1.1 Ejemplo para establecer un túnel IPSec entre el AR y el Cisco Router en el modo principal IKEv1
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-1, RouterA es la puerta de enlace de la rama empresarial, y RouterB es la puerta de enlace de la sede de la empresa (enrutador de Cisco). La sucursal y la sede se comunican a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Se puede configurar un túnel IPSec entre la puerta de enlace de la sucursal y la puerta de enlace de la sede porque se comunican a través de Internet.
Figura 1-1 Conexión en red para establecer un túnel IPSec entre el AR y el enrutador de Cisco en el modo principal IKEv1
Procedimiento
Paso 1 Configurar RouterA.
#
sysname RouterA //Configure the device name.
#
acl number 3000 //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected.
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1 //Configure an IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 1 //Configure an IKE proposal.
encryption-algorithm aes-cbc-128
dh group2
authentication-algorithm sha2-256
prf hmac-sha2-256
#
ike peer peer1 v1 //Configure an IKE peer.
pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%# //Configure the pre-shared key as huawei@1234.
ike-proposal 1
remote-address 60.1.2.1 //Use the IP address to identify the IKE peer.
#
ipsec policy policy1 10 isakmp //Configure an IPSec policy.
security acl 3000
ike-peer peer1
proposal prop1
#
interface GigabitEthernet0/0/1
ip address 60.1.1.1 255.255.255.0
ipsec policy policy1 //Apply the IPSec policy to the interface.
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 //Configure a static route to ensure reachability at both ends.
#
return
Paso 2 Configurar RouterB.
hostname RouterB //Configure the device name.
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key huawei@1234 address 0.0.0.0 0.0.0.0 //Configure the pre-shared key as huawei@1234.
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 //Configure a security algorithm used by IPSec.
!
crypto map p1 1 ipsec-isakmp //Configure an IPSec policy.
set peer 60.1.1.1 //Use the IP address to identify the IKE peer.
set transform-set p1
match address 102
!
!
interface GigabitEthernet0/0
ip address 60.1.2.1 255.255.255.0
duplex auto
speed auto
crypto map p1 //Apply the IPSec policy to the interface.
!
interface GigabitEthernet0/1
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2 //Configure a static route to ensure reachability at both ends.
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected.
!
end
Paso 3 Verificar la configuración.
# After the configuration is complete, run the ping command on PC A. PC B can be pinged.
# Run the display ike sa and display ipsec sa commands on RouterA, and run the show crypto isakmp sa and show crypto ipsec sa commands on RouterB. You can see that the IPSec tunnel is created successfully.
# Run the display ipsec statistics esp command on RouterA to check data packet statistics.
----End
Notas de configuración
En este ejemplo, los comandos en el router Cisco son los recomendados. La versión del producto es Cisco IOS Software, C3900e Software (C3900e-UNIVERSALK9-M), Versión 15.2 (4) M1, SOFTWARE DE LIBERACIÓN (fc1). Para obtener más información, visite http://www.cisco.com/cisco/web/support.
1.2 Ejemplo para establecer un túnel IPSec entre el AR y el Cisco Router en modo agresivo IKEv1
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-2, RouterA es la puerta de enlace de la rama empresarial, y RouterB es la puerta de enlace de la sede de la empresa (enrutador Cisco). La sucursal y la sede se comunican a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Se puede configurar un túnel IPSec entre la puerta de enlace de la sucursal y la puerta de enlace de la sede porque se comunican a través de Internet.
Figura 1-2 Red para establecer un túnel IPSec entre el AR y el enrutador de Cisco en modo agresivo IKEv1
1.3 Ejemplo para establecer un túnel IPSec a través de la negociación iniciada por Branch Gateway con una dirección IP dinámica para el enrutador Cisco de la oficina central (usando la entrada del mapa criptográfico dinámico)
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-3, RouterA es la puerta de enlace de la rama de la empresa, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede se comunican a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede central puede utilizar la entrada del mapa criptográfico dinámico para establecer un túnel IPSec con la puerta de enlace de la sucursal.
Figura 1-3 Red para establecer un túnel IPSec a través de la negociación iniciada por la pasarela de la sucursal con una dirección IP dinámica al enrutador Cisco de la sede.
1.4 Ejemplo para establecer un túnel IPSec a través de la renegociación iniciada por Branch Gateway con una dirección IP dinámica para el enrutador Cisco de la sede (usando el nombre del host)
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-4, RouterA es la puerta de enlace de la rama de la empresa, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede se comunican a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede puede usar el nombre de host para establecer un túnel IPSec con la puerta de enlace de la sucursal.
