H3C IPsec PSK configuração modo principal
Como mostrado, o principal modo de configuração IPsec RTA e RTB-entre, para atingir interfuncionamento da rede, enquanto o acesso de proxy.
Interface IP endereço e roteamento configuração ligeiramente.
configuração RTA:
1, a configuração da primeira fase ike pares e chave compartilhada
[RTA] ike chaveiro psk # Crie uma chave chamada psk compartilhada: ipsec123456
[Keychain-RTA-ike-PSK] endereço pré-Shared-Key simples Key ipsec123456 63.12.20.2
[o RTA-IKE-Keychain-PSK] sair
2, os parâmetros de configuração de segurança proposto (modo de encapsulamento, o algoritmo de encriptação e autenticação protocolo de encapsulamento) da segunda etapa
[RTA] IPsec transformar-conjunto proposta # Criar proposta chamada segurança proposta ipsec
[RTA por IPsec-transformar-conjunto -Proposta] o modo de túnel # encapsulamento-modo de encapsulamento é o modo de túnel
[RTA por IPsec-transformar-conjunto -Proposta] protocolo esp # encapsulamento protocolo utiliza o ESP
[a-Transform-sET-Proposta RTA-IPsec] ESP autenticação-algoritmo algoritmo SHA1 # encapsulamento autenticação protocolo
[RTA por IPsec-transform-definido -Proposta] criptografia algoritmo de encriptação esp-algoritmo 3DES-CBC protocolo # encapsulamento
[RTA por IPsec-transformar-conjunto -Proposta] sair
3. A proposta Configurar IKE SA Segurança (primeiros parâmetros de palco: endereço de destino, de modo a negociação, chave compartilhada, etc.)
[RTA] IKE Proposta 1 # Criar uma negociação IKE
[RTA-ike-proposta-1 ] autenticação de método de pré-share # método de autenticação IKE especificado como a chave compartilhada
[RTA-ike-proposta-1 ] criptografia de algoritmo 3DES-CBC # IKE de identidade especificado algoritmo de criptografia 3DES
[a RTA. 1-IKE-proposta-] algoritmo de autenticação # MD5 para IKE- autenticação algoritmo MD5
[RTA-IKE-Proposal-1] dh group14 # modp2048
[RTA-IKE-Proposal-1] sair
[RTA] ike arquivo de perfil #IKE arquivo de configuração negociado
[RTA-ike-profile-file ] Proposta 1 # negociação Bind IKE No.
[RTA-ike-profile-file ] Modo de troca # principal modo mestre
[RTA-ike- profile-file] chaveiro psk # especificar o nome chave secreta compartilhada (criado anteriormente)
[RTA-ike-profile-file ] coincidir com o endereço de Identidade endereço remoto 63.12.20.2 # do peer remoto
[-ike-profile-file RTA ] DPD intervalo de 100 repetição 5 # periódicas permitir DPD detecção da linha
[-ike-profile-file RTA ] sair
4, a segunda fase de negociações para criar um segmento de interesse deriva ACL
[RTA] Número A acl 3000
regra [RTA-ipv4-acl-ADV-3000] 5 em licença ip 192.168.10.0 0.0.0.255 Fonte 172.16.10.0 0.0.0.255 Onde você quer
[ IPv4-ACL - o RTA-ADV 3000] 10 a regra autorização IP Fonte 192.168.20.0 172.16.10.0 0.0.0.255 Onde você quer 0.0.0.255
[o RTA-IPv4-ACL-ADV-3000] regra IP Fonte 15 da licença 172.16.20.0 0.0.0.255 192.168.10.0 0.0.0.255 Onde você quer
[a RTA-IPv4-ACL-ADV-3000] regra 20 é a licença 172.16.20.0 0.0.0.255 Source IP 192.168.20.0 0.0.0.255 Onde você quer
[a RTA-IPv4-ACL-ADV-3000] sair
5,创建ipsec策略手动协商参数
[RTA] IPSec política IPSec 1 isakmp
