Пример настройки туннеля IPSec, устанавливаемого через NAT
Когда шлюз NAT развертывается между двумя устройствами туннеля IPSec, оба устройства должны поддерживать обход NAT (NAT traversal или NAT-T) (рисунок 1).
Как показано на рисунке ниже, RouterA является выходным шлюзом сети филиала и RouterB является выходным шлюзом сети штаб-квартиры. RouterA и RouterB транслируют адреса через NATER, и они создают туннель IPSec в агрессивном режиме.
Рисунок 1. Туннель IPSec поддерживает NAT-T
Настройка RouterA.
# sysname RouterA //Настройте имя хоста устройства. # ike local-name RouterA //Настройте имя локального узла, используемое при согласовании IKE. # ipsec proposal rta //Настройте предложение IPSec. esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 5 //Настройте предложение IKE. encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях параметр aes-cbc-128 изменен на aes-128. dh group14 authentication-algorithm sha2-256 # ike peer rta v1 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2. exchange-mode aggressive //Установите режим согласования IKE на агрессивный. pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //Настройте предварительно общий ключ, этот cliref является «pre-shared-key huawei» перед версией V2R3C00. ike-proposal 5 local-id-type name //Настройте локальный идентификатор для согласования IKE. В версиях V200R008 и более поздних версиях name изменен на fqdn. remote-name RouterB //Настройте имя одноранговой сети IKE. //Настройте имя одноранговой сети IKE. В версиях V200R008 и более поздних версиях устройство не поддерживает remote-name. Эта команда обеспечивает те же функции, что и команда remote-id. nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается. # ipsec policy-template rta_temp 1 //Создание шаблона политики IPSec. ike-peer rta proposal rta # ipsec policy rta 1 isakmp template rta_temp //Укажите шаблон политики IPSec, используемый для создания SA. # interface Ethernet1/0/0 ip address 1.2.0.1 255.255.255.0 ipsec policy rta # interface Ethernet2/0/0 ip address 10.1.0.1 255.255.255.0 # ip route-static 10.2.0.0 255.255.255.0 1.2.0.2 //Настройка статического маршрута до 10.2.0.0. # return
Настройка RouterB.
# sysname RouterB //Настройте имя хоста устройства. # ike local-name RouterB //Настройка имени локального хоста, используемого при согласовании IKE. # acl number 3000 //Настройка ACL. rule 0 permit ip source 10.2.0.0 0.255.255.255 destination 10.1.0.0 0.255.255.255 # ipsec proposal rtb //Настройте предложение IPSec. esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 5 //Настройте предложение IKE. encryption-algorithm aes-cbc-128 //В версиях V200R008 и более поздних версиях параметр aes-cbc-128 изменен на aes-128. dh group14 authentication-algorithm sha2-256 # ike peer rtb v1 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE, различаются в зависимости от версии программного обеспечения. В более ранних версиях V200R008, команда является ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команды является ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, запустите команду undo version 2. exchange-mode aggressive //Установите режим согласования IKE на агрессивный. pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# //Настройте пароль аутентификации в предварительно разделяемом ключе huawei в шифрованном тексте. Эта команда в V2R3C00 и более ранних версиях является preshared-key huawei, а пароль отображается в виде обычного текста. ike-proposal 5 local-id-type name //Настройте локальный идентификатор для согласования IKE. В версиях V200R008 и более поздних версиях name изменен на fqdn. remote-name RouterA //Настройте имя одноранговой сети IKE. В версиях V200R008 и более поздних версиях устройство не поддерживает remote-name. Эта команда обеспечивает те же функции, что и команда remote-id. remote-address 1.2.0.1 //Настройка адреса одноранговой сети IKE. nat traversal //Включите обход NAT. В версиях V200R008 и более поздних версиях устройство поддерживает обход NAT по умолчанию, и эта команда не поддерживается. # ipsec policy rtb 1 isakmp //Настройка политики IPSec. security acl 3000 ike-peer rtb proposal rtb # interface Ethernet1/0/0 ip address 192.168.0.2 255.255.255.0 ipsec policy rtb # interface Ethernet2/0/0 ip address 10.2.0.1 255.255.255.0 # ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 //Настройка статического маршрута. # Return
Настройка NATER.
sysname NATER //Настройте имя хоста устройства # acl number 3000 //Настройка ACL. rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 1.2.0.0 0.0.0.255 # interface Ethernet1/0/0 ip address 1.2.0.2 255.255.255.0 nat outbound 3000 //Настройка исходящего NAT. # interface Ethernet2/0/0 ip address 192.168.0.1 255.255.255.0 # return
Проверка конфигурации.
Запустите команду ping, чтобы запустить настройку сеанса IPSec. Запустите команды display ike sa verbose и display ipsec sa на RouterA, чтобы просмотреть конфигурацию туннеля IPSec.
Замечания.
· Убедитесь, что RouterA и RouterB могут взаимодействовать через NATER.
· RouterA функционирует как ответчик IPSec и должен быть настроен шаблон IPSec.
· RouterA и RouterB должны поддерживать обход NAT.
· Когда включен обход NAT, режим инкапсуляции данных должен быть установлен в режим туннеля.