Пример настройки IPSec туннеля ручным способом

64 0 0 1

Как показано на рисунке ниже, RouterA (шлюз филиала) и RouterB (шлюз штаб-квартиры) связываются через Интернет. Подсеть филиала - 10.1.1.0/24 и подсеть штаб-квартиры - 10.1.2.0/24.

Предприятие хочет защитить потоки данных между подсетью филиала и подсетью штаб-квартиры. Туннель IPSec может быть настроен ручным способом между шлюзом филиала и шлюзом штаб-квартиры, поскольку они взаимодействуют через Интернет, и необходимо обслуживать только несколько шлюзов филиалов.

1-1

Настройка Router A

#
sysname RouterA
#
acl number 3101 //Настройте ACL 3101 для сопоставления трафика, отправленного из подсети филиала в подсеть штаб-квартиры.
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal tran1 //Настройте предложение IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ipsec policy map1 10 manual //Вручную создайте политику IPSec.
security acl 3101
proposal tran1
tunnel local 202.138.163.1
tunnel remote 202.138.162.1
sa spi inbound esp 54321
sa string-key inbound esp cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //Настройте ключ аутентификации для входящего SA на huawei.
sa spi outbound esp 12345
sa string-key outbound esp cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# //Настройте ключ аутентификации исходящего SA на huawei.
#
interface GigabitEthernet1/0/0
ip address 202.138.163.1 255.255.255.0
ipsec policy map1
#
interface GigabitEthernet2/0/0
ip address 10.1.1.1 255.255.255.0
#
ip route-static 202.138.162.0 255.255.255.0 202.138.163.2 //Настройте статический маршрут с целевым адресом в качестве интерфейса WAN в штаб-квартире.
ip route-static 10.1.2.0 255.255.255.0 202.138.163.2 //Настройте статический маршрут с целевым адресом в качестве интерфейса локальной сети штаб-квартиры.
#
return

Настройка Router B

#
sysname RouterB
#
acl number 3101 //Настройте ACL 3101 для сопоставления трафика, отправленного из подсети Штаб-квартиры, в подсеть филиала.
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal tran1 //Настройте предложение IPSec.
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ipsec policy use1 10 manual //Вручную создайте политику IPSec.
security acl 3101
proposal tran1
tunnel local 202.138.162.1
tunnel remote 202.138.163.1
sa spi inbound esp 12345
sa string-key inbound esp cipher %^%#IRFGEiFPJ1$&a'Qy,L*XQL_+*Grq-=yMb}ULZdS6%^%# //Настройте ключ аутентификации для входящего SA на huawei.
sa spi outbound esp 54321
sa string-key outbound esp cipher %^%#(3fr1!&6O=)!GN#~{)n,2fq>4#4+%;lMTs5(]:c)%^%# //Настройте ключ аутентификации исходящего SA на huawei.
#
interface GigabitEthernet1/0/0
ip address 202.138.162.1 255.255.255.0
ipsec policy use1
#
interface GigabitEthernet2/0/0
ip address 10.1.2.1 255.255.255.0
#
ip route-static 202.138.163.0 255.255.255.0 202.138.162.2 //Настройте статический маршрут с целевым адресом в качестве интерфейса WAN-интерфейса
филиала.
ip route-static 10.1.1.0 255.255.255.0 202.138.162.2 //Настройте статический маршрут с целевым адресом в качестве интерфейса локальной сети филиала.
#
return

 

Проверьте конфигурацию.

Запустите команду display ipsec sa на RouterA, чтобы просмотреть конфигурацию туннеля IPSec.


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход