Пример настройки туннеля IPSec, устанавливаемого через NAT

86 0 0 0

Когда шлюз NAT развертывается между двумя устройствами туннеля IPSec, оба устройства должны поддерживать обход NAT (NAT traversal или NAT-T).

Как показано на рисунке ниже, RouterA является выходным шлюзом сети филиала и RouterB является выходным шлюзом сети штаб-квартиры. RouterA и RouterB транслируют адреса через NATER, и они создают туннель IPSec в агрессивном режиме.

Туннель IPSec поддерживает NAT-T


ipsec-nat


Настройка RouterA.

#
sysname RouterA //Настройте имя хоста устройства.
#
ike local-name RouterA //Настройте имя локального узла, используемое при согласовании IKE.
#
ipsec proposal rta //Настройте предложение IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //Настройте предложение IKE.
encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях
параметр aes-cbc-128 изменен на aes-128.
dh group14
authentication-algorithm sha2-256
#
ike peer rta v1 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
exchange-mode aggressive //Установите режим согласования IKE на агрессивный.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //Настройте предварительно общий ключ, этот cliref является «pre-shared-key huawei» перед версией V2R3C00.
ike-proposal 5
local-id-type name //Настройте локальный идентификатор для согласования IKE. В версиях V200R008 и более поздних версиях name изменен на fqdn.
remote-name RouterB //Настройте имя одноранговой сети IKE. //Настройте имя одноранговой сети IKE. В версиях V200R008 и более поздних версиях устройство не поддерживает remote-name. Эта команда обеспечивает те же функции, что и команда remote-id.
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
#
ipsec policy-template rta_temp 1 //Создание шаблона политики IPSec.
ike-peer rta
proposal rta
#
ipsec policy rta 1 isakmp template rta_temp //Укажите шаблон политики IPSec, используемый для создания SA.
#
interface Ethernet1/0/0
ip address 1.2.0.1 255.255.255.0
ipsec policy rta
#
interface Ethernet2/0/0
ip address 10.1.0.1 255.255.255.0
#
ip route-static 10.2.0.0 255.255.255.0 1.2.0.2 //Настройка статического маршрута
до 10.2.0.0.
#
return

 

Настройка RouterB.

#
sysname RouterB //Настройте имя хоста устройства.
#
ike local-name RouterB //Настройка имени локального хоста, используемого при согласовании IKE.
#
acl number 3000 //Настройка ACL.
rule 0 permit ip source 10.2.0.0 0.255.255.255 destination 10.1.0.0
0.255.255.255
#
ipsec proposal rtb //Настройте предложение IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //Настройте предложение IKE.
encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях параметр aes-cbc-128 изменен на aes-128.
dh group14
authentication-algorithm sha2-256
#
ike peer rtb v1 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
exchange-mode aggressive //Установите режим согласования IKE на агрессивный.
pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# //Настройте пароль аутентификации в предварительно разделяемом ключе huawei в шифрованном тексте. Эта команда в V2R3C00 и более ранних версиях является preshared-key huawei, а пароль отображается в виде обычного текста.
ike-proposal 5
local-id-type name //Настройте локальный идентификатор для согласования IKE. В
версиях V200R008 и более поздних версиях name изменен на fqdn.
remote-name RouterA //Настройте имя одноранговой сети IKE. В версиях V200R008 и более поздних версиях устройство не поддерживает remote-name. Эта команда обеспечивает те же функции, что и команда remote-id.
remote-address 1.2.0.1 //Настройка адреса одноранговой сети IKE.
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
#
ipsec policy rtb 1 isakmp //Настройка политики IPSec.
security acl 3000
ike-peer rtb
proposal rtb
#
interface Ethernet1/0/0
ip address 192.168.0.2 255.255.255.0
ipsec policy rtb
#
interface Ethernet2/0/0
ip address 10.2.0.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 //Настройка статического маршрута.
#
Return

 

Настройка NATER.

sysname NATER //Настройте имя хоста устройства
#
acl number 3000 //Настройка ACL.
rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 1.2.0.0 0.0.0.255
#
interface Ethernet1/0/0
ip address 1.2.0.2 255.255.255.0
nat outbound 3000 //Настройка исходящего NAT.
#
interface Ethernet2/0/0
ip address 192.168.0.1 255.255.255.0
#
return

 

Проверка конфигурации.

Запустите команду ping, чтобы запустить настройку сеанса IPSec. Запустите команды display ike sa verbose и display ipsec sa на RouterA, чтобы просмотреть конфигурацию туннеля IPSec.

 

Замечания.

·       Убедитесь, что RouterA и RouterB могут взаимодействовать через NATER.

·       RouterA функционирует как ответчик IPSec и должен быть настроен шаблон IPSec.

·       RouterA и RouterB должны поддерживать обход NAT.

·       Когда включен обход NAT, режим инкапсуляции данных должен быть установлен в режим туннеля.



  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход