设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡华为认证≡□≡ HCIP学习资料 华为设备与思科设备对接建立IPSec隧道
返回列表 发新帖
查看: 3373|回复: 2
收起左侧

[分享] 华为设备与思科设备对接建立IPSec隧道

[复制链接]
小乔
 成长值: 64835
发表于 2019-6-20 15:42:16 | 显示全部楼层 |阅读模式
组网需求如图所示,RouterA为企业分支网关,RouterB为企业总部网关(思科路由器),分支与总部通过公网建立通信。
企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实现该需求。
图 配置设备与思科路由器采用主模式(IKEv1)建立IPSec隧道组网图
12.jpg

操作步骤
配置RouterA
#
sysname RouterA  //配置设备名称
#
ipsec authentication sha2 compatible enable
#
acl number 3000  //指定被保护的数据流,分支子网访问总部子网的流量
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1  //配置IPSec安全提议
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 1  //配置IKE安全提议
encryption-algorithm aes-cbc-128   //V200R008及之后的版本,aes-cbc-128参数修改为aes-128
dh group14
authentication-algorithm sha2-256
#
ike peer peer1 v1  //配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ];V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },缺省情况下,对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议,则可以执行命令undo version 2
pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%#  //配置预共享密钥为huawei@1234
ike-proposal 1
remote-address 60.1.2.1    //采用IP地址方式标识对等体
#
ipsec policy policy1 10 isakmp  //配置IPSec安全策略
security acl 3000
ike-peer peer1
proposal prop1
#
interface GigabitEthernet0/0/1
ip address 60.1.1.1 255.255.255.0
ipsec policy policy1     //在接口上应用安全策略
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2  //配置静态路由,保证两端路由可达
#
return

配置RouterB
hostname RouterB  //配置设备名称
!
crypto isakmp policy 1
encryption aes 128
hash sha256
authentication pre-share
group 14
crypto isakmp key huawei@1234 address 0.0.0.0 0.0.0.0  //配置预共享密钥为huawei@1234
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128  //配置IPSec采用的安全算法
!
crypto map p1 1 ipsec-isakmp  //配置IPSec安全策略
set peer 60.1.1.1     //采用IP地址方式标识对等体
set transform-set p1
match address 102
!
!
interface GigabitEthernet0/0
ip address 60.1.2.1 255.255.255.0
duplex auto
speed auto
crypto map p1     //在接口上应用安全策略
!
interface GigabitEthernet0/1
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2  //配置静态路由,保证两端路由可达
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流,总部子网访问分支子网的流量
!
end
验证配置结果
# 配置成功后,在PC A上执行ping操作仍然可以ping通PC B。
# 在RouterA上执行display ike sa和display ipsec sa命令,在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的信息。
# 在RouterA上执行命令display ipsec statistics可以查看数据包的统计信息。



回复

使用道具 举报

liyou60
发表于 2024-7-8 11:39:49 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
沙发 2024-7-8 11:39:49 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-7-8 11:39:55 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
板凳 2024-7-8 11:39:55 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-5-9 13:35 , Processed in 0.108774 second(s), 23 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表