1

相应的IKE配置

 

!

 

[Router]

acl 101

配置一个访问列表

[Router-acl-101]

 

rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

定义由子网10.1.2.0去子网10.1.1.0的数据流

[Router-acl-101]

 

rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

定义由子网10.1.1.0去子网10.1.2.0的数据流

[Router-acl-101]

 

rule deny ip source any destination any

禁止其他任何数据包

[Router]

ipsec card-proposal 123

创建名为123的适用加密卡的安全提议

[Router-ipsec-card-proposal-123]

encapsulation-mode tunnel

报文封装形式采用隧道模式

transform esp-new

配置安全协议采用ESP协议

esp encryption-algorithm des

选择加密算法和验证算法

esp authentication-algorithm sha1-hmac-96

 

 

!

 

[Router]

ipsec policy pol1 1 isakmp

创建一条安全策略,协商方式为ISAKMP

[Router-ipsec-policy-pol1-1]

security acl 3001

引用访问列表

tunnel remote 202.38.0.1

设置对端地址

proposal 123

引用安全提议

 

!

 

[Router]

interface Ethernet0

进入以太0

[Router-Ethernet0]

ip address 10.1.2.1 255.255.255.0

配置ip地址

 

!

 

[Router]

interface serial 0

进入串口0

[Router-serial0]

link-protocol ppp

封装ppp链路层协议

[Router-serial0]

ip address 202.38.0.1 255.255.255.0

配置ip地址

[Router-serial0]

ipsec policy pol1

在串口上应用安全策略库

 

!

 

[Router]

ip route-static 10.1.1.0 255.255.255.0 202.38.0.1

配置静态路由

 

!

 

 

 

【注意】

1、 当路由器即需要配置ipsec,又需要使用NAT的,一定要在NATACLdenyipsec保护的流。否则需要进行ipsec

保护的流会先会被NATACL匹配,进行NAT,而无法触发ipsec的建立。

 

X Close
X Close