目次
特徴
通常、ipsec トンネルはデータ フローによってトリガーされた後、ネゴシエーションによって確立されます。自動トンネル接続機能 (autoup) を設定すると、トンネルは ipsec モジュールによって内部で自動的にトリガーされます。IPSEC の設定が完了している限り、デバイスはデータ フロー トリガーの有無に関係なく、トンネルが自動的に開始されます。 IPSEC ネゴシエーション。
1. ネットワーク要件
支店と本社の間で交換されるビジネス データは、ダイナミック IPSEC VPN を通じて暗号化されます。本社は時々ブランチ 1 のアプリケーション サーバーにアクセスする必要があるため、ブランチ 1 が本社にアクセスする必要があるかどうかに関係なく、ブランチ 1 と本社の間の IPSEC VPN は永続的にオンラインを維持する必要があります。
2. ネットワークトポロジ
3. 構成のポイント
1. 基本的な IPSEC 機能を設定する
2. ブランチ1のIPSECトンネルの自動接続機能を設定する
4. 設定手順
1. 基本的な IPSEC 機能を設定する
オンサイトの環境と顧客のニーズに応じて、適切な IPSEC 導入ソリューションを選択してください。詳細な構成については、IPSEC の「基本構成」の章を参照してください (標準構成 ---> セキュリティ ---> IPSEC ---> 基本構成)
2. ブランチ1のIPSECトンネルの自動接続機能を設定する
R1(config)#crypto マップ mymap 10 ipsec-isakmp
R1(config-crypto-map)#set autoup //IPSECトンネル自動接続機能の設定
注: 動的マップでの set autoup の構成は有効になりません。
5. 構成の検証
ブランチ 1 ルータに IPSEC トンネルの自動接続機能を設定すると、ブランチ 1 が本社へのデータ アクセスによってトリガーされたかどうかに関係なく、IPSEC トンネルが自動的にネゴシエートされ、確立されます。
Ruijie#show crypto isakmp sa // isakmp sa のネゴシエーション ステータスを表示する
宛先ソース状態 conn-id ライフタイム(秒)
10.0.0.2 10.0.0.1 IKE_IDLE 0 84129 //isakmp ネゴシエーションが成功しました、ステータスは IKE_IDLE です
Ruijie#show crypto ipsec sa //ipsec sa ネゴシエーション ステータスの表示
インターフェイス: ギガビットイーサネット 0/0
暗号マップ tag:mymap //インターフェースに適用される暗号化マップの名前
local ipv4 addr 10.0.0.1 // isakmp/ipsec ネゴシエーションに使用される IP アドレス
メディア 1500名
=================================
sub_map タイプ:静的、シーケンス番号:5、id=0
local ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) // 対象のストリームのソース アドレス
リモート ID (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) // 対象のフローの宛先アドレス
許可する
#pkts encaps: 4, #pkts encrypt: 4, #pkts Digest 4 //正常にカプセル化、暗号化、ダイジェストされたメッセージの数
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4 //カプセル化解除、復号化、メッセージ数の検証に成功 IPSEC暗号化通信のデータがある場合、show crypto ipsec saコマンドを繰り返し実行して、上記を参照してください。統計の数は今後も増加し続けます。
#senderrors0,#recverrors0 //送受信されたエラーメッセージの数 通常の状況では、この統計は増加しません。
受信ESP SA:
spi:0x2ecca8e (49072782) //ipsec sa の受信方向 spi
変換: esp-des esp-md5-hmac //ipsec 暗号化変換セットは esp-des esp-md5-hmac
in use settings={Tunnel Encaps,} //トンネル モードを採用する
クリプトマップマイマップ5
sa タイミング: 残りのキーの有効期間 (k/秒): (4606998/1324) //セキュリティ アソシエーションのライフサイクルが期限切れになるまで、まだ 4606998 キロバイト/1324 秒あります。
IV サイズ: 8 バイト //IV ベクトルの長さは 8 です
リプレイ検出サポート:Y //アンチリプレイ処理
アウトバウンド esp sas:
spi:0x5730dd4b (1462820171) //ipsec sa アウトバウンド spi. インバウンド spi とアウトバウンド spi が表示された場合のみ、ipsec sa が正常にネゴシエートされたことを意味します。
変換: esp-des esp-md5-hmac
使用中の設定={トンネル カプセル化,}
クリプトマップマイマップ5
sa タイミング: 残りのキーの有効期間 (k/秒): (4606998/1324)
IVサイズ:8バイト
リプレイ検出サポート:Y