Establecimiento de un túnel IPsec mediante negociación iniciada por un AR con una dirección IP dinámica al C3900e (utilizando la entrada Dynamic C

118 0 0 0

Establecimiento de un túnel IPsec mediante negociación iniciada por un AR con una dirección IP dinámica al C3900e (utilizando la entrada Dynamic Crypto Map).

Especificaciones

Este ejemplo se aplica a todas las versiones y routers.

Este ejemplo se aplica a los routers de todas las versiones.

Requerimientos de Red

Como se muestra en la Figura 1, el RouterA es el gateway de sucursales empresariales, la interfaz de red pública obtiene una dirección IP, y RouterB es el gateway de la sede de la empresa (router Cisco). La sucursal y la sede se comunican a través de la red pública.

La empresa quiere proteger los flujos de datos entre la subred de sucursales (branch) y la subred de la sede (HQ). Debido a que el gateway de sucursales obtiene dinámicamente una dirección IP, el gateway de la sede puede utilizar la entrada de mapa de cifrado dinámico para establecer un túnel IPSec con el gateway de sucursales.

Figura 1 Red para establecer un túnel IPSec mediante negociación iniciada por el gateway de sucursales con una dirección IP dinámica al router Cisco de la sede

20170224094953599001.png

Procedimiento

Paso 1 Configurar el Router A

note

MD5, SHA-1 y DES, y 3DES tienen riesgos de seguridad potencial. Tenga precaución cuando los utilice.

Los comandos utilizados para configurar los pares IKE y el protocolo IKE difieren dependiendo de la versión del software.

l En versiones anteriores de V200R008:

Ike peer peer-name [v1 | v2]

l En V200R008 y versiones posteriores:

l Para configurar los pares IKE: Ike peer peer-name

l Para configurar el protocolo IKE: Versión {1 | 2}

Por defecto, IKEv1 y IKEv2 están habilitados simultáneamente. Un iniciador utiliza IKEv2 para iniciar una solicitud de negociación, mientras que un respondedor utiliza IKEv1 IKEv2 para responder. Para iniciar una solicitud de negociación utilizando IKEv1 ejecute el comando undo version 2.

#
sysname RouterA //Configure the device name.
#
ipsec authentication sha2 compatible enable
#
acl number 3000 //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected.
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1 //Configure an IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 1 //Configure an IKE proposal.
encryption-algorithm aes-cbc-128 //In V200R008 and later versions, the aes-cbc-128 parameter is changed to aes-128.
dh group14
authentication-algorithm sha2-256
#
ike peer peer1 v1 //Configure an IKE peer.
pre-shared-key cipher %@%@W'KwGZ8`tQ8s^C8q(qC"0(;@%@%@%#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%# //Configure the pre-shared key as huawei@1234.
ike-proposal 1
remote-address 60.1.2.1 //Use the IP address to identify the IKE peer.
#
ipsec policy policy1 10 isakmp //Configure an IPSec policy.
security acl 3000
ike-peer peer1
proposal prop1
#
interface GigabitEthernet0/0/1
ipsec policy policy1 //Apply the IPSec policy to the interface.
ip address dhcp-alloc //Enable the DHCP client function to allow the branch gateway to dynamically obtain an IP address. In addition, you also need to configure the DHCP
server function on the device directly connected or having a reachable route to RouterA. For detailed configurations, see the product documentation
of the device used.
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
return

Paso 2. Configurar el Router B

!
hostname RouterB //Configure the device name.
!
crypto isakmp policy 1
encryption aes 128
hash sha256
authentication pre-share
group 14
crypto isakmp key huawei@1234 address 0.0.0.0 0.0.0.0 //Configure the pre-shared key as huawei@1234, use the IP address to identify an IKE peer, and configure the device to allow access from any branch.
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 //Configure a security algorithm used by IPSec.
!
!
crypto dynamic-map p1 1 //Create a dynamic crypto map entry.
set transform-set p1
match address 102
!
!
crypto map p1 1 ipsec-isakmp dynamic p1 //Configure an IPSec policy.
!
!
interface GigabitEthernet0/0
ip address 60.1.2.1 255.255.255.0
duplex auto
speed auto
crypto map p1 //Apply the IPSec policy to the interface.
!
interface GigabitEthernet0/1
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2 //Configure a static route to ensure reachability at both ends.
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected.
!
end

Step 3 Verificar la configuración

# Una vez completada la configuración, ejecute el comando ping en la PC A. Se puede hacer ping a la PC B.

# Ejecutar los comandos display ike sa y display ipsec sa en RouterA y ejecutar el comando show crypto isakmp sa y how crypto ipsec sa en RouterB. Se puede ver que el túnel IPSec se ha creado correctamente.

# Ejecute el comando display ipsec statistics en RouterA para verificar las estadísticas de paquetes de datos.

----End

Notas de configuración

En este ejemplo, los comandos del router Cisco son recomendados. La versión del producto es el software Cisco IOS, el software C3900e (C3900e-UNIVERSALK9 -m), la versión 15.2 (4) M1, el software RELEASE (FC1). Para más detalles, visite http:/// / www.cisco.com/cisco/web/support /.

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje