Especificaciones
Este ejemplo se aplica a todas las versiones y enrutadores.
Este ejemplo se aplica a los enrutadores de todas las versiones.
Requisitos de red
Como se muestra en la Figura 1-1, RouterA es la puerta de enlace de la rama empresarial, y RouterB es la puerta de enlace de la sede de la empresa (enrutador de Cisco). La sucursal y la sede se comunican a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Se puede configurar un túnel IPSec entre la puerta de enlace de la sucursal y la puerta de enlace de la sede porque se comunican a través de Internet.
Figura 1-1 Conexión en red para establecer un túnel IPSec entre el AR y el enrutador de Cisco en el modo principal IKEv1
Procedimiento
Paso 1 Configurar RouterA.
Nota
MD5, SHA-1, DES y 3DES tienen riesgos de seguridad potenciales. Tenga cuidado al usarlos.
Los comandos utilizados para configurar los interlocutores IKE y el protocolo IKE varían según la versión del software.
° En versiones anteriores de V200R008:
ike peer-name [v1 | v2]
° En V200R008 y versiones posteriores:
° Para configurar los pares de IKE: ike peer-name
° Para configurar el protocolo IKE: versión {1 | 2}
De forma predeterminada, IKEv1 e IKEv2 se habilitan simultáneamente. Un iniciador usa IKEv2 para iniciar una solicitud de negociación, mientras que un respondedor usa IKEv1 o IKEv2 para responder. Para iniciar una solicitud de negociación utilizando IKEv1, ejecute el comando deshacer versión 2.
#
sysname RouterA // Configure el nombre del dispositivo.
#
autenticación de ipsec sha2 compatible habilitar
#
número de acl 3000 // Especifique los flujos de datos (tráfico desde la subred de la sucursal a la subred de la sede) a proteger.
la regla 5 permite el origen de IP 10.1.1.0 0.0.0.255 destino 10.1.2.0 0.0.0.255
#
Propuesta ipsec prop1 // Configurar una propuesta IPSec.
esp autenticación-algoritmo sha2-256
algoritmo de cifrado esp aes-128
#
ike proposición 1 // Configurar una propuesta IKE.
algoritmo de cifrado aes-cbc-128 // En V200R008 y versiones posteriores, el parámetro aes-cbc-128 se cambia a aes-128.
dh grupo14
algoritmo de autenticación sha2-256
#
ike peer peer1 v1 // Configurar un par IKE.
cifrado de clave pre-compartida% @% @ W'KwGZ8`tQ8s ^ C8q (qC "0 (; @% @% @% #% # @ W4p8i ~ Mm5sn; 9Xc & U # (cJC; .CE | qCD # jAH & / # nR% #% # // Configure la clave compartida previamente como huawei @ 1234.
ike-propuesta 1
dirección remota 60.1.2.1 // Utilice la dirección IP para identificar al interlocutor IKE.
#
ipsec policy policy1 10 isakmp // Configurar una política IPSec.
seguridad acl 3000
ike-peer peer1
propuesta prop1
#
interfaz GigabitEthernet0 / 0/1
dirección ip 60.1.1.1 255.255.255.0
ipsec policy policy1 // Aplicar la política IPSec a la interfaz.
#
interfaz GigabitEthernet0 / 0/2
dirección ip 10.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 // Configure una ruta estática para garantizar la accesibilidad en ambos extremos.
#
Regreso
Paso 2 Configurar RouterB.
!
hostname RouterB // Configure el nombre del dispositivo.
!
política isakmp crypto 1
cifrado aes 128
hash sha256
autenticación previa a la compartición
grupo 14
crypto isakmp key huawei @ 1234 address 0.0.0.0 0.0.0.0 // Configure la clave previamente compartida como huawei @ 1234.
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 // Configure un algoritmo de seguridad utilizado por IPSec.
!
crypto map p1 1 ipsec-isakmp // Configurar una política IPSec.
set peer 60.1.1.1 // Use la dirección IP para identificar el par IKE.
establecer transform-set p1
dirección del partido 102
!
!
interfaz GigabitEthernet0 / 0
dirección ip 60.1.2.1 255.255.255.0
dúplex automático
velocidad automática
crypto map p1 // Aplicar la política IPSec a la interfaz.
!
interfaz GigabitEthernet0 / 1
dirección ip 10.1.2.1 255.255.255.0
dúplex automático
velocidad automática
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2 // Configure una ruta estática para garantizar la accesibilidad en ambos extremos.
!
la lista de acceso 102 permite ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 // Especifique los flujos de datos (tráfico desde la subred de la sede a la subred de la sucursal) para protegerlos.
!
fin
Paso 3 Verificar la configuración.
# Después de que se complete la configuración, ejecute el comando ping en la PC A. La PC B puede ser ping.
# Ejecute los comandos display ike sa y display ipsec sa en RouterA, y ejecute los comandos show crypto isakmp sa y show crypto ipsec sa en RouterB. Puede ver que el túnel IPSec se ha creado correctamente.
# Ejecute el comando de visualización de estadísticas ipsec en RouterA para verificar las estadísticas de paquetes de datos.
----Fin
Notas de configuración
En este ejemplo, los comandos en el router Cisco son los recomendados. La versión del producto es Cisco IOS Software, C3900e Software (C3900e-UNIVERSALK9-M), Versión 15.2 (4) M1, SOFTWARE DE LIBERACIÓN (fc1). Para obtener más información, visite http://www.cisco.com/cisco/web/support.
Si tienes más dudas, deja una pregunta aquí.
Si quieres saber más sobre routers, sigue este enlace
#ComunidadEnterprise
#OneHuawei