Establecimiento de un túnel IPsec mediante negociación iniciada por ar con una dirección IP dinámica en modo agresi****l C3900e (utilizando el nom

Publicado 2019-1-25 14:41:52 64 0 0 0

Especificaciones

Este ejemplo se aplica a todas las versiones y routers.

Este ejemplo se aplica a los routers de todas las versiones.

Requerimientos de networking

Como se muestra en la Figura 1-6, el RouterA es el gateway de la rama empresarial, la interfaz de red pública obtiene una dirección IP, y RouterB es el gateway de la sede de la empresa (router Cisco). La rama y la sede se comunican a través del dispositivo NAT sobre la red pública.

La empresa quiere proteger los flujos de datos entre la subred de sucursales y la subred de la sede. Debido a que el gateway de sucursales obtiene dinámicamente una dirección IP, el gateway de la sede puede utilizar el nombre del host para establecer un túnel IPSec con el gateway de sucursales.

Figura 1-1Redes para establecer un túnel IPSec mediante negociación iniciada por el gateway de sucursales con una dirección IP dinámica al router Cisco de la sede

                                              044059qpv61ae0wx100ery.png?image.png

 

Procedimiento

"Step 1Configure RouterA".

044147mfggt68rrg3fqrrr.png?image.png

Los MD5, los SHA-1 y los DES y los 3DES tienen riesgos de seguridad de potencial. Tenga precaución cuando los utilice.

Los comandos utilizados para configurar los pares IKE y el protocolo IKE difieren dependiendo de la versión del software.

l  En versiones anteriores de V200R008:

Ike peerpeer-name [v1 | v2

l  En V200R008 y versiones posteriores:

Para configurar los pares IKE: Ike peerpeer-name

Para configurar el protocolo IKE: Versión {1 | 2}

Por defecto, el IKEv1 y el IKEv2 están habilitados simultáneamente. Un iniciador utiliza IKEv2 para iniciar una solicitud de negociación, mientras que un respondedor utiliza IKEv1 IKEv2 para responder. Para iniciar una solicitud de negociación utilizando IKEv1 ejecute theundo version 2command.

# sysname RouterA / / Configure el nombre del dispositivo. Regla 5 / / Configure 1 / / Configurar el tipo de identificación de IKE / / / Configure 1 / / Configure el tipo de identificación local para la negociación IKE / / Configurar el identificador local para la negociación de la subred de la negociación IKE. (3) algorithm untamiento?. Untamiento? Toría toría group14authentication complace.?. Subprograma 2. Ide OSSI toría toría toría toría toría activitoría En las versiones V200R008 y posteriores, el parámetro thenameparameter se cambia tofqdn.remote-name RouterB / / Configure the IKE peer name. En V200R008 y versiones posteriores, el dispositivo no soporta theremote-namecommand. Este comando proporciona la misma función que theremote-idcommand.nat traversal / / Enable NAT traversal En V200R008 y versiones posteriores, el dispositivo soporta NAT traversal por defecto, y este comando no se apoya. Dirección remota 60.1.2.1 # ipsec policy policy1 10 isakmp / / Configurar una política IPSec. Seguridad acl 3000ike-peer peer1proposal Prop1 # interface GigabitEthernet0/0 / 1ipsec policy policy 1 / / Aplicar la directiva IPSec a la interface.ip address dhcp-alloc # interface GigabitEthernet0/0 / 2ip address 10.1.1.1 255.255.255.0

#*@$0Configure Nater.

# sysname Nater / / Configure the device name. Step 2 # dhcp enable # acl number 3000 Apply NAT to all traffic.rule 5 permit ip # interface GigabitEthernet0/0 / 1ip address 60.1.1.1 255.255.255.0nat outbound 3000 # 3000 / / GigabitEthernet0/0 / 2ip address interface select interface # ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 # return

"ends".

! Nombre del host Step 3Configure RouterB Configure el nombre del dispositivo. ¡No! Crypto isakmp policy 1encryption aes 128hash RouterB / / pre-sharegroup 14crypto isakmp key huawei sha256authentication hostname huawei / / @ 1234 the pre-shared key as huawei @ 1234. ¡No! Crypto isakmp identidad hostname / / Set the local ID type in IKE negociación tohostname. ¡No! Configure un algoritmo de seguridad utilizado por IPSec. ¡No! ¡No! Dinámica de cifrado crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 / / Configure Crear un mapa de cifrado dinámico entry.set transformar-set p1match address 102 -map p1 1 / / ¡No!! dinámica p1 / / Configure una directiva IPSec. ¡No! ¡No! Interfaz GigabitEthernet0/0ip address crypto map p1 1 ipsec-isakmp Aplicar la directiva IPSec a la interfaz. ¡No! Interfaz GigabitEthernet0/1ip address 60.1.2.1 255.255.255.0duplex autospeed autocrypto map p1 / / 255.255.255.0duplex AutoSpeed auto! ¡No! 10.1.2.1 una ruta estática para garantizar la accesibilidad en ambos extremos. ¡No! Access-list 102 permit ip ip route 0.0.0.0 0.0.0.0 60.1.2.2 / / Configure/Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected. ¡No! Fin

#*@$0Verify the configuration.

# After the configuration is complete, run thepingcommand on Step 4 can be pinged.

# Ejecutar el display ike saanddisplay ipsec sacommands en PC A. PC B y ejecutar el cripto RouterA en RouterB. Se puede ver que el túnel IPSec se ha creado correctamente.

# Ejecute el comando display ipsec estadísticscomando en isakmp saandshow crypto ipsec sacommands para verificar las estadísticas de paquetes de datos.

----End

Notas de configuración

lEn este ejemplo, los comandos del router Cisco son recomendados. La versión del producto es el software RouterA, el software C3900e (C3900e-UNIVERSALK9 Cisco IOS m), la versión 15.2 (4) M1, el software -(FC1). Para más detalles, visite http://RELEASE /.

lCuando el router Cisco inicia la negociación IPSec en modo agresivo, debe configurar la ID local y la clave precompartida en modo agresivo. A continuación se muestra una configuración de muestra.

Cripto isakmp peer / / www.cisco.com/cisco/web/support Configure the remote IP address for IKE negotiation.set agresive-mode client-endpoint FQDN huawei / / Configure the local ID for IKE negotiation.set agresive-mode password huawei @ 1234 / / Configure the pre ip-address 60.1.1.1 / / shared key.

lCuando se configura GRE sobre IPSec para la interconexión entre un router de Huawei y un router Cisco, se recomienda configurar el modo de encapsulación IPSec para el transporte, a fin de reducir el costo de encapsulación.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba