Exemple d'établissement d'un tunnel IPSec entre l'AR et le routeur Cisco en mode agressif IKEv1

13 0 0 0


Caractéristiques

Cet exemple s'applique à toutes les versions et à tous les routeurs.

Cet exemple s'applique aux routeurs de toutes les versions.

Exigences de mise en réseau

Comme le montre la figure 1-1, RouterA est la passerelle de branche d'entreprise et RouterB est la passerelle du siège de l'entreprise (routeur Cisco). La succursale et le siège communiquent via le réseau public.

L'entreprise souhaite protéger les flux de données entre le sous-réseau de la succursale et le sous-réseau du siège. Un tunnel IPSec peut être configuré entre la passerelle de succursale et la passerelle du siège, car ils communiquent via Internet.

Figure 1-1 Mise en réseau pour l'établissement d'un tunnel IPSec entre le routeur AR et le routeur Cisco en mode agressif IKEv1

174406ufmkolbfe9tgkdqw.png

Procédure

   Étape 1 Configurez RouterA.

Remarque

MD5, SHA-1, DES et 3DES présentent des risques de sécurité potentiels. Faites preuve de prudence lorsque vous les utilisez.

Les commandes utilisées pour configurer les homologues IKE et le protocole IKE diffèrent en fonction de la version du logiciel.

  •  Dans les versions antérieures de V200R008:   ike peer peer-name [ v1 | v2 ]
  • Dans les versions V200R008 et suivantes:
  • Pour configurer les homologues IKE:  ike peer peer-name
  • Pour configurer le protocole IKE: version { 1 | 2 }


Par défaut, IKEv1 et IKEv2 sont activés simultanément. Un initiateur utilise IKEv2 pour lancer une demande de négociation, tandis qu'un répondeur utilise IKEv1 ou IKEv2 pour répondre. Pour lancer une demande de négociation à l'aide d'IKEv1, exécutez la commande undo version 2.

231236zzf5ehx93dndoccb.png

Étape 2 Configurez RouterB.

231409cavw6yl06b26bv4l.png

Étape 3 Vérifiez la configuration.

# Une fois la configuration terminée, exécutez la commande ping sur le PC A. Vous pouvez effectuer un ping sur le PC B.

# Exécutez les commandes display ike sa et display ipsec sa sur RouterA, puis exécutez les commandes show crypto isakmp sa et show crypto ipsec sa sur RouterB. Vous pouvez voir que le tunnel IPSec est créé avec succès.

# Exécutez la commande display ipsec statistics sur RouterA pour vérifier les statistiques des paquets de données.

----Fin

Notes de configuration

  •  Dans cet exemple, les commandes du routeur Cisco sont recommandées. La version du produit est le logiciel Cisco IOS, le logiciel C3900e (C3900e-UNIVERSALK9-M), version 15.2 (4) M1, LOGICIEL DE MISE A JOUR (fc1). Pour plus de détails, visitez le site http://www.cisco.com/cisco/web/support.
  • Lorsque le routeur Cisco initie la négociation IPSec en mode agressif, vous devez configurer l'ID local et la clé pré-partagée en mode agressif. Ce qui suit montre un exemple de configuration.
233919mu9vvyg81gqm9az8.png
  • Lorsque GRE over IPSec est configuré pour l'interconnexion entre un routeur Huawei et un routeur Cisco, il est conseillé de définir le mode d'encapsulation IPSec sur Transport pour réduire le coût de l'encapsulation.
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page