Пример настройки туннеля IPSec, устанавливаемого через NAT

Когда шлюз NAT развертывается между двумя устройствами туннеля IPSec, оба устройства должны поддерживать обход NAT (NAT traversal или NAT-T) (рисунок 1).

Как показано на рисунке ниже, RouterA является выходным шлюзом сети филиала и RouterB является выходным шлюзом сети штаб-квартиры. RouterA и RouterB транслируют адреса через NATER, и они создают туннель IPSec в агрессивном режиме.

Рисунок 1. Туннель IPSec поддерживает NAT-T

Настройка RouterA.

#
sysname RouterA //Настройте имя хоста устройства.
#
ike local-name RouterA //Настройте имя локального узла, используемое при согласовании IKE.
#
ipsec proposal rta //Настройте предложение IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //Настройте предложение IKE.
encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях
параметр aes-cbc-128 изменен на aes-128.
dh group14
authentication-algorithm sha2-256
#
ike peer rta v1 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
exchange-mode aggressive //Установите режим согласования IKE на агрессивный.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //Настройте предварительно общий ключ, этот cliref является «pre-shared-key huawei» перед версией V2R3C00.
ike-proposal 5
local-id-type name //Настройте локальный идентификатор для согласования IKE. В версиях V200R008 и более поздних версиях name изменен на fqdn.
remote-name RouterB //Настройте имя одноранговой сети IKE. //Настройте имя одноранговой сети IKE. В версиях V200R008 и более поздних версиях устройство не поддерживает remote-name. Эта команда обеспечивает те же функции, что и команда remote-id.
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
#
ipsec policy-template rta_temp 1 //Создание шаблона политики IPSec.
ike-peer rta
proposal rta
#
ipsec policy rta 1 isakmp template rta_temp //Укажите шаблон политики IPSec, используемый для создания SA.
#
interface Ethernet1/0/0
ip address 1.2.0.1 255.255.255.0
ipsec policy rta
#
interface Ethernet2/0/0
ip address 10.1.0.1 255.255.255.0
#
ip route-static 10.2.0.0 255.255.255.0 1.2.0.2 //Настройка статического маршрута
до 10.2.0.0.
#
return

Настройка RouterB.

#
sysname RouterB //Настройте имя хоста устройства.
#
ike local-name RouterB //Настройка имени локального хоста, используемого при согласовании IKE.
#
acl number 3000 //Настройка ACL.
rule 0 permit ip source 10.2.0.0 0.255.255.255 destination 10.1.0.0
0.255.255.255
#
ipsec proposal rtb //Настройте предложение IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //Настройте предложение IKE.
encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях параметр aes-cbc-128 изменен на aes-128.
dh group14
authentication-algorithm sha2-256
#
ike peer rtb v1 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2.
exchange-mode aggressive //Установите режим согласования IKE на агрессивный.
pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# //Настройте пароль аутентификации в предварительно разделяемом ключе huawei в шифрованном тексте. Эта команда в V2R3C00 и более ранних версиях является preshared-key huawei, а пароль отображается в виде обычного текста.
ike-proposal 5
local-id-type name //Настройте локальный идентификатор для согласования IKE. В
версиях V200R008 и более поздних версиях name изменен на fqdn.
remote-name RouterA //Настройте имя одноранговой сети IKE. В версиях V200R008 и более поздних версиях устройство не поддерживает remote-name. Эта команда обеспечивает те же функции, что и команда remote-id.
remote-address 1.2.0.1 //Настройка адреса одноранговой сети IKE.
nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается.
#
ipsec policy rtb 1 isakmp //Настройка политики IPSec.
security acl 3000
ike-peer rtb
proposal rtb
#
interface Ethernet1/0/0
ip address 192.168.0.2 255.255.255.0
ipsec policy rtb
#
interface Ethernet2/0/0
ip address 10.2.0.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 //Настройка статического маршрута.
#
Return

Настройка NATER.

sysname NATER //Настройте имя хоста устройства
#
acl number 3000 //Настройка ACL.
rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 1.2.0.0 0.0.0.255
#
interface Ethernet1/0/0
ip address 1.2.0.2 255.255.255.0
nat outbound 3000 //Настройка исходящего NAT.
#
interface Ethernet2/0/0
ip address 192.168.0.1 255.255.255.0
#
return

Проверка конфигурации.

Запустите команду ping, чтобы запустить настройку сеанса IPSec. Запустите команды display ike sa verbose и display ipsec sa на RouterA, чтобы просмотреть конфигурацию туннеля IPSec.

Замечания.

·       Убедитесь, что RouterA и RouterB могут взаимодействовать через NATER.

·       RouterA функционирует как ответчик IPSec и должен быть настроен шаблон IPSec.

·       RouterA и RouterB должны поддерживать обход NAT.

·       Когда включен обход NAT, режим инкапсуляции данных должен быть установлен в режим туннеля.