Índice
5. Verificação de configuração
Características
Em circunstâncias normais, os túneis ipsec são estabelecidos após serem acionados por fluxos de dados e depois negociados. Depois de configurar a função de conexão automática do túnel (autoup), o túnel é automaticamente acionado internamente pelo módulo ipsec. Contanto que a configuração IPSEC seja concluída, o O dispositivo é iniciado automaticamente, independentemente de haver ou não um acionador de fluxo de dados.Negociação IPSEC.
1. Requisitos de rede
Os dados comerciais trocados entre filiais e sedes são criptografados por meio de VPN IPSEC dinâmica. Como a sede precisa acessar o servidor de aplicativos na Filial 1 de tempos em tempos, a VPN IPSEC entre a Filial 1 e a sede deve permanecer permanentemente online, independentemente de a Filial 1 precisar acessar a sede.
2. Topologia de rede
3. Pontos de configuração
1. Configure funções IPSEC básicas
2. Configure a função de conexão automática do túnel IPSEC da filial 1
4. Etapas de configuração
1. Configure funções IPSEC básicas
De acordo com o ambiente local e as necessidades do cliente, selecione a solução de implantação IPSEC apropriada. Para configuração detalhada, consulte o capítulo " Configuração Básica " do IPSEC (Configuração Típica ---> Segurança ---> IPSEC ---> Configuração Básica )
2. Configure a função de conexão automática do túnel IPSEC da filial 1
R1(config)#crypto map mymap 10 ipsec-isakmp
R1(config-crypto-map)#set autoup //Configura a função de conexão automática do túnel IPSEC
Nota: a configuração do set autoup no mapa dinâmico não entra em vigor.
5. Verificação de configuração
Após configurar a função de conexão automática do túnel IPSEC no roteador da filial 1, o túnel IPSEC será automaticamente negociado e estabelecido independentemente de a filial 1 ser acionada pelo acesso de dados à sede.
Ruijie#show crypto isakmp sa //Ver status de negociação isakmp sa
destino origem estado conn-id tempo de vida (segundo)
10.0.0.2 10.0.0.1 IKE_IDLE 0 84129 //a negociação isakmp foi bem-sucedida, o estado é IKE_IDLE
Ruijie#show crypto ipsec sa //Ver status de negociação ipsec sa
Interface: Gigabit Ethernet 0/0
Tag do mapa criptográfico: mymap //O nome do mapa de criptografia aplicado na interface
endereço ipv4 local 10.0.0.1 //Endereço IP usado na negociação isakmp/ipsec
mídia 1.500 pessoas
=================================
tipo de sub_mapa:estático, seqno:5, id=0
identificação local (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) //Endereço de origem do fluxo interessado
identificação remota (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) //Endereço de destino do fluxo interessado
PERMITIR
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4 //Número de pacotes encapsulados, criptografados e digeridos com sucesso
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4 //Descapsulação, descriptografia e verificação bem-sucedidas do número de mensagens. Quando houver dados para comunicação por meio da criptografia IPSEC, execute repetidamente o comando show crypto ipsec sa para veja o acima. O número de estatísticas continuará a aumentar.
#send erros 0, #recv erros 0 //Número de envio e recebimento de mensagens de erro, em circunstâncias normais, esta estatística não aumenta.
Entrada esp sas:
spi:0x2ecca8e (49072782) //ipsec sa direção de entrada spi
transform: esp-des esp-md5-hmac // conjunto de transformação de criptografia ipsec é esp-des esp-md5-hmac
in use settings={Tunnel Encaps,} //Usar modo túnel
mapa criptográfico mymap 5
sa timing: tempo de vida restante da chave (k/s): (4606998/1324) //Ainda faltam 4606998 kilobytes/1324 segundos antes que o ciclo de vida da associação de segurança expire
Tamanho IV: 8 bytes //O comprimento do vetor IV é 8
Suporte para detecção de repetição:Y //Processamento anti-replay
Saída esp sas:
spi:0x5730dd4b (1462820171) //O spi na direção de saída do ipsec sa, somente se você vir o spi de entrada e o spi de saída, significa que o ipsec sa foi negociado com sucesso.
transformar: esp-des esp-md5-hmac
configurações em uso={Tunnel Encaps,}
mapa criptográfico mymap 5
tempo sa: vida útil restante da chave (k/s): (4606998/1324)
Tamanho IV: 8 bytes
Suporte para detecção de repetição: Y