华为路由器ipsec.doc_第1页
华为路由器ipsec.doc_第2页
华为路由器ipsec.doc_第3页
华为路由器ipsec.doc_第4页
华为路由器ipsec.doc_第5页
免费预览已结束,剩余1页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

华为路由器ipsec-vpn实战-公网全静态ip2013-11-19 18:06:09#配置访问控制列表,定义vpn的数据流,注意在没有建立vpn之前,两个客户端是不通的。acl number 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 rule 10 deny ip #创建安全提议tran1,默认是隧道模式和esp的封装,加密算法是des,总之两端一样就行了。ipsec proposal tran1esp authentication-algorithm sha1#配置对等体,共享密钥,对端的ip地址ike peer peer v2pre-shared-key simple 12345678remote-address 222.1.1.2#创建安全策略map1,ipsec policy map1 10 isakmpsecurity acl 3000 引用aclike-peer peer 引用ike的对待体proposal tran1 引用安全提议#在wan口上应用安全策略。#interface GigabitEthernet0/0/0ip address 211.1.1.2 255.255.255.0 ipsec policy map1#中间的路由器只需要接口配个ip即可,模拟公网。对端的路由器配置参考以上配置。检测:在client1上ping对端的client2:PCping 172.16.10.10Ping 172.16.10.10: 32 data bytes, Press Ctrl_C to breakFrom 172.16.10.10: bytes=32 seq=1 ttl=127 time=16 msFrom 172.16.10.10: bytes=32 seq=2 ttl=127 time=31 msFrom 172.16.10.10: bytes=32 seq=3 ttl=127 time=15 msFrom 172.16.10.10: bytes=32 seq=4 ttl=127 time=15 msFrom 172.16.10.10: bytes=32 seq=5 ttl=127 time=15 ms遗憾的是在vpn路由器上无法进行这样的ping。查看安全联盟r1dis ipsec sa=Interface: GigabitEthernet0/0/0Path MTU: 1500 注意vpn经常因为mtu的原因导致不稳定,可以修改适合的mtu=-IPSec policy name: map1Sequence number : 10Acl Group : 3000Acl rule : 5Mode : ISAKMP-Connection ID : 8Encapsulation mode: TunnelTunnel local : 211.1.1.2Tunnel remote : 222.1.1.2Flow source : 192.168.10.0/255.255.255.0 0/0Flow destination : 172.16.10.0/255.255.255.0 0/0Qos pre-classify : DisableOutbound ESP SAs SPI: 197300795 (0xbc2923b)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1SA remaining key duration (bytes/sec): 1887434148/2480Max received sequence-number: 30Anti-replay window size: 32UDP encapsulation used for NAT traversal: N查看安全提议,这里没有建立成vpn也能查看r1dis ipsec proposalNumber of proposals: 1IPSec proposal name: tran1 Encapsulation mode: Tunnel Transform : esp-newESP protocol : Authentication SHA1-HMAC-96 Encryption DES查看安全策略r1dis ipsec policy=IPSec policy group: map1Using interface: GigabitEthernet0/0/0=Sequence number: 10Security data flow: 3000Peer name : peerPerfect forward secrecy: NoneProposal name: tran1IPSec SA local duration(time based): 3600 secondsIPSec SA local duration(traffic based): 1843200 kilobytesAnti-replay window size: 32SA trigger mode: AutomaticRoute inject: NoneQos pre-classify: Disable查看ike安全联盟(第二阶段)r1dis ike sa v2Conn-ID Peer VPN Flag(s) Phase -8 222.1.1.2 0 RD 2 7 222.1.1.2 0 RD 1 Flag Description:RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUTHRT-HEARTBEAT LKG-LAST KNOWN GOOD SEQ NO. BCK-BACKED UP查看ike安全安全提议,注意这里是使用的华为默认的ike安全提议,也可以自己建一个,默认的优先级是最低的。为了兼容其他品牌的设备,往往可以建立多个ike安全提议。r1dis ike propoNumber of IKE Proposals: 1-IKE Proposal: DefaultAuthentication method : pre-sharedAuthentication algorithm : SHA1Encryption algorithm : DES-CBCDH group : MODP-768SA duration : 86400PRF : PRF-HMAC-SHA-扩展:如果总部还有个网段10.10.10.0的话也需要互通怎么弄?很简单。在acl中加入兴趣流就行了,经过测试了。dis acl allTotal quantity of nonempty ACL number is 1Advanced ACL 3000, 3 rulesAcls step is 5rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 6 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 10 deny ipdis ipsec sa=Interface: GigabitEthernet0/0/0Path MTU: 1500=-IPSec policy name: use1Sequence number : 10Acl Group : 3000Acl rule : 5Mode : ISAKMP-Connection ID : 11Encapsulation mode: TunnelTunnel local : 222.1.1.2Tunnel remote : 211.1.1.2Flow source : 172.16.10.0/255.255.255.0 0/0Flow destination : 192.168.10.0/255.255.255.0 0/0Qos pre-classify : DisableOutbound ESP SAs SPI: 3416128951 (0xcb9dfdb7)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1SA remaining key duration (bytes/sec): 1887436800/2357Max sent sequence-number: 0UDP encapsulation used for NAT traversal: NInbound ESP SAs SPI: 962890874 (0x39648c7a)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1SA remaining key duration (bytes/sec): 1887436800/2357Max received sequence-number: 0Anti-replay window size: 32UDP encapsulation used for NAT traversal: N-IPSec policy name: use1Sequence number : 10Acl Group : 3000Acl rule : 6Mode : ISAKMP-Connection ID : 14Encapsulation mode: TunnelTunnel local : 222.1.1.2Tunnel remote : 211.1.1.2Flow source : 10.10.10.0/255.255.255.0 0/0Flow destination : 192.168.10.0/255.255.255.0 0/0Qos pre-classify : DisableOutbound ESP SAs SPI: 2919121066 (0xadfe40aa)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-SHA1SA remaining key duration (bytes/sec): 1887390720/3424Max sent sequence-number: 3UDP encapsulation used for NAT traversal: NInbound
人人文库> 全部分类> 生活休闲 > 科普知识

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论