Figura 1-4 Conexión en red para establecer un túnel IPSec a través de la negociación iniciada por la puerta de enlace de la sucursal con una dirección IP dinámica al enrutador Cisco de la sede.
1.5 Ejemplo para establecer un túnel IPSec a través de la negociación iniciada por la Branch Gateway (NAT habilitada en la interfaz de salida) al enrutador Cisco de la sede (usando el nombre del host).
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-5, RouterA es la puerta de enlace de la rama empresarial, NAT se implementa en la interfaz de salida de RouterA, y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede se comunican a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede puede usar el nombre de host para establecer un túnel IPSec con la puerta de enlace de la sucursal.
IPSec y NAT están configurados en la interfaz de salida de la pasarela de la sucursal, por lo que el tráfico a proteger se procesa en forma secuencial mediante NAT e IPSec. Puede agregar reglas de ACL utilizadas *****AT para denegar que el tráfico esté protegido por IPSec, de modo que el tráfico solo esté cifrado por IPSec.
Figura 1-5 Red para establecer un túnel IPSec a través de la negociación iniciada por la puerta de enlace de la sucursal con una dirección IP dinámica al enrutador Cisco de la sede.
1.6 Ejemplo para establecer un túnel IPSec a través de la negociación iniciada por la Branch Gateway con una dirección IP dinámica en modo agresi****l enrutador Cisco de la sede (usando el nombre del host)
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-6, RouterA es la puerta de enlace de la rama de la empresa, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede central se comunican a través del dispositivo NAT a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede puede usar el nombre de host para establecer un túnel IPSec con la puerta de enlace de la sucursal.
Figura 1-6 Conexión en red para establecer un túnel IPSec a través de la negociación iniciada por la puerta de enlace de la sucursal con una dirección IP dinámica al enrutador Cisco de la sede.
1.7 Ejemplo para establecer un túnel IPSec a través de la negociación iniciada por la Branch Gateway con una dirección IP dinámica en modo agresivo en el enrutador Cisco de la sede (usando la entrada del mapa criptográfico dinámico).
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-7, RouterA es la puerta de enlace de la rama de la empresa, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede central se comunican a través del dispositivo NAT a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede central puede utilizar la entrada del mapa criptográfico dinámico para establecer un túnel IPSec con la puerta de enlace de la sucursal. La puerta de enlace de la sede utiliza el modo de coincidencia aproximada para acceder a cualquier sucursal.
Figura 1-7 Conexión en red para establecer un túnel IPSec a través de la negociación iniciada por la pasarela de la sucursal con una dirección IP dinámica al enrutador Cisco de la sede.
1.8 Ejemplo para establecer un túnel IPSec a través de la negociación iniciada por la Branch Gateway con una dirección IP dinámica en modo principal al router de la sede central (usando la entrada del mapa criptográfico dinámico).
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-8, RouterA es la puerta de enlace de la rama empresarial, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede central se comunican a través del dispositivo NAT a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede central puede utilizar la entrada del mapa criptográfico dinámico para establecer un túnel IPSec con la puerta de enlace de la sucursal. El modo principal se utiliza para la negociación IKE y la protección de identidad. La puerta de enlace de la sede utiliza el modo de coincidencia aproximada para acceder a cualquier sucursal.
Figura 1-8 Conexión en red para establecer un túnel IPSec a través de una negociación iniciada por la pasarela de la sucursal con una dirección IP dinámica al enrutador Cisco de la sede.
1.9 Ejemplo para establecer un túnel IPSec a través de una negociación iniciada por la Branch Gateway con una dirección IP dinámica en modo principal al router de Cisco de la sede (usando el nombre del host).
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-9, RouterA es la puerta de enlace de la rama de la empresa, la interfaz de la red pública obtiene dinámicamente una dirección IP y RouterB es la puerta de enlace de la sede de la empresa (Cisco Router). La sucursal y la sede central se comunican a través del dispositivo NAT a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. Debido a que la puerta de enlace de la sucursal obtiene dinámicamente una dirección IP, la puerta de enlace de la sede puede usar el nombre de host para establecer un túnel IPSec con la puerta de enlace de la sucursal. El modo principal se utiliza para la negociación IKE y la protección de identidad. (Aunque el tipo de ID local en la negociación IKE en el AR está establecido en nombre, la clave aún se selecciona en función de la dirección IP en el modo principal).
Figura 1-9 Conexión en red para establecer un túnel IPSec a través de una negociación iniciada por la puerta de enlace de la sucursal con una dirección IP dinámica al enrutador Cisco de la sede.
