Ejemplo de [Gateway Whiz] para establecer un túnel IPSec entre el AR y el Cisco Router en el modo principal IKEv1

68 0 0 0

Especificaciones

Este ejemplo se aplica a todas las versiones y enrutadores.

Este ejemplo se aplica a los enrutadores de todas las versiones.

Requisitos de red

Como se muestra en la Figura 1-1, RouterA es la puerta de enlace de la rama empresarial, y RouterB es la puerta de enlace de la sede de la empresa (enrutador de Cisco). La sucursal y la sede se comunican a través de la red pública.

La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Se puede configurar un túnel IPSec entre la puerta de enlace de la sucursal y la puerta de enlace de la sede porque se comunican a través de Internet.

Figura 1-1 Conexión en red para establecer un túnel IPSec entre el AR y el enrutador de Cisco en el modo principal IKEv1




065357mozes5zkeqjilkoq.png?image.png

 

 

 

 

 

 

 

Procedimiento

 

                       Paso 1 Configurar RouterA.

Nota

MD5, SHA-1, DES y 3DES tienen riesgos de seguridad potenciales. Tenga cuidado al usarlos.

Los comandos utilizados para configurar los interlocutores IKE y el protocolo IKE varían según la versión del software.

° En versiones anteriores de V200R008:

ike peer-name [v1 | v2]

° En V200R008 y versiones posteriores:

° Para configurar los pares de IKE: ike peer-name

° Para configurar el protocolo IKE: versión {1 | 2}

De forma predeterminada, IKEv1 e IKEv2 se habilitan simultáneamente. Un iniciador usa IKEv2 para iniciar una solicitud de negociación, mientras que un respondedor usa IKEv1 o IKEv2 para responder. Para iniciar una solicitud de negociación utilizando IKEv1, ejecute el comando deshacer versión 2.

#

 sysname RouterA // Configure el nombre del dispositivo.

#

 autenticación de ipsec sha2 compatible habilitar

#

número de acl 3000 // Especifique los flujos de datos (tráfico desde la subred de la sucursal a la subred de la sede) a proteger.

 la regla 5 permite el origen de IP 10.1.1.0 0.0.0.255 destino 10.1.2.0 0.0.0.255

#

Propuesta ipsec prop1 // Configurar una propuesta IPSec.

 esp autenticación-algoritmo sha2-256

 algoritmo de cifrado esp aes-128

#

ike proposición 1 // Configurar una propuesta IKE.

 algoritmo de cifrado aes-cbc-128 // En V200R008 y versiones posteriores, el parámetro aes-cbc-128 se cambia a aes-128.

 dh grupo14

 algoritmo de autenticación sha2-256

#

ike peer peer1 v1 // Configurar un par IKE.

 cifrado de clave pre-compartida% @% @ W'KwGZ8`tQ8s ^ C8q (qC "0 (; @% @% @% #% # @ W4p8i ~ Mm5sn; 9Xc & U # (cJC; .CE | qCD # jAH & / # nR% #% # // Configure la clave compartida previamente como huawei @ 1234.

 ike-propuesta 1

 dirección remota 60.1.2.1 // Utilice la dirección IP para identificar al interlocutor IKE.

#

ipsec policy policy1 10 isakmp // Configurar una política IPSec.

 seguridad acl 3000

 ike-peer peer1

 propuesta prop1

#

interfaz GigabitEthernet0 / 0/1

 dirección ip 60.1.1.1 255.255.255.0

 ipsec policy policy1 // Aplicar la política IPSec a la interfaz.

#

interfaz GigabitEthernet0 / 0/2

 dirección ip 10.1.1.1 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 // Configure una ruta estática para garantizar la accesibilidad en ambos extremos.

#

Regreso

 

Paso 2 Configurar RouterB.

!

hostname RouterB // Configure el nombre del dispositivo.

!

política isakmp crypto 1

 cifrado aes 128

 hash sha256

 autenticación previa a la compartición

 grupo 14

crypto isakmp key huawei @ 1234 address 0.0.0.0 0.0.0.0 // Configure la clave previamente compartida como huawei @ 1234.

!

crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 // Configure un algoritmo de seguridad utilizado por IPSec.

!

crypto map p1 1 ipsec-isakmp // Configurar una política IPSec.

 set peer 60.1.1.1 // Use la dirección IP para identificar el par IKE.

 establecer transform-set p1

 dirección del partido 102

!

!

interfaz GigabitEthernet0 / 0

 dirección ip 60.1.2.1 255.255.255.0

 dúplex automático

 velocidad automática

 crypto map p1 // Aplicar la política IPSec a la interfaz.

!

interfaz GigabitEthernet0 / 1

 dirección ip 10.1.2.1 255.255.255.0

 dúplex automático

 velocidad automática

!

!

ip route 0.0.0.0 0.0.0.0 60.1.2.2 // Configure una ruta estática para garantizar la accesibilidad en ambos extremos.

!

la lista de acceso 102 permite ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 // Especifique los flujos de datos (tráfico desde la subred de la sede a la subred de la sucursal) para protegerlos.

!

fin

Paso 3 Verificar la configuración.

# Después de que se complete la configuración, ejecute el comando ping en la PC A. La PC B puede ser ping.

# Ejecute los comandos display ike sa y display ipsec sa en RouterA, y ejecute los comandos show crypto isakmp sa y show crypto ipsec sa en RouterB. Puede ver que el túnel IPSec se ha creado correctamente.

# Ejecute el comando de visualización de estadísticas ipsec en RouterA para verificar las estadísticas de paquetes de datos.

----Fin

 

Notas de configuración

En este ejemplo, los comandos en el router Cisco son los recomendados. La versión del producto es Cisco IOS Software, C3900e Software (C3900e-UNIVERSALK9-M), Versión 15.2 (4) M1, SOFTWARE DE LIBERACIÓN (fc1). Para obtener más información, visite http://www.cisco.com/cisco/web/support.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje