Ejemplo para establecer manualmente un túnel IPSec en Router AR Huawei Destacado

Última respuesta jun. 18, 2019 15:45:43 27 1 1 0

En diferentes publicaciones hemos hablado sobre los temas fundamentales de IPSec, pero ahora es importante conocer la configuración necesaria para lograr un túnel IPSec entre dos Routers AR de Huawei, este ejemplo lo podemos realizar en un laboratorio o en eNSP.

 

Requisitos de red

 

Como se muestra en la siguiente figura, RouterA (Matriz) y RouterB (Sucursal) se comunican a través de Internet. La subred de la sucursal es 10.1.1.0/24 y la subred de la Matriz es 10.1.2.0/24.

 

153858adx9ix6ia64zuxi9.png?image.png

Establecimiento manual de un túnel IPSec.

 

La empresa desea proteger los flujos de datos entre la subred de sucursal y la subred de la matriz. Un túnel IPSec se puede configurar manualmente entre la puerta de enlace de la sucursal y la puerta de enlace de la matriz porque se comunican a través de Internet y solo es necesario mantener una puerta de enlace de algunas sucursales.

 

Guía de configuración

 

1.         Configure las direcciones IP y las rutas estáticas para las interfaces en RouterA y RouterB, de modo que las rutas entre RouterA y RouterB sean accesibles.

2.         Configure las ACL para definir los flujos de datos a proteger.

3.         Configure las propuestas IPSec para definir el método utilizado para proteger el tráfico IPSec.

4.         Configure políticas IPSec y haga referencia a las ACL y las propuestas IPSec en las políticas IPSec para determinar los métodos utilizados para proteger los flujos de datos.

5.         Aplicar grupos de políticas IPSec a las interfaces.

 

Procedimiento

 

1.       Configure direcciones IP y rutas estáticas para interfaces en RouterA y RouterB.

# Asigne una dirección IP a una interfaz en RouterA.

<Huawei> system-view

[Huawei] sysname RouterA

[RouterA] interface gigabitethernet 1/0/0

[RouterA-GigabitEthernet1/0/0] ip address 1.1.1.1 255.255.255.0

[RouterA-GigabitEthernet1/0/0] quit

[RouterA] interface gigabitethernet 2/0/0

[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0

[RouterA-GigabitEthernet2/0/0] quit

 

# Configurar una ruta estática al peer en RouterA. Este ejemplo asume que la dirección del siguiente salto en la ruta a RouterB es 1.1.1.2.

[RouterA] ip route-static 2.1.1.0 255.255.255.0 1.1.1.2
[RouterA] ip route-static 10.1.2.0 255.255.255.0 1.1.1.2

 

# Asigne una dirección IP a una interfaz en RouterB.

<Huawei> system-view
[Huawei] sysname RouterB
[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 2.1.1.1 255.255.255.0
[RouterB-GigabitEthernet1/0/0] quit
[RouterB] interface gigabitethernet 2/0/0
[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0
[RouterB-GigabitEthernet2/0/0] quit

 

# Configure una ruta estática al peer en RouterB. Este ejemplo asume que la siguiente dirección de salto en la ruta a RouterA es 2.1.1.2.

[RouterB] ip route-static 1.1.1.0 255.255.255.0 2.1.1.2
[RouterB] ip route-static 10.1.1.0 255.255.255.0 2.1.1.2

 

2.       Configure las ACL en RouterA y RouterB para definir los flujos de datos a proteger.

# Configure una ACL en el RouterA para definir flujos de datos enviados desde 10.1.1.0/24 a 10.1.2.0/24.

[RouterA] acl number 3101
[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[RouterA-acl-adv-3101] quit

 

# Configure una ACL en el RouterB para definir flujos de datos enviados desde 10.1.2.0/24 a 10.1.1.0/24.

[RouterB] acl number 3101
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[RouterB-acl-adv-3101] quit

 

3.       Crear propuestas IPSec en RouterA y RouterB.

# Crea una propuesta IPSec en RouterA.

[RouterA] ipsec proposal tran1
[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[RouterA-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
[RouterA-ipsec-proposal-tran1] quit

 

# Crea una propuesta IPSec en RouterB.

[RouterB] ipsec proposal tran1
[RouterB-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[RouterB-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[RouterB-ipsec-proposal-tran1] quit

 

Ejecute el comando display ipsec proposal en RouterA y en RouterB para ver la configuración de IPSec Proposal.