1.10 Ejemplo para establecer un túnel IPSec entre el AR y el Cisco Router usando el nombre del host (NAT implementado en el dispositivo conectado al Cisco Router).
Presupuesto
Este ejemplo se aplica a todas las versiones y enrutadores.
Requisitos de red
Como se muestra en la Figura 1-10, RouterA es la puerta de enlace de la rama empresarial, y RouterB es la puerta de enlace de la sede de la empresa (router Cisco). La sede y la sucursal se comunican a través del dispositivo NAT a través de la red pública.
La empresa quiere proteger los flujos de datos entre la subred de sucursal y la subred de la sede. El enrutador de la sede se implementa en la red privada, y el dispositivo NAT conectado a la puerta de enlace de la sede proporciona la función del servidor NAT y protege la dirección de red privada del enrutador de la sede. Se puede establecer un túnel IPSec entre la puerta de enlace de sucursal y la puerta de enlace de la sede utilizando el nombre de host.
Figura 1-10 Conexión en red para establecer un túnel IPSec entre el AR y el enrutador de Cisco utilizando el nombre de host.
Procedimiento
Paso 1 Configurar Router A
MD5, SHA-1, DES, and 3DES have potential security risks. Exercise caution when you use them.
#
sysname RouterA //Configure the device name
#
ike local-name huawei
#
acl number 3000 //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected.
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1 //Configure an IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 1 //Configure an IKE proposal.
encryption-algorithm aes-cbc-128
dh group2
authentication-algorithm sha2-256
prf hmac-sha2-256
#
ike peer peer1 v1 //Configure an IKE peer.
exchange-mode aggressive //Configure the aggressive mode.
pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%# //Configure the pre-shared key as huawei@1234.
ike-proposal 1
local-id-type name //Set the local ID type in IKE negotiation to name.
remote-name RouterB
nat traversal //Enable NAT traversal.
remote-address 60.1.2.1 //Use the translated IP address as the IP address of the IKE peer.
#
ipsec policy policy1 10 isakmp //Configure an IPSec policy.
security acl 3000
ike-peer peer1
proposal prop1
#
interface GigabitEthernet0/0/1
ip address 60.1.1.1 255.255.255.0
ipsec policy policy1 //Apply the IPSec policy to the interface.
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 //Configure a static route to ensure reachability at both ends.
#
return
Paso 2 Configurar NAT
#
sysname NATer //Configure the device name.
#
interface GigabitEthernet0/0/1
ip address 60.1.2.1 255.255.255.0
nat server protocol udp global current-interface 500 inside 192.168.1.2 500 //Specify the port number before IPSec over NAT traversal.
nat server protocol udp global current-interface 4500 inside 192.168.1.2 4500 //Specify the port number after IPSec over NAT traversal.
nat server protocol icmp global current-interface inside 192.168.1.2 //Configure the device to allow ICMP packets.
#
interface GigabitEthernet0/0/2
ip address 192.168.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.2.2 //Configure a static route to ensure reachability at both ends.
#
return
Paso 3 Configurar Router B
!
hostname RouterB //Configure the device name.
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key huawei@1234 hostname huawei //Configure the pre-shared key as huawei@1234.
!
crypto isakmp identity hostname //Set the local ID type in IKE negotiation to hostname.
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 //Configure a security algorithm used by IPSec.
!
crypto map p1 1 ipsec-isakmp //Configure an IPSec policy.
set peer 60.1.1.1
set transform-set p1
match address 102
!
!
interface GigabitEthernet0/0
ip address 192.168.1.2 255.255.255.0
duplex auto
speed auto
crypto map p1 //Apply the IPSec policy to the interface.
!
interface GigabitEthernet0/1
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1 //Configure a static route to ensure reachability at both ends.
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected.
!
end
Paso 4 Verificar la configuracion
# Después de que se complete la configuración, ejecute el comando ping en la PC A. La PC B puede ser ping.
# Ejecute los comandos display ike sa y display ipsec sa en RouterA, y ejecute los comandos show crypto isakmp sa y show crypto ipsec sa en RouterB. Puede ver que el túnel IPSec se ha creado correctamente.
# Ejecute el comando display ipsec statistics esp en RouterA para verificar las estadísticas del paquete de datos.
----Fin
Notas de configuración. En este ejemplo, los comandos en el router Cisco son los recomendados. La versión del producto es Cisco IOS Software, C3900e Software (C3900e-UNIVERSALK9-M), Versión 15.2 (4) M1, SOFTWARE DE LIBERACIÓN (fc1). Para obtener más información, visite http://www.cisco.com/cisco/web/support.