收藏
下载资源

ipsec -总部对多分支

上传人:第*** 文档编号:31078731 上传时间:2018-02-04 格式:DOCX 页数:14 大小:44.34KB
返回 下载 相关 举报
ipsec -总部对多分支_第1页
第1页 / 共14页
ipsec -总部对多分支_第2页
第2页 / 共14页
ipsec -总部对多分支_第3页
第3页 / 共14页
ipsec -总部对多分支_第4页
第4页 / 共14页
ipsec -总部对多分支_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《ipsec -总部对多分支》由会员分享,可在线阅读,更多相关《ipsec -总部对多分支(14页珍藏版)》请在金锄头文库上搜索。

1、IPsec 多分支经由总部互通功能需求:1、总部采用 MSR56 设备,分支采用 MSR36 和 MSR302、分支和总部之间起 IPsec;3、分支之间不直接建立 IPsec,经由总部 IPsec VPN 实现分支互通。组网信息及描述:总部 PC 地址为:3.3.3.3分支一 PC 地址为:2.2.2.2分支二 PC 地址为:4.4.4.4配置步骤:首先配置总部设备:#这里在总部设备上起一个 loopback 接口,来模仿 PC。H3Cinterface LoopBack0H3C-LoopBack0 ip address 3.3.3.3 255.255.255.255#这里先配置 IKE K

2、eychain,配置与分支之间协商采用的预共享密钥,由于分支设备无公网 IP,这里需要采用 name 的方式,这里配置分支一的 name 为123,分支的 name 为 234,分支 name 需要与分支侧设置的一致。H3Cike keychain 123H3C-ike-keychain-123 pre-shared-key hostname 123 key simple 123456H3C-ike-keychain-123 quitH3Cike keychain 235H3C-ike-keychain-235 pre-shared-key hostname 234 key simple 12

3、3456#配置两个分支对应的 IKE Profile,调用配置的 ike keychain,采用野蛮模式,并分别匹配对端配置的 ike name。H3Cike profile 123H3C-ike-profile-123 keychain 123H3C-ike-profile-123 exchange-mode aggressiveH3C-ike-profile-123 local-identity fqdn centerH3C-ike-profile-123 match remote identity fqdn 123H3C-ike-profile-123 quitH3Cike profil

4、e 333H3C-ike-profile-333 keychain 235H3C-ike-profile-333 exchange-mode aggressiveH3C-ike-profile-333 local-identity fqdn centerH3C-ike-profile-333 match remote identity fqdn 234H3C-ike-profile-333#配置 IPsec 安全提议,这里加密方式采用 des,验证方式采用 md5H3Cipsec transform-set 123H3C-ipsec-transform-set-123 esp encrypti

5、on-algorithm des-cbcH3C-ipsec-transform-set-123 esp authentication-algorithm md5#配置安全 ACL,匹配感兴趣流,这里的配置非常重要,尽管分支一和分支二之间并不直接建立 ipsec,然后还是需要在 ACL 中对分支一到分支二的内网流量进行匹配,这一点非常重要。分支 1:acl number 3000 rule 0 permit ip source 3.3.3.3 0 destination 2.2.2.2 0rule 5 permit ip source 4.4.4.4 0 destination 2.2.2.2

6、0分支 2:acl number 3001rule 0 permit ip source 2.2.2.2 0 destination 4.4.4.4 0rule 5 permit ip source 3.3.3.3 0 destination 4.4.4.4 0#配置 IPsec 策略,这里采用 IPsec 策略模板的方式,分别配置对应分支的IPsec 安全提议和安全 ACL。分支 1:H3Cipsec policy-template 234 1H3C-ipsec-policy-template-234-1 transform-set 123H3C-ipsec-policy-template-

7、234-1 security acl 3000H3C-ipsec-policy-template-234-1 ike-profile 123分支 2:H3Cipsec policy-template 333 1H3C-ipsec-policy-template-333-1 transform-set 123H3C-ipsec-policy-template-333-1 security acl 3001H3C-ipsec-policy-template-333-1 ike-profile 333H3C-ipsec-policy-template-333-1quit#使用 ipsec 策略调用配

