image

拓扑图

![https://upload-images.jianshu.io/upload_images/24252846-6a1c70b736514d82?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

image

规格

适用于所有版本、所有形态的路由器。

image

组网需求

如图1所示，RouterA为企业分支网关，RouterB为企业总部网关（思科路由器），分支与总部通过公网建立通信。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。由于分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实现该需求。

image

操作步骤

配置RouterA

#``sysname RouterA //配置设备名称``#``ipsec authentication sha2 compatible enable``#``ike local-name huawei``#``acl number 3000 //指定被保护的数据流，分支子网访问总部子网的流量``rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255``#``ipsec proposal prop1 //配置IPSec安全提议``esp authentication-algorithm sha2-256``esp encryption-algorithm aes-128``#``ike proposal 1 //配置IKE安全提议``encryption-algorithm aes-cbc-128 //V200R008及之后的版本，aes-cbc-128参数修改为aes-128``dh group14``authentication-algorithm sha2-256``#``ike peer peer1 v1 //配置IKE对等体及其使用的协议时，不同的软件版本间的配置有差异：V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]；V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 }，缺省情况下，对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议，响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议，则可以执行命令undo version 2``exchange-mode aggressive //使用野蛮模式``pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%# //配置预共享密钥为huawei@1234``ike-proposal 1``local-id-type name //配置IKE协商时本端的ID类型。V200R008及之后的版本，name参数修改为fqdn``remote-name RouterB //配置对端IKE peer名称。V200R008及之后的版本，设备不支持命令remote-name，其命令功能等同于命令remote-id``remote-address 60.1.2.1``#``ipsec policy policy1 10 isakmp //配置IPSec安全策略``security acl 3000 ike-peer peer1``proposal prop1``#``interface GigabitEthernet0/0/1``ip address 60.1.1.1 255.255.255.0``ipsec policy policy1 //在接口上应用安全策略``#``interface GigabitEthernet0/0/2``ip address 10.1.1.1 255.255.255.0``#``ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 //配置静态路由，保证两端路由可达``#``return

    2.配置RouterB

!``hostname RouterB //配置设备名称``!``crypto isakmp policy 1``encryption aes 128``hash sha256``authentication pre-share``group 14``crypto isakmp key huawei@1234 hostname huawei //配置预共享密钥为huawei@1234``!``crypto isakmp identity hostname //指定IKE协商时本端ID类型为名称形式``!``crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 //配置IPSec采用的安全算法``!``crypto map p1 1 ipsec-isakmp //配置IPSec安全策略``set peer 60.1.1.1``set transform-set p1``match address 102``!``!``interface GigabitEthernet0/0``ip address 60.1.2.1 255.255.255.0``duplex auto``speed auto``crypto map p1 //在接口上应用安全策略``!``interface GigabitEthernet0/1``ip address 10.1.2.1 255.255.255.0``duplex auto``speed auto``!``!``ip route 0.0.0.0 0.0.0.0 60.1.2.2 //配置静态路由，保证两端路由可达``!``access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流，总部子网访问分支子网的流量``!``end

image

验证配置结果

配置成功后，在PC A上执行ping操作仍然可以ping通PC B。# 在RouterA上执行display ike sa和display ipsec sa命令，在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令，均可以看到IPSec隧道配置成功的信息。# 在RouterA上执行命令display ipsec statistics可以查看数据包的统计信息。

image

配置注意事项

本示例提供的思科设备的命令为建议配置，产品版本为

“Cisco IOS Software，C3900e Software (C3900e-UNIVERSALK9-M)，Version 15.2(4)M1， RELEASE SOFTWARE (fc1)”，详细信息请访问http://www.cisco.com/cisco/web/support网站参见思科手册。

MD5、SHA-1、DES和3DES算法存在安全隐患，请谨慎使用。

思科路由器采用野蛮模式作为IPSec发起方时，其需在野蛮模式下配置本端ID和预共享密钥。具体配置如下举例所示。

crypto isakmp peer ip-address 60.1.1.1 //配置IKE协商时的对端IP地址

set aggressive-mode client-endpoint fqdn huawei //配置IKE协商时的本端ID

set aggressive-mode password huawei@1234 //配置预共享密钥

[思科实验] IPSEC对接——采用IKEv1野蛮模式

你可能感兴趣的:([思科实验] IPSEC对接——采用IKEv1野蛮模式)