收藏
下载资源

华为路由器ipsec

上传人:kms****20 文档编号:41369375 上传时间:2018-05-29 格式:DOC 页数:6 大小:38KB
返回 下载 相关 举报
华为路由器ipsec_第1页
第1页 / 共6页
华为路由器ipsec_第2页
第2页 / 共6页
华为路由器ipsec_第3页
第3页 / 共6页
华为路由器ipsec_第4页
第4页 / 共6页
华为路由器ipsec_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《华为路由器ipsec》由会员分享,可在线阅读,更多相关《华为路由器ipsec(6页珍藏版)》请在金锄头文库上搜索。

1、华为路由器 ipsec-vpn 实战-公网全静态 ip2013-11-19 18:06:09#配置访问控制列表,定义,定义 vpnvpn 的数据流,注意在没有建立的数据流,注意在没有建立 vpnvpn 之前,两个客户之前,两个客户 端是不通的。端是不通的。 acl number 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 rule 10 deny ip #创建安全提议 tran1ran1,默认是隧道模式和,默认是隧道模式和 espesp 的封装,加密算法是的封装,加密

2、算法是 desdes,总之,总之 两端一样就行了。两端一样就行了。 ipsec proposal tran1 esp authentication-algorithm sha1 #配置对等体,共享密钥,对端的共享密钥,对端的 ipip 地址地址 ike peer peer v2 pre-shared-key simple 12345678 remote-address 222.1.1.2 #创建安全策略略 map1map1, ipsec policy map1 10 isakmp security acl 3000 引用 acl ike-peer peer 引用 ike 的对待体的对待体 pr

3、oposal tran1 引用安全提议提议 #在 wanan 口上应用安全策略。口上应用安全策略。 # interface GigabitEthernet0/0/0 ip address 211.1.1.2 255.255.255.0 ipsec policy map1 #中间的路由器只需要接口配个 ip 即可,模拟公网。对端的路由器配置参考以上配置。 检测:在 client1 上 ping 对端的 client2:PCping 172.16.10.10Ping 172.16.10.10: 32 data bytes, Press Ctrl_C to breakFrom 172.16.10.1

4、0: bytes=32 seq=1 ttl=127 time=16 msFrom 172.16.10.10: bytes=32 seq=2 ttl=127 time=31 msFrom 172.16.10.10: bytes=32 seq=3 ttl=127 time=15 msFrom 172.16.10.10: bytes=32 seq=4 ttl=127 time=15 msFrom 172.16.10.10: bytes=32 seq=5 ttl=127 time=15 ms遗憾的是在 vpn 路由器上无法进行这样的 ping。查看安全联盟r1dis ipsec sa=Interfac

5、e: GigabitEthernet0/0/0 Path MTU: 1500 注意 vpn 经常因为 mtu 的原因导致不稳定,可以修改适合的mtu=-IPSecIPSec policypolicy name:name: “map1“map1“SequenceSequence numbernumber : : 1010AclAcl GroupGroup : : 30003000AclAcl rulerule : : 5 5ModeMode : : ISAKMPISAKMP-Connection ID : 8Encapsulation mode: TunnelTunnelTunnel local

6、local : : 211.1.1.2211.1.1.2TunnelTunnel remoteremote : : 222.1.1.2222.1.1.2FlowFlow sourcesource : : 192.168.10.0/255.255.255.0192.168.10.0/255.255.255.0 0/00/0FlowFlow destinationdestination : : 172.16.10.0/255.255.255.0172.16.10.0/255.255.255.0 0/00/0Qos pre-classify : DisableOutbound ESP SAs SPI

7、: 197300795 (0xbc2923b)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1SA remaining key duration (bytes/sec): 1887434148/2480Max received sequence-number: 30Anti-replay window size: 32UDP encapsulation used for NAT traversal: N 查看安全提议,这里没有建立成 vpn 也能查看r1dis ipsec proposalNumber of proposals: 1IPSecIPSec pr

8、oposalproposal name:name: tran1tran1 EncapsulationEncapsulation mode:mode: TunnelTunnel Transform : esp-newESPESP protocolprotocol : : AuthenticationAuthentication SHA1-HMAC-96SHA1-HMAC-96 EncryptionEncryption DESDES 查看安全策略r1dis ipsec policy=IPSecIPSec policypolicy group:group: “map1“map1“Using inte

9、rface: GigabitEthernet0/0/0=SequenceSequence number:number: 1010SecuritySecurity datadata flow:flow: 30003000PeerPeer namename : : peerpeerPerfect forward secrecy: NoneProposalProposal name:name: tran1tran1IPSec SA local duration(time based): 3600 secondsIPSec SA local duration(traffic based): 18432

10、00 kilobytesAnti-replay window size: 32SA trigger mode: AutomaticRoute inject: NoneQos pre-classify: Disable 查看 ike 安全联盟(第二阶段)r1dis ike sa v2Conn-ID Peer VPN Flag(s) Phase -8 222.1.1.2 0 RD 2 7 222.1.1.2 0 RD 1 Flag Description:RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUTHRT-HEARTBEAT LKG-

11、LAST KNOWN GOOD SEQ NO. BCK-BACKED UP 查看 ike 安全安全提议,注意这里是使用的华为默认的 ike 安全提议,也可以自己建一个,默认的优先级是最低的。为了兼容其他品牌的设备,往往可以建立多个 ike 安全提议。r1dis ike propoNumber of IKE Proposals: 1-IKE Proposal: DefaultAuthentication method : pre-sharedAuthentication algorithm : SHA1Encryption algorithm : DES-CBCDH group : MODP-7

12、68SA duration : 86400PRF : PRF-HMAC-SHA-扩展:如果总部还有个网段 10.10.10.0 的话也需要互通怎么弄?很简单。在acl 中加入兴趣流就行了,经过测试了。dis acl allTotal quantity of nonempty ACL number is 1Advanced ACL 3000, 3 rulesAcls step is 5rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rulerule 6 6 permitpermit

13、ipip sourcesource 10.10.10.010.10.10.0 0.0.0.2550.0.0.255 destinationdestination 192.168.10.0192.168.10.0 0.0.0.2550.0.0.255 rule 10 deny ipdis ipsec sa=Interface: GigabitEthernet0/0/0Path MTU: 1500=-IPSec policy name: “use1“Sequence number : 10Acl Group : 3000Acl rule : 5Mode : ISAKMP-Connection ID

14、 : 11Encapsulation mode: TunnelTunnel local : 222.1.1.2Tunnel remote : 211.1.1.2FlowFlow sourcesource : : 172.16.10.0/255.255.255.0172.16.10.0/255.255.255.0 0/00/0FlowFlow destinationdestination : : 192.168.10.0/255.255.255.0192.168.10.0/255.255.255.0 0/00/0Qos pre-classify : DisableOutbound ESP SAs SPI: 3416128951 (0xcb9dfdb7)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1SA remaining key duration (bytes/sec): 1887436800/2357Max sent sequence-number: 0UDP encapsulation used for NAT traversal: NInbound ESP SAs SPI: 962890874 (0x396

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号