Ruijie Networks — Função VPN — Configuração estendida IPSEC — Configuração automática de conexão do túnel IPSec (autoup)

News 2023-09-10 06:14:15 views: null

Índice

Características

1. Requisitos de rede

2. Topologia de rede

3. Pontos de configuração

4. Etapas de configuração

5. Verificação de configuração

 

Características

Em circunstâncias normais, os túneis ipsec são estabelecidos após serem acionados por fluxos de dados e depois negociados. Depois de configurar a função de conexão automática do túnel (autoup), o túnel é automaticamente acionado internamente pelo módulo ipsec. Contanto que a configuração IPSEC seja concluída, o O dispositivo é iniciado automaticamente, independentemente de haver ou não um acionador de fluxo de dados.Negociação IPSEC.

1. Requisitos de rede

Os dados comerciais trocados entre filiais e sedes são criptografados por meio de VPN IPSEC dinâmica. Como a sede precisa acessar o servidor de aplicativos na Filial 1 de tempos em tempos, a VPN IPSEC entre a Filial 1 e a sede deve permanecer permanentemente online, independentemente de a Filial 1 precisar acessar a sede.

2. Topologia de rede

3. Pontos de configuração

1. Configure funções IPSEC básicas

2. Configure a função de conexão automática do túnel IPSEC da filial 1

4. Etapas de configuração

1. Configure funções IPSEC básicas

De acordo com o ambiente local e as necessidades do cliente, selecione a solução de implantação IPSEC apropriada. Para configuração detalhada, consulte o capítulo " Configuração Básica " do IPSEC (Configuração Típica ---> Segurança ---> IPSEC ---> Configuração Básica )

2. Configure a função de conexão automática do túnel IPSEC da filial 1

R1(config)#crypto map mymap 10 ipsec-isakmp

R1(config-crypto-map)#set autoup                                    //Configura a função de conexão automática do túnel IPSEC

 Nota: a configuração do set autoup no mapa dinâmico não entra em vigor.

5. Verificação de configuração

       Após configurar a função de conexão automática do túnel IPSEC no roteador da filial 1, o túnel IPSEC será automaticamente negociado e estabelecido independentemente de a filial 1 ser acionada pelo acesso de dados à sede.

Ruijie#show crypto isakmp sa                                     //Ver status de negociação isakmp sa

 destino origem estado conn-id tempo de vida (segundo)

 10.0.0.2 10.0.0.1 IKE_IDLE 0 84129 //a negociação isakmp foi bem-sucedida, o estado é IKE_IDLE

Ruijie#show crypto ipsec sa                                             //Ver status de negociação ipsec sa

Interface: Gigabit Ethernet 0/0

         Tag do mapa criptográfico: mymap                 //O nome do mapa de criptografia aplicado na interface                                

         endereço ipv4 local 10.0.0.1                   //Endereço IP usado na negociação isakmp/ipsec

         mídia 1.500 pessoas

         =================================

         tipo de sub_mapa:estático, seqno:5, id=0

         identificação local (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))          //Endereço de origem do fluxo interessado

         identificação remota (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))       //Endereço de destino do fluxo interessado

         PERMITIR

         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4          //Número de pacotes encapsulados, criptografados e digeridos com sucesso

         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4          //Descapsulação, descriptografia e verificação bem-sucedidas do número de mensagens. Quando houver dados para comunicação por meio da criptografia IPSEC, execute repetidamente o comando show crypto ipsec sa para veja o acima. O número de estatísticas continuará a aumentar.

         #send erros 0, #recv erros 0                                     //Número de envio e recebimento de mensagens de erro, em circunstâncias normais, esta estatística não aumenta.

         Entrada esp sas:

              spi:0x2ecca8e (49072782)                   //ipsec sa direção de entrada spi

               transform: esp-des esp-md5-hmac    // conjunto de transformação de criptografia ipsec é esp-des esp-md5-hmac

               in use settings={Tunnel Encaps,}         //Usar modo túnel

               mapa criptográfico mymap 5

               sa timing: tempo de vida restante da chave (k/s): (4606998/1324)  //Ainda faltam 4606998 kilobytes/1324 segundos antes que o ciclo de vida da associação de segurança expire

               Tamanho IV: 8 bytes   //O comprimento do vetor IV é 8

               Suporte para detecção de repetição:Y   //Processamento anti-replay

         Saída esp sas:

              spi:0x5730dd4b (1462820171)          //O spi na direção de saída do ipsec sa, somente se você vir o spi de entrada e o spi de saída, significa que o ipsec sa foi negociado com sucesso.

               transformar: esp-des esp-md5-hmac

               configurações em uso={Tunnel Encaps,}

               mapa criptográfico mymap 5

               tempo sa: vida útil restante da chave (k/s): (4606998/1324)

               Tamanho IV: 8 bytes

               Suporte para detecção de repetição: Y

Acho que você gosta

Origin blog.csdn.net/weixin_57099902/article/details/132765798
Recomendado
Clasificación
Diario
Más
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(0)

Code World

© 2018 codetd.com