Especificaciones

Este ejemplo se aplica a todas las versiones y routers.

Este ejemplo se aplica a los routers de todas las versiones.

Requisitos de red

Como se muestra en la Figura 1-4, RouterA es la puerta de enlace de la rama de la empresa, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede se comunican a través de la red pública.

La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede puede usar el nombre de host para establecer un túnel IPSec con la puerta de enlace de la sucursal.

Figura 1-1 Red para establecer un túnel IPSec a través de la negociación iniciada por la pasarela de la sucursal con una dirección IP dinámica al enrutador de Cisco de la sede

Procedimiento

Paso 1 Configurar RouterA.

Nota

MD5, SHA-1, DES y 3DES tienen riesgos de seguridad potenciales. Tenga cuidado al usarlos.

Los comandos utilizados para configurar los interlocutores IKE y el protocolo IKE varían según la versión del software.

·         En versiones anteriores de V200R008:

Ike peer peer-name [v1 | v2]

§  En V200R008 y versiones posteriores:

§  Para configurar los pares de IKE: ike peer peer-name

§  Para configurar el protocolo IKE: versión {1 | 2}

De forma predeterminada, IKEv1 e IKEv2 se habilitan simultáneamente. Un iniciador usa IKEv2 para iniciar una solicitud de negociación, mientras que una respondedora usa IKEv1 o IKEv2 para responder. Para iniciar una solicitud de negociación utilizando IKEv1, ejecute el comando undo version 2.

# 
 sysname RouterA  //Configure the device name. 
# 
 ipsec authentication sha2 compatible enable 
# 
 ike local-name huawei 
# 
acl number 3000  //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected. 
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
# 
ipsec proposal prop1  //Configure an IPSec proposal. 
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128 
# 
ike proposal 1  //Configure an IKE proposal. 
 encryption-algorithm aes-cbc-128   //In V200R008 and later versions, the aes-cbc-128 parameter is changed to aes-128. 
 dh group14 
 authentication-algorithm sha2-256 
# 
ike peer peer1 v1  //Configure an IKE peer. 
 exchange-mode aggressive  //Configure the aggressive mode. 
 pre-shared-key cipher %@%@W'KwGZ8`tQ8s^C8q(qC"0(;@%@%@%#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%#  //Configure the pre-shared key as huawei@1234. 
 ike-proposal 1 
 local-id-type name   //Set the local ID type in IKE negotiation to name. 
 remote-name RouterB 
 remote-address 60.1.2.1   
# 
ipsec policy policy1 10 isakmp  //Configure an IPSec policy. 
 security acl 3000  
 ike-peer peer1 
 proposal prop1 
# 
interface GigabitEthernet0/0/1 
 ipsec policy policy1     //Apply the IPSec policy to the interface. 
 ip address dhcp-alloc    //Enable the DHCP client function to allow the branch gateway to dynamically obtain an IP address. In addition, you also need to configure the DHCP  
                            server function on the device directly connected or having a reachable route to RouterA. For detailed configurations, see the product documentation 
                            of the device used. 
# 
interface GigabitEthernet0/0/2 
 ip address 10.1.1.1 255.255.255.0 
# 
return

Paso 2 Configurar RouterB.

        ! 
hostname RouterB  //Configure the device name. 
! 
crypto isakmp policy 1 
 encryption aes 128 
 hash sha256 
 authentication pre-share 
 group 14 
crypto isakmp key huawei@1234 hostname huawei  //Configure the pre-shared key as huawei@1234. 
! 
crypto isakmp identity hostname   //Set the local ID type in IKE negotiation to hostname. 
! 
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128  //Configure a security algorithm used by IPSec. 
! 
! 
crypto dynamic-map p1 1  //Create a dynamic crypto map entry. 
 set transform-set p1 
 match address 102 
!  
! 
crypto map p1 1 ipsec-isakmp dynamic p1  //Configure an IPSec policy. 
! 
! 
interface GigabitEthernet0/0 
 ip address 60.1.2.1 255.255.255.0 
 duplex auto 
 speed auto 
 crypto map p1     //Apply the IPSec policy to the interface. 
! 
interface GigabitEthernet0/1 
 ip address 10.1.2.1 255.255.255.0 
 duplex auto 
 speed auto 
! 
! 
ip route 0.0.0.0 0.0.0.0 60.1.2.2  //Configure a static route to ensure reachability at both ends. 
! 
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected. 
! 
end

Paso 3 Verificar la configuración.

# Después de que se complete la configuración, ejecute el comando ping en la PC A. La PC B puede ser ping.

# Ejecute los comandos display ike sa y display ipsec sa en RouterA, y ejecute los comandos show crypto isakmp sa y show crypto ipsec sa en RouterB. Puede ver que el túnel IPSec se ha creado correctamente.

# Ejecute el comando de display ipsec statistics en RouterA para verificar las estadísticas de paquetes de datos.

Notas de configuración

En este ejemplo, los comandos en el router Cisco son los recomendados. La versión del producto es Cisco IOS Software, C3900e Software (C3900e-UNIVERSALK9-M), Versión 15.2 (4) M1, SOFTWARE DE LIBERACIÓN (fc1). Para obtener más información, visite http://www.cisco.com/cisco/web/support.