Caractéristiques
Cet exemple s'applique à toutes les versions et à tous les routeurs.
Cet exemple s'applique aux routeurs de toutes les versions.
Exigences de mise en réseau
Comme le montre la figure 1-1 , RouterA est la passerelle de branche d'entreprise et RouterB est la passerelle du siège de l'entreprise (routeur Cisco). La succursale et le siège communiquent via le réseau public.
L’entreprise souhaite protéger les flux de données entre le sous-réseau de la succursale et le sous-réseau du siège. Un tunnel IPSec peut être configuré entre la passerelle de succursale et la passerelle du siège, car ils communiquent via Internet.
Figure 1-1 Mise en réseau pour l'établissement d'un tunnel IPSec entre le routeur AR et le routeur Cisco en mode principal IKEv1
Procédure
Étape 1 Configurez RouterA.
MD5, SHA-1, DES et 3DES présentent des risques de sécurité potentiels. Faites preuve de prudence lorsque vous les utilisez.
Les commandes utilisées pour configurer les homologues IKE et le protocole IKE diffèrent en fonction de la version du logiciel.
l Dans les versions antérieures de V200R008:
ike peer peer-name [ v1 | v2 ]
l Dans les versions V200R008 et suivantes:
l Pour configurer les homologues IKE: ike peer peer-name
l Pour configurer le protocole IKE: version { 1 | 2 }
Par défaut, IKEv1 et IKEv2 sont activés simultanément. Un initiateur utilise IKEv2 pour lancer une demande de négociation, tandis qu'un répondeur utilise IKEv1 ou IKEv2 pour répondre. Pour lancer une demande de négociation à l'aide d'IKEv1, exécutez la commande undo version 2 .
#
sysname RouterA //Configure the device name.
#
ipsec authentication sha2 compatible enable
#
acl number 3000 //Specify data flows (traffic from the branch subnet to the headquarters subnet) to be protected.
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop1 //Configure an IPSec proposal.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 1 //Configure an IKE proposal.
encryption-algorithm aes-cbc-128 //In V200R008 and later versions, the aes-cbc-128 parameter is changed to aes-128.
dh group14
authentication-algorithm sha2-256
#
ike peer peer1 v1 //Configure an IKE peer.
pre-shared-key cipher %@%@W'KwGZ8`tQ8s^C8q(qC"0(;@%@%@%#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%# //Configure the pre-shared key as huawei@1234.
ike-proposal 1
remote-address 60.1.2.1 //Use the IP address to identify the IKE peer.
#
ipsec policy policy1 10 isakmp //Configure an IPSec policy.
security acl 3000
ike-peer peer1
proposal prop1
#
interface GigabitEthernet0/0/1
ip address 60.1.1.1 255.255.255.0
ipsec policy policy1 //Apply the IPSec policy to the interface.
#
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 //Configure a static route to ensure reachability at both ends.
#
return
Étape 2 Configurez RouterB.
!
hostname RouterB //Configure the device name.
!
crypto isakmp policy 1
encryption aes 128
hash sha256
authentication pre-share
group 14
crypto isakmp key huawei@1234 address 0.0.0.0 0.0.0.0 //Configure the pre-shared key as huawei@1234.
!
crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 //Configure a security algorithm used by IPSec.
!
crypto map p1 1 ipsec-isakmp //Configure an IPSec policy.
set peer 60.1.1.1 //Use the IP address to identify the IKE peer.
set transform-set p1
match address 102
!
!
interface GigabitEthernet0/0
ip address 60.1.2.1 255.255.255.0
duplex auto
speed auto
crypto map p1 //Apply the IPSec policy to the interface.
!
interface GigabitEthernet0/1
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 60.1.2.2 //Configure a static route to ensure reachability at both ends.
!
access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //Specify data flows (traffic from the headquarters subnet to the branch subnet) to be protected.
!
end
Étape 3 Vérifiez la configuration.
# Une fois la configuration terminée, exécutez la commande ping sur le PC A. Vous pouvez effectuer un ping sur le PC B.
# Exécutez les commandes display ike sa et ipsec sa sur RouterA, puis exécutez les commandes show crypto isakmp sa et show crypto ipsec sa sur RouterB. Vous pouvez voir que le tunnel IPSec est créé avec succès.
# Exécutez la commande display ipsec statistics sur RouterA pour vérifier les statistiques des paquets de données.
----End
Notes de configuration
Dans cet exemple, les commandes du routeur Cisco sont recommandées. La version du produit est le logiciel Cisco IOS, le logiciel C3900e (C3900e-UNIVERSALK9-M), version 15.2 (4) M1, LOGICIEL DE LIBÉRATION (fc1). Pour plus de détails, visitez le site http://www.cisco.com/cisco/web/support.