8、置的 IPsec 策略模板:H3Cipsec policy 456 1 isakmp template 234H3Cipsec policy 456 2 isakmp template 333#配置完成之后,将 ipsec 策略下发到接口上:H3Cinterface GigabitEthernet0/0H3C-GigabitEthernet0/0 ip address 1.1.1.2 255.255.255.0H3C-GigabitEthernet0/0 ipsec apply policy 456配置分支:配置分支一#在分支一上同样使用了一个 loopback 接口模仿 PC 3.3.3.3

9、:H3Cinterface LoopBack0H3C-LoopBack0 ip address 2.2.2.2 255.255.255.255#配置设备对应的共享密钥H3Cike keychain 123H3C-ike-keychain-123 pre-shared-key address 1.1.1.2 255.255.255.255 simple 123456#配置本设备的 ike name 标识为 123H3C ike identity fqdn 123#配置 ike profile,调用配置的 ike keychain,并采用野蛮模式。H3Cike profile 123H3C-ike

10、-profile-123 keychain 123H3C-ike-profile-123 exchange-mode aggressiveH3C-ike-profile-123 local-identity fqdn 123H3C-ike-profile-123 match remote identity fqdn center#配置 IPsec 安全提议,设备加密类型为 des,验证类型为 md5,这里需要与总部的保持一致。H3Cipsec transform-set 123H3C-ipsec-transform-set-123 esp encryption-algorithm des-cb

11、cH3C-ipsec-transform-set-123 esp authentication-algorithm md5#配置 ACL,这里在匹配分支到总部的流量之外,还需要匹配下分支一到分支二的内网流量。acl number 3000rule 0 permit ip source 2.2.2.2 0 destination 3.3.3.3 0rule 5 permit ip source 2.2.2.2 0 destination 4.4.4.4 0#配置 ipsec 策略,调用设备配置的 ACL 感兴趣流H3Cipsec policy 123 1 isakmpH3C-ipsec-poli

12、cy-isakmp-123-1 transform-set 123H3C-ipsec-policy-isakmp-123-1 security acl 3000H3C-ipsec-policy-isakmp-123-1 remote-address 1.1.1.2H3C-ipsec-policy-isakmp-123-1 ike-profile 123#在接口下发 ipsec 策略。H3Cinterface GigabitEthernet0/0H3C-GigabitEthernet0/0 ip address 1.1.1.1 255.255.255.0H3C-GigabitEthernet0/

13、0 ipsec apply policy 123 配置分支二:#分支二采用了 V5 设备,首先配置 ike peer,配置预共享密钥,并使用野蛮模式,本地 ike name 设置为 234testike peer 123test-ike-peer-123 exchange-mode aggressivetest-ike-peer-123 pre-shared-key simple 123456test-ike-peer-123 id-type nametest-ike-peer-123 remote-name centertest-ike-peer-123 remote-address 1.1

14、.1.2test-ike-peer-123 local-name 234#配置 IPsec 感兴趣流,这一点很重要,尤其注意红色标记部分:acl number 3000rule 0 permit ip source 4.4.4.4 0 destination 2.2.2.2 0rule 5 permit ip source 4.4.4.4 0 destination 3.3.3.3 0#配置 IPsec 安全提议,并配置与总部设备一致的加密和验证算法testipsec transform-set 123test-ipsec-transform-set-123 encapsulation-mod

15、e tunneltest-ipsec-transform-set-123 transform esptest-ipsec-transform-set-123 esp authentication-algorithm md5test-ipsec-transform-set-123 esp encryption-algorithm des#配置 IPsec 策略,调用配置的 ACL 感兴趣流和 IPsec 安全提议以及 ike peertestipsec policy 123 1 isakmptest-ipsec-policy-isakmp-123-1 security acl 3000test-

16、ipsec-policy-isakmp-123-1 ike-peer 123test-ipsec-policy-isakmp-123-1 transform-set 123#然后将 ipsec 策略下发到接口之上:testinterface Ethernet0/5test-Ethernet0/5 port link-mode routetest-Ethernet0/5 ip address 1.1.1.4 255.255.255.0test-Ethernet0/5 ipsec policy 123 配置完成之后,做如下两件事儿:1、从分支一分别带源 ping 总部的 3.3.3.3 和分支二的 4.4.4.4 地址2、从分支二分别带源

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号