[RTA-ipsec-política-isakmp-ipsec-1] arquivo ike-profile
[RTA-ipsec-política-isakmp ipsec-1] proposta transformar-set
[RTA-ipsec-política-isakmp-ipsec-1] segurança acl 3000
[RTA-ipsec-política-isakmp-ipsec-1] remota endereço 63.12.20.2
[RTA-ipsec-política-isakmp-ipsec-1] sair
6, a estratégia de configuração boa interface mating
[RTA] Interface de GigabitEthernet 0/0
[o RTA-o GigabitEthernet0 / 0] Aplicar Política IPSec IPSec
[o RTA-o GigabitEthernet0 / 0] sair
RTB配置:
[RTB] ike chaveiro psk
[RTB-ike-Keychain-PSK] pré-compartilhada-chave de endereço 220.178.251.2 chave simples ipsec123456
[RTB-ike-Keychain-PSK] sair
[RTB] IPsec transformar-conjunto proposta
[RTB por IPsec-transformar-set-proposta]-modo de encapsulamento túnel
[RTB por IPsec-transformar-set-proposta] protocolo esp
[RTB por IPsec-transformar-set-proposta] esp Authentication algoritmo SHA1
[RTB-ipsec-transform-set-proposta] esp criptografia de algoritmo 3DES-CBC
[RTB-ipsec-transform-set-proposta] sair
[RTB] ike proposta 1
[RTB-ike-proposta-1] autenticação de método de pré-share
[RTB-ike-proposta-1] criptografia de algoritmo 3DES-CBC
[RTB-ike-proposta-1] autenticação de algoritmo MD5
[ RTB-ike-proposta-1] dh group14
[RTB-ike-proposta-1] sair
[RTB] ike arquivo de perfil
[RTB-ike-profile-file] proposta 1
[RTB-ike-profile-file] do modo de troca principal
[-profile-file RTB-ike] chaveiro psk
[RTB-ike-profile-file] corresponde ao endereço identidade remoto 220.178.251.2
[RTB-ike-profile-file] DPD intervalo de 100 repetição 5 periódica
[-ike-profile-file RTB] sair
[RTB] acl número 3000
[RTB-acl-ipv4-adv-3000] regra 5 licença de fonte ip 192.168.10.0 0.0.0.255 destino 172.16.10.0 0.0.0.255
[RTB-acl-ipv4-adv-3000] Regra 10 autorização ip fonte 192.168.10.0 0.0.0.255 destino 172.16.20.0 0.0.0.255
[RTB-acl-ipv4-adv-3000] regra 15 licença de fonte ip 192.168.20.0 0.0.0.255 destino 172.16.10.0 0.0.0.255
[RTB-acl-IPv4 adv-3000] regra 20 licença de fonte ip 192.168.20.0 0.0.0.255 destino 172.16.20.0 0.0.0.255
[RTB-acl-ipv4-adv-3000] sair
[RTB] IPSec política IPSec 1 isakmp
[RTB-ipsec-política-isakmp ipsec-1] arquivo ike-profile
[RTB-ipsec-política-isakmp ipsec-1] transformar-set proposta
[RTB-ipsec-política-isakmp -ipsec-1] segurança acl 3000
[RTB-ipsec-política-isakmp-ipsec-1] remota endereço 220.178.251.2
[RTB-ipsec-política-isakmp-ipsec-1] sair
[RTB] Interface GigabitEthernet 0/0
[RTB-GigabitEthernet0 / 0] IPSec aplicar a política IPSec
[RTB-GigabitEthernet0 / 0] sair
手动流量触发,使得IPsec隧道建立成功:
[RTA] pingue -a 172.16.10.254 192.168.10.254
Ping 192.168.10.254 (192.168.10.254) de 172.16.10.254: 56 bytes de dados, para quebrar prima CTRL_C
tempo Pedido de fora
56 bytes a partir de 192.168.10.254: icmp_seq = 1 ttl = 255 = 15.978 tempo ms
56 bytes de 192.168.10.254: icmp_seq = 2 ttl = 255 = 46.047 tempo ms
56 bytes de 192.168.10.254: icmp_seq = 3 TTL = 255 ms de tempo = 40.687
56 bytes de 192.168.10.254: icmp_seq = 4 = 255 ttl tempo = 7.064 ms
[RTA] exibir ike sa detalhado
------------------------------------------- ----
Connection ID: 1
VPN exterior:
Dentro VPN:
file: Perfil
entidade transmissora: Iniciador
----------------------------- ------------------
