Establecimiento de un túnel IPsec mediante negociación iniciada por ar con una dirección IP dinámica en modo principal a C3900e (utilizando Dynami

Pubilicado 2019-1-26 07:57:24 44 0 0 0

Especificaciones

 

Este ejemplo se aplica a todas las versiones y routers.

 

Este ejemplo se aplica a los routers de todas las versiones.

 

Requerimientos de networking

 

Como se muestra en la Figura 1-8, el RouterA es el gateway de sucursales empresariales, la interfaz de red pública obtiene una dirección IP, y RouterB es el gateway de la sede de la empresa (router Cisco). La rama y la sede se comunican a través del dispositivo NAT sobre la red pública.

 

La empresa quiere proteger los flujos de datos entre la subred de sucursales y la subred de la sede. Debido a que el gateway de sucursales obtiene dinámicamente una dirección IP, el gateway de la sede puede utilizar la entrada de mapa de cifrado dinámico para establecer un túnel IPSec con el gateway de sucursales. El modo principal se utiliza para la negociación de IKE y la protección de identidad. El gateway de la sede utiliza el modo de coincidencia borroso para acceder a cualquier rama.

 

Figura 1-1 Networking para establecer un túnel IPSec mediante negociación iniciada por el gateway de sucursales con una dirección IP dinámica al router Cisco.

20170227194225921001.png



Procedimiento

Paso 1 Configure Router A

 

MD5, SHA-1, DES, y 3DES tienen riesgos de seguridad de SHA-1. Tenga precaución cuando los utilice.

 

Los comandos utilizados para configurar los pares IKE y el protocolo IKE difieren dependiendo de la versión del software.

 

 

  • En versiones anteriores de V200R008:

ike peer peer-name [ v1 | v2 ]

  • En versiones posteriores de V200R008:

  • Para configurar IKE peers: ike peer peer-name

  • Para configurar el protocol IKE: version { 1 | 2 }

     

#
 sysname RouterA  //Configure the device name.
#
 ipsec authentication sha2 compatible enable
#
acl number 3000  //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected.
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1  //Configure an IPSec proposal.
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128
#
ike proposal 1  //Configure an IKE proposal.
 encryption-algorithm aes-cbc-128   //In V200R008 and later versions, the aes-cbc-128 parameter is changed to aes-128.
 dh group14
 authentication-algorithm sha2-256
#
ike peer peer1 v1  //Configure an IKE peer.
 pre-shared-key cipher %@%@W'KwGZ8`tQ8s^C8q(qC"0(;@%@%@%#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%#  //Configure the pre-shared key as huawei@1234.
 ike-proposal 1
 nat traversal  //Enable NAT traversal. In V200R008 and later versions, the device supports NAT traversal by default, and this command is not supported.
 
 remote-address 60.1.2.1  //Use the IP address to identify the IKE peer.
#
ipsec policy policy1 10 isakmp  //Configure an IPSec policy.
 security acl 3000 
 ike-peer peer1
 proposal prop1
#
interface GigabitEthernet0/0/1
 ipsec policy policy1     //Apply the IPSec policy to the interface.
 ip address dhcp-alloc
#
interface GigabitEthernet0/0/2
 ip address 10.1.1.1 255.255.255.0
#
return

 

Paso 2 Configure NATer

#
 sysname NATer  //Configure the device name.
#
dhcp enable
#
acl number 3000  //Apply NAT to all traffic.
 rule 5 permit ip
#
interface GigabitEthernet0/0/1
 ip address 60.1.1.1 255.255.255.0
 nat outbound 3000
#
interface GigabitEthernet0/0/2
 ip address 192.168.1.1 255.255.255.0
 dhcp select interface
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2  //Configure a static route to ensure reachability at both ends.
#
return

 

Paso 3 Configure Router B

!
hostname RouterB  //Configure the device name.
!
crypto isakmp policy 1
 encryption aes 128
 hash sha256
 authentication pre-share
 group 14
crypto isakmp key huawei@1234 address 0.0.0.0 0.0.0.0  //Configure the pre-shared key as huawei@1234, use the IP address to identify an IKE peer, and configure the device to allow access from any branch.
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128  //Configure a security algorithm used by IPSec.
!
!
crypto dynamic-map p1 1  //Create a dynamic crypto map entry.
 set transform-set p1
 match address 102

!
crypto map p1 1 ipsec-isakmp dynamic p1  //Configure an IPSec policy.
!
!
interface GigabitEthernet0/0
 ip address 60.1.2.1 255.255.255.0
 duplex auto
 speed auto
 crypto map p1     //Apply the IPSec policy to the interface.
!
interface GigabitEthernet0/1
 ip address 10.1.2.1 255.255.255.0
 duplex auto
 speed auto
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2  //Configure a static route to ensure reachability at both ends.
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected.
!
end

 

Paso 4 Verifique la configuracion

#Despues que la configuración este completada, ejecutar un ping desde la PC A hacia la PC B para verificar que estén pingeando

#Ejecutar el comando display ike y display ipsec ca en el Router A, y luego ejecutar el comando show crypto isakmp sa y  show crypto ipsec ca en el Router B. Se podrá apreciar que el túnel IPSEC fue creado exitosamente.

#Ejecutar el comando display ipsec statistics en el Router A para revisar las estadisticas de paquetes

 

Configuración de Notas

En este ejemplo, los comandos del router Cisco son recomendados. La versión del producto es el software Cisco IOS, el software C3900e (C3900e-UNIVERSALK9 -m), la versión 15.2 (4) M1, el software RELEASE (FC1). Para más detalles, visite http:/// / www.cisco.com/cisco/web/support


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba