华为AR路由器IPsec 配置
配置思路:
采用如下思路配置采用IKE协商方式建立IPSec隧道:
1.配置接口的IP地址和到对端的静态路由,保证两端路由可达。
2.配置ACL,以定义需要IPSec保护的数据流。
3.配置IPSec安全提议,定义IPSec的保护方法。
4.配置IKE对等体,定义对等体间IKE协商时的属性。
5.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采用何种保护方法。
6.在接口,上应用安全策略组,使接口具有IPSec的保护功能。
操作步骤:
1.在R1和R2上配置地址和对端的静态路由;
# 在R1上配置接口地址
interface GigabitEthernet0/0/0
ip address 1.1.1.1 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.1.1.1 255.255.255.0
# 在 R1 上配置到对端的静态路由
ip route-static 2.2.2.0 255.255.255.252 1.1.1.2
ip route-static 10.1.2.0 255.255.255.0 1.1.1.2
# 在R2上配置接口地址
interface GigabitEthernet0/0/0
ip address 2.2.2.2 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.1.2.1 255.255.255.0
# 在 R2 上配置到对端的静态路由
ip route-static 1.1.1.0 255.255.255.252 2.2.2.1
ip route-static 10.1.1.0 255.255.255.0 2.2.2.1
2.分别在R1,R2 上配置ACL,定义各自要保护的数据流;
R1: 10.1.1.0 - 10.1.2.0
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
R2:10.1.2.0 - 10.1.1.0
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.分别在R1,R2 上创建IPSEC安全提议;
ipsec proposal tran1
encapsulation-mode tunnel
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
4.在R1,R2上创建对等体,并根据默认配置,配置预共享密钥和对端ID;
R1
ike peer spua v1
pre-shared-key simple huawei
remote-address 2.2.2.2
R2
ike peer spua v1
pre-shared-key simple huawei
remote-address 1.1.1.1
5.分别在R1,R2上创建安全策略(动态协商);
R1
ipsec policy map1 10 isakmp
security acl 3000
ike-peer spub
proposal tran1
R2
ipsec policy use1 10 isakmp
security acl 3000
ike-peer spub
proposal tran1
6.分别在R1,R2接口上引用安全策略组;
R1
interface GigabitEthernet0/0/0
ipsec policy map1
R2
interface GigabitEthernet0/0/0
ipsec policy use1
检查结果:
【版权声明】
本站部分内容来源于互联网,本站不拥有所有权,不承担相关法律责任。如果发现本站有侵权的内容,欢迎发送邮件至masing@13sy.com 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。