IP local: 220.178.251.2
local tipo ID: IPV4_ADDR
local ID: 220.178.251.2
IP Remoto: 63.12.20.2
tipo ID remoto: IPV4_ADDR
remoto ID: 63.12.20.2
Autenticação de método: pré-compartilhada-KEY
autenticação de algoritmo: MD5
criptografia algoritmo: 3DES-CBC
Duração de vida (sec): 86400
Remanescente chave duração (seg): 86375
Troca-mode: Principal
grupo Diffie-Hellman: Grupo 14
passagem NAT: Não detectado
Estender a autenticação: Disabled
endereço IP atribuído:
[RTA] exibir IPsec sa
-------------------------------
Interface: GigabitEthernet0 / 0
-------- -----------------------
-----------------------------
política IPsec: ipsec
Número de sequência: 1
Mode: ISAKMP
---------- -------------------
túnel id: 0
encapsulamento modo: túnel
Perfect Forward Secrecy:
Dentro VPN:
Sequência Números estendidas permitem: N
fluxo de tráfego confidencialidade permitir: N
Path MTU: 1444
túnel:
endereço local: 220.178.251.2
endereço remoto: 63.12.20.2
Fluxo:
addr azedo: 172.16.10.0/255.255.255.0 porto: 0 protocolo: ip
dest addr: 192.168.10.0/255.255.255.0 porto: 0 protocolo: ip
[Entrada ESP SCV]
SPI: 3470613151 (0xcedd5a9f)
Ligação ID: 4294967296
Transform definido: ESP criptografar-3DES-CBC ESP-auth-SHA1
SA duração (kilobytes / seg): 1843200/3600
SA duração remanescente (kilobytes / seg): 1843199/3527
Max recebido sequência de números: 4
verificação anti-repetição permitir que: Y
anti-repetição tamanho da janela: 64
encapsulamento UDP utilizados para passagem NAT: N
Estado: Activo
[ESP de saída SCV]
SPI: 908089754 (0x3620599a)
Ligação ID: 4294967297
Transform definido: ESP criptografar-3DES-CBC ESP-auth-SHA1
SA duração (kilobytes / seg): 1843200/3600
SA duração remanescente (kilobytes / seg): 1843199/3527
Max enviado sequência de números: 4
de encapsulamento UDP utilizados para passagem NAT: N
Estado: Activo
Resolvendo o problema dentro da rede:
Em contraste para criar um tráfego política de interface IPSec ACL visa tornar outro tráfego NAT para sair ACL e
[RTA] Número A acl 3001
[RTA-ipv4-acl-ADV-3001] regra de negação ip Fonte 172.16.10.0 5 onde você quer 192.168.10.0 0.0.0.255 0.0.0.255
[o RTA-IPv4-ACL-ADV-3001] 10 a negar regra IP Fonte 192.168.20.0 172.16.10.0 0.0.0.255 aonde quer 0.0.0.255
[o RTA-IPv4-ACL-ADV-3001] IP de origem 172.16.20.0 15 a regra 0.0.0.255 negar Onde você quer 192.168.10.0 0.0.0.255
[o RTA-IPv4-ACL-ADV-3001] 20 é o negar IP fonte regra 192.168.20.0 172.16.20.0 0.0.0.255 Onde você quer 0.0.0.255
[RTA- -Adv-IPv4-ACL 3001] 100 regra a autorização de IP
[ACL-o RTA-IPv4-ADV-3001] sair
[RTA] interface de GigabitEthernet 0/0
[RTA-GigabitEthernet0 / 0] nat outbound 3001
[RTA-GigabitEthernet0 / 0] sair
[RTA] pingue -a 172.16.10.254 63.12.20.1
Ping 63.12.20.1 (63.12.20.1) de 172.16.10.254: 56 bytes de dados, para quebrar prima CTRL_C
56 bytes de 63.12.20.1: icmp_seq = 0 = 255 ttl tempo = 4,281 ms
56 bytes de 63.12.20.1: icmp_seq = 1 = 255 ttl tempo = 5.708 ms
56 bytes de 63.12.20.1: icmp_seq = 2 ttl = 255 tempo = 5.865 ms
56 bytes de 63.12.20.1: icmp_seq = 3 ttl = 255 tempo = 5.906 ms
56 bytes de 63.12.20.1: icmp_seq = 4 TTL = 255 ms de tempo = 39.115