 

4.       Cree políticas IPSec en RouterA y RouterB.

# Crear manualmente una política IPSec en RouterA.

[RouterA] ipsec policy map1 10 manual
[RouterA-ipsec-policy-manual-map1-10] security acl 3101
[RouterA-ipsec-policy-manual-map1-10] proposal tran1
[RouterA-ipsec-policy-manual-map1-10] tunnel remote 2.1.1.1
[RouterA-ipsec-policy-manual-map1-10] tunnel local 1.1.1.1
[RouterA-ipsec-policy-manual-map1-10] sa spi outbound esp 12345
[RouterA-ipsec-policy-manual-map1-10] sa spi inbound esp 54321
[RouterA-ipsec-policy-manual-map1-10] sa string-key outbound esp cipher huawei
[RouterA-ipsec-policy-manual-map1-10] sa string-key inbound esp cipher huawei
[RouterA-ipsec-policy-manual-map1-10] quit

 

# Crear manualmente una política IPSec en RouterB.

[RouterB] ipsec policy use1 10 manual
[RouterB-ipsec-policy-manual-use1-10] security acl 3101
[RouterB-ipsec-policy-manual-use1-10] proposal tran1
[RouterB-ipsec-policy-manual-use1-10] tunnel remote 1.1.1.1
[RouterB-ipsec-policy-manual-use1-10] tunnel local 2.1.1.1
[RouterB-ipsec-policy-manual-use1-10] sa spi outbound esp 54321
[RouterB-ipsec-policy-manual-use1-10] sa spi inbound esp 12345
[RouterB-ipsec-policy-manual-use1-10] sa string-key outbound esp cipher huawei
[RouterB-ipsec-policy-manual-use1-10] sa string-key inbound esp cipher huawei
[RouterB-ipsec-policy-manual-use1-10] quit

 

Ejecute el comando display ipsec policy tanto en RouterA como en Router B para ver la configuración de las políticas de IPSec.

 

5.       Aplique los grupos de políticas IPSec a las interfaces en RouterA y RouterB.

# Aplicar el grupo de políticas IPSec a la interfaz de RouterA

[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ipsec policy map1
[RouterA-GigabitEthernet1/0/0] quit

 

# Aplicar el grupo de políticas IPSec a la interfaz de RouterB

[RouterB] interface gigabitethernet 1/0/0
[RouterB-GigabitEthernet1/0/0] ipsec policy use1
[RouterB-GigabitEthernet1/0/0] quit

 

6.       Verificar la configuración.

# Una vez completadas las configuraciones, la PC A puede hacer ping a la PC B con éxito. Puede ejecutar el comando display ipsec statistics para ver las estadísticas de paquetes.

 

# Ejecute el comando display ipsec sa en RouterA y RouterB para ver la configuración de IPSec. El resultado en RouterA se utiliza como ejemplo.

[RouterA] display ipsec sa
ipsec sa information: 
===============================
Interface: GigabitEthernet1/0/0
===============================
 
  -----------------------------
  IPSec policy name: "map1"
  Sequence number: 10
  Acl group: 3101
  Acl rule: -
  Mode: Manual
  -----------------------------
    Encapsulation mode: Tunnel
    Tunnel local      : 1.1.1.1
    Tunnel remote     : 2.1.1.1
 
    [Outbound ESP SAs]
      SPI: 12345 (0x3039)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 
      No duration limit for this SA
 
    [Inbound ESP SAs]
      SPI: 54321 (0xd431)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 
      No duration limit for this SA
      Anti-replay : Disable

 

Con este ejemplo se da por entendido varios puntos que vimos en las publicaciones anteriores, si tienen alguna duda no olviden dejarla en el área de comentarios.

  • x
  • convención:

Hemingway Publicado 2019-6-18 15:45:43 Útil(0) Útil(0)
Definitivamente la mejor forma de aprender es con la práctica y que mejor que siguiendo el ejemplo descrito.

Gracias y saludos,
Ejemplo para establecer manualmente un túnel IPSec en Router AR Huawei-2971469-1
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba