Établissement d'un tunnel IPSec par négociation initiée par AR avec une adresse IP dynamique sur C3900e (à l'aide du nom d'hôte)

68 0 1 0

Caractéristiques

Cet exemple s'applique à toutes les versions et à tous les routeurs.

Cet exemple s'applique aux routeurs de toutes les versions.

Exigences de mise en réseau

Comme le montre la figure 1-4 , RouterA est la passerelle de branche d'entreprise, l'interface de réseau public obtient dynamiquement une adresse IP et RouterB est la passerelle du siège de l'entreprise (routeur Cisco). La succursale et le siège communiquent via le réseau public.

L’entreprise souhaite protéger les flux de données entre le sous-réseau de la succursale et le sous-réseau du siège. Étant donné que la passerelle de succursale obtient dynamiquement une adresse IP, la passerelle du siège peut utiliser le nom d'hôte pour établir un tunnel IPSec avec la passerelle de succursale.

Figure 1-1 Mise en réseau pour l'établissement d'un tunnel IPSec via une négociation initiée par la passerelle de succursale avec une adresse IP dynamique vers le routeur Cisco du siège

20170225093400432001.png

 

Procédure

                      Étape 1     Configurez RouterA.

Remarque

MD5, SHA-1, DES et 3DES présentent des risques de sécurité potentiels. Faites preuve de prudence lorsque vous les utilisez.

Les commandes utilisées pour configurer les homologues IKE et le protocole IKE diffèrent en fonction de la version du logiciel.

l   Dans les versions antérieures de V200R008:

nom de pair ike v1 | v2 ]

l   Dans les versions V200R008 et suivantes:

l   Pour configurer les homologues IKE: ike peer-name

l   Pour configurer le protocole IKE: version { 1 | 2 }

Par défaut, IKEv1 et IKEv2 sont activés simultanément. Un initiateur utilise IKEv2 pour lancer une demande de négociation, tandis qu'un répondeur utilise IKEv1 ou IKEv2 pour répondre. Pour lancer une demande de négociation à l'aide d'IKEv1, exécutez la commande undo version 2 .


 sysname RouterA  //Configure the device name. 

 ipsec authentication sha2 compatible enable 

 ike local-name huawei 

acl number 3000  //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected. 
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 

ipsec proposal prop1  //Configure an IPSec proposal. 
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128 

ike proposal 1  //Configure an IKE proposal. 
 encryption-algorithm aes-cbc-128   //In V200R008 and later versions, the aes-cbc-128 parameter is changed to aes-128
 dh group14 
 authentication-algorithm sha2-256 

ike peer peer1 v1  //Configure an IKE peer. 
 exchange-mode aggressive  //Configure the aggressive mode. 
 pre-shared-key cipher %@%@W'KwGZ8`tQ8s^C8q(qC"0(;@%@%@%#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%#  //Configure the pre-shared key as huawei@1234. 
 ike-proposal 1 
 local-id-type name   //Set the local ID type in IKE negotiation to name
 remote-name RouterB 
 remote-address 60.1.2.1   

ipsec policy policy1 10 isakmp  //Configure an IPSec policy. 
 security acl 3000  
 ike-peer peer1 
 proposal prop1 

interface GigabitEthernet0/0/1 
 ipsec policy policy1     //Apply the IPSec policy to the interface. 
 ip address dhcp-alloc    //Enable the DHCP client function to allow the branch gateway to dynamically obtain an IP address. In addition, you also need to configure the DHCP  
                            server function on the device directly connected or having a reachable route to RouterA. For detailed configurations, see the product documentation 
                            of the device used. 

interface GigabitEthernet0/0/2 
 ip address 10.1.1.1 255.255.255.0 

return

                      Étape 2     Configurez RouterB.


hostname RouterB  //Configure the device name. 

crypto isakmp policy 1 
 encryption aes 128 
 hash sha256 
 authentication pre-share 
 group 14 
crypto isakmp key huawei@1234 hostname huawei  //Configure the pre-shared key as huawei@1234. 

crypto isakmp identity hostname   //Set the local ID type in IKE negotiation to hostname

crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128  //Configure a security algorithm used by IPSec. 


crypto dynamic-map p1 1  //Create a dynamic crypto map entry. 
 set transform-set p1 
 match address 102 
!  

crypto map p1 1 ipsec-isakmp dynamic p1  //Configure an IPSec policy. 


interface GigabitEthernet0/0 
 ip address 60.1.2.1 255.255.255.0 
 duplex auto 
 speed auto 
 crypto map p1     //Apply the IPSec policy to the interface. 

interface GigabitEthernet0/1 
 ip address 10.1.2.1 255.255.255.0 
 duplex auto 
 speed auto 


ip route 0.0.0.0 0.0.0.0 60.1.2.2  //Configure a static route to ensure reachability at both ends. 

access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected. 

end

                      Étape 3     Vérifiez la configuration.

# Une fois la configuration terminée, exécutez la commande ping sur le PC A. Vous pouvez effectuer un ping sur le PC B.

# Exécutez les commandes display ike sa et ipsec sa sur RouterA, puis exécutez les commandes show crypto isakmp sa et show crypto ipsec sa sur RouterB. Vous pouvez voir que le tunnel IPSec est créé avec succès.

# Exécutez la commande display ipsec statistics sur RouterA pour vérifier les statistiques des paquets de données.

----End

Notes de configuration

Dans cet exemple, les commandes du routeur Cisco sont recommandées. La version du produit est le logiciel Cisco IOS, le logiciel C3900e (C3900e-UNIVERSALK9-M), version 15.2 (4) M1, LOGICIEL DE LIBÉRATION (fc1). Pour plus de détails, visitez le site http://www.cisco.com/cisco/web/support.

 

Ce message a été modifié pour la dernière fois par 关 系列 le 2017-02-28 03:17.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier