Establecimiento de un túnel IPSec mediante negociación iniciada por AR con una dirección IP dinámica a C3900e (usando el nombre de host)

113 0 0 0

Especificaciones


Este ejemplo se aplica a todas las versiones y routers.


Este ejemplo se aplica a los routers de todas las versiones.


Requisitos de red


Como se muestra en la Figura 1-4, RouterA es la puerta de enlace de la rama de la empresa, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede se comunican a través de la red pública.


La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede puede usar el nombre de host para establecer un túnel IPSec con la puerta de enlace de la sucursal.


Figura 1-1 Red para establecer un túnel IPSec a través de la negociación iniciada por la pasarela de la sucursal con una dirección IP dinámica al enrutador de Cisco de la sede


105320g8kqj5kzmr1kcw2c.png?image.png

Procedimiento


Paso 1 Configurar RouterA.


Nota

MD5, SHA-1, DES y 3DES tienen riesgos de seguridad potenciales. Tenga cuidado al usarlos.

Los comandos utilizados para configurar los interlocutores IKE y el protocolo IKE varían según la versión del software.


·         En versiones anteriores de V200R008:


Ike peer peer-name [v1 | v2]


§  En V200R008 y versiones posteriores:


§  Para configurar los pares de IKE: ike peer peer-name

§  Para configurar el protocolo IKE: versión {1 | 2}


De forma predeterminada, IKEv1 e IKEv2 se habilitan simultáneamente. Un iniciador usa IKEv2 para iniciar una solicitud de negociación, mientras que una respondedora usa IKEv1 o IKEv2 para responder. Para iniciar una solicitud de negociación utilizando IKEv1, ejecute el comando undo version 2.



 sysname RouterA  //Configure the device name. 

 ipsec authentication sha2 compatible enable 

 ike local-name huawei 

acl number 3000  //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected. 
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 

ipsec proposal prop1  //Configure an IPSec proposal. 
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128 

ike proposal 1  //Configure an IKE proposal. 
 encryption-algorithm aes-cbc-128   //In V200R008 and later versions, the aes-cbc-128 parameter is changed to aes-128
 dh group14 
 authentication-algorithm sha2-256 

ike peer peer1 v1  //Configure an IKE peer. 
 exchange-mode aggressive  //Configure the aggressive mode. 
 pre-shared-key cipher %@%@W'KwGZ8`tQ8s^C8q(qC"0(;@%@%@%#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%#  //Configure the pre-shared key as huawei@1234. 
 ike-proposal 1 
 local-id-type name   //Set the local ID type in IKE negotiation to name
 remote-name RouterB 
 remote-address 60.1.2.1   

ipsec policy policy1 10 isakmp  //Configure an IPSec policy. 
 security acl 3000  
 ike-peer peer1 
 proposal prop1 

interface GigabitEthernet0/0/1 
 ipsec policy policy1     //Apply the IPSec policy to the interface. 
 ip address dhcp-alloc    //Enable the DHCP client function to allow the branch gateway to dynamically obtain an IP address. In addition, you also need to configure the DHCP  
                            server function on the device directly connected or having a reachable route to RouterA. For detailed configurations, see the product documentation 
                            of the device used. 

interface GigabitEthernet0/0/2 
 ip address 10.1.1.1 255.255.255.0 

return


Paso 2 Configurar RouterB.


       
hostname RouterB  //Configure the device name. 

crypto isakmp policy 1 
 encryption aes 128 
 hash sha256 
 authentication pre-share 
 group 14 
crypto isakmp key huawei@1234 hostname huawei  //Configure the pre-shared key as huawei@1234. 

crypto isakmp identity hostname   //Set the local ID type in IKE negotiation to hostname

crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128  //Configure a security algorithm used by IPSec. 


crypto dynamic-map p1 1  //Create a dynamic crypto map entry. 
 set transform-set p1 
 match address 102 
!  

crypto map p1 1 ipsec-isakmp dynamic p1  //Configure an IPSec policy. 


interface GigabitEthernet0/0 
 ip address 60.1.2.1 255.255.255.0 
 duplex auto 
 speed auto 
 crypto map p1     //Apply the IPSec policy to the interface. 

interface GigabitEthernet0/1 
 ip address 10.1.2.1 255.255.255.0 
 duplex auto 
 speed auto 


ip route 0.0.0.0 0.0.0.0 60.1.2.2  //Configure a static route to ensure reachability at both ends. 

access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected. 

end


Paso 3 Verificar la configuración.


# Después de que se complete la configuración, ejecute el comando ping en la PC A. La PC B puede ser ping.


# Ejecute los comandos display ike sa y display ipsec sa en RouterA, y ejecute los comandos show crypto isakmp sa y show crypto ipsec sa en RouterB. Puede ver que el túnel IPSec se ha creado correctamente.


# Ejecute el comando de display ipsec statistics en RouterA para verificar las estadísticas de paquetes de datos.


Notas de configuración


En este ejemplo, los comandos en el router Cisco son los recomendados. La versión del producto es Cisco IOS Software, C3900e Software (C3900e-UNIVERSALK9-M), Versión 15.2 (4) M1, SOFTWARE DE LIBERACIÓN (fc1). Para obtener más información, visite http://www.cisco.com/cisco/web/support.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje