版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、目 录课程说明1实验说明1版本说明1实验目的1实验任务1相关资料1第 1 章 L2TP 配置指导2组网及业务描述2命令行列表2配置流程图4配置步骤4结果验证4FAQ6附加任务7配置参考7第 2 章 GRE 配置指导9组网及业务描述9命令行列表9配置流程图10配置步骤10结果验证11FAQ13配置参考13第 3 章 IPSec 配置指导16组网及业务描述16命令行列表16配置流程图19配置步骤20结果验证21FAQ22附加任务23配置参考23课程说明实验说明本实验指导书本主要介绍了 IP程,涵盖了当前的主要二/三层里各协议的基本业务配置方法及配置流技术,相信您能通过本指导书了解基本的IP业务的配
2、置方法及配置流程。版本说明本指导书适用于 VRP 版本 3.30,RELEASE 0008, VRP 版本 3.40,RELEASE0108 与 VRP 版本 5.10,RELEASE 0039实验目的了解 IP掌握 IP熟悉 IP的基本原理的配置流程的配置命令实验任务配置 L2TP配置 GRE配置 IPSec相关资料VRP3.30 操作手册 VRP3.30 命令手册 VRP3.40 操作手册 VRP3.40 命令手册 VRP5.10 操作手册VRP5.10 命令手册第1章 L2TP 配置指导组网及业务描述1.1图1-1路由器 RTA 与 RTD 通过 Serial 口相连,链路层封装 PPP
3、。RTA 与 RTD相连的接口配置发送 PPP 认证信息,并配置 IP 地址为 ppp-negotiate; RTD 与 RTA 相连的接口配置 PPP 认证。RTA 设备上连接 RTD 的接口必须为 PPP 链路,主要是通过 PPP 链路特点,实现发送用户名与其中 RTA 与 RTC 的 Lo。ack 地址作为私有网络进行相互1.2命令行列表表1-1操作版本命令使能 L2TPVRP 3.30VRP 3.40l2tp enableVRP 5.10l2tp enable创建 L2TP 组VRP 3.30VRP 3.40l2tp-group group-numberVRP 5.10l2tp-gro
4、up group-number设置本端隧道名称VRP 3.30VRP 3.40tunnel name nameVRP 5.10tunnel name name配置发起 L2TP 连接请求VRP 3.30start l2tp ip.X ip.X ip.X . 1.3 配置流程图操作版本命令的触发条件及LNS 地址VRP 3.40-name | fullusernameuser-name VRP 5.10start l2tp ip.X ip.X ip.X . -name | fullusernameuser-name 设置通道对端的名称VRP 3.30VRP 3.40allow l2tp virt
5、ual-template virtual-template-number remote remote-name -name VRP 5.10allow l2tp virtual-template virtual-template-number remote remote-name -name 启用隧道验证VRP 3.30VRP 3.40tunnel authenticationVRP 5.10tunnel authentication设置隧道验证的VRP 3.30VRP 3.40tunnel password simple | cipher passwordVRP 5.10tunnel pas
6、sword simple | cipher password设置用户名及VRP 3.30local-user username password simple | cipher passwordVRP 3.40local-user usernamepassword simple | cipher passwordVRP 5.10local-user username password simple | cipher password图1-21.4配置步骤(1)激活 L2TP在系统视图下,激活 L2TP;(2)创建 L2TP 组在系统视图下,创建 L2TP 组;(3)配置 LAC在 LAC 设备
7、下,进入 L2TP 组视图下,配置发起 L2TP 连接请求的触发条件及 LNS 地址,并根据需求配置额外功能;(4)配置 LNS在 LNS 设备下,进入 L2TP 组视图下,配置通道对端的名称,并根据需求配置额外功能; 说明:其中 RTA 与 RTC 的私有网络相互的路由信息。需要时由器都需要到达远端私网1.5结果验证(1)display l2tp tunnel/display l2tp ses立了一条 Tunnel;查看 l2tp 连接信息,可以看到建RTDdisplay l2tp tunnel激活 L2TP创建 L2TP 组配置 LAC配置 LNSLocalTID RemoteTID Re
8、moteAddressPort 1701Ses 1s RemoteName RTC1110.2.2.1Total tunnel = 1RTDdisplay l2tp sesLocalSID RemoteSID LocalTID29326112361Total ses= 1(2)通过display地址;erfaerial 2/0 路由器端口是否成功获取 LNS 分配的IPRTAdisplayerfaerial2/0Serial2/0 current se :UPLine protocol current se :UPDescription : Serial2/0erfaceTheum Trans
9、mit Unit is 1500, Hold timer is 10(sec)ernetwork Address is negotiated, 100.1.1.2/32Link layrotocol is PPPLCP opened, IPCP openedOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0 Output queue : (Protocol queue : Size/Length/Discards) 0/500/0 Output queue : (FIFO queuing : Size/Length/Disca
10、rds) 0/75/0 Physical layer is synchronous,Baudrate is 64000 bpserface is DCE, Cable type is V35Last 300 seconds input rate 4.11 bytes/sec, 0.22 packets/secLast 300 seconds output rate 4.21 bytes/sec, 0.22 packets/secInput: 1045 packets, 13286 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giant
11、s0 CRC, 0 align errors, 0 overruns0 dribbles, 0 aborts, 0 no buffers0 frame errors Output:1162 packets, 16432 bytes0 errors, 0 underruns, 0 colli0 deferredDTR=UP DSR=UP RTS=UP CTS=UPsDCD=UP(3)远端隧道端口的 IP 地址,检测隧道连通性;RTA100.1.1.1100.1.1.1: 56 data bytes, press CTRL_C to breakReply from 100.1.1.1: bytes
12、=56 Sequence=1 ttl=255 time=29 ms Reply from 100.1.1.1: bytes=56 Sequence=2 ttl=255 time=30 ms Reply from 100.1.1.1: bytes=56 Sequence=3 ttl=255 time=28 ms Reply from 100.1.1.1: bytes=56 Sequence=4 ttl=255 time=28 ms Reply from 100.1.1.1: bytes=56 Sequence=5 ttl=255 time=29 ms- 100.1.1.1sistics -5 p
13、acket(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 28/28/30 ms1.6FAQQ:组网图里出现 LAC 与 LNS,这两个设备是 L2TP 技术非常重要的两个设备,请问这两个设备的功能是什么?A:LAC 表示 L2TP集中器(L2TP Acs Concentrator),是附属在交换网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备。LNS 表示 L2TP网络服务器(L2TP Network Server),是 PPP 端系统上用于处理 L2TP 协议服务器端的设备
14、。LAC 一般是一个网络接入服务器 NAS,通过 PSTN/ISDN 网络为用户提供接入服务。LAC 位于 LNS 和远端系统(远地用户和远地分支机构)之间,把从远端系统收到的信息包按照 L2TP 协议封装并送往 LNS,将从 LNS 收到的信息解封装并送往远端系统。LAC 与远端系统之间可以采用本地连接或 PPP 链路,VPDN 应用中通常为PPP 链路。LNS 作为 L2TP 隧道的另一侧端点,是 LAC 的对端设备,是被 LAC进行隧道传输的 PPP 会话的逻辑终止端点。Q:L2TP 是基于什么协议来传输数据?端是什么?A:L2TP 数据以 UDP 报文的形式发送。L2TP了 UDP 1
15、701 端口,但这个端口仅用于初始的隧道建立过程中。L2TP 隧道发起方任选一个空闲的端口(未必是 1701)向接收方的 1701 端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是 1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。Q:请简单描述隧道与会话之间的关系?A:在一个 LNS 和 LAC 对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个 LNS 和 LAC 对;另一种是会话(Ses)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。同一对 LAC 和 LNS 之间可以建立多
16、个 L2TP 隧道,隧道由一个控制连接和一个或多个会话(Ses)组成。会话连接必须在隧道建立(包括保护、L2TP 版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于 LAC 和 LNS 之间的一个 PPP 数据流。控制消息和 PPP 数据报文都在隧道上传输。L2TP 使用o 报文来检测隧道的连通性。LAC 和 LNS 定时端发送o 报文,若在一段时间收到o 报文的应答,该会话将被清除。1.7 附加任务L2TP 是 VPDN 里的其中一种,它通过 LAC 拨号的方式来建立隧道,LAC 可以是路由器,也可以是终端设备,如 PC。请尝试用 PC 设备作为 LAC 拨号与LNS
17、建立隧道。配置参考1.81.8.1端口配置1. 配置 RTAsystem-viewRTAerfaerial 2/0RTA-Serial2/0ip address ppp-negotiate2. 配置 RTDsystem-viewRTDerfaerial 2/0RTD-Ethernet0/0ip address 10.2.2.2 255.255.255.2523. 配置 RTCsystem-viewRTCerface ethernet 0/0RTC-Ethernet0/0ip address 10.2.2.1 255.255.255.252RTCerface Virtual-Template 0
18、RTC-Virtual-Template0ip address 100.1.1.1 255.255.255.01.8.2L2TP 配置1. 配置 RTA(1)发送用户名及RTA-Serial2/0ppp chap user vpdnuser RTA-Serial2/0ppp chap password simple2. 配置 RTD(1)设置本地用户数据库RTDlocal-user vpdnusassword simple(2)配置认证方法RTD-Serial2/0ppp authentication-mode chap(3)配置 LACRTDl2tp enable RTDl2tp-group
19、 100RTD-l2tp100start l2tp ip 10.2.2.1 fullusername vpdnuser RTD-l2tp100tunnel password simple l2tp 说明:默认的情况下,隧道认证是被打开的。也就是说在隧道认证功能被打开的情况下需配置 LAC 与 LNS 双方一致的;在这里 LAC 隧道名的配置是可选的,因为在默认的情况下采用路由器本身的名字,即:RTD3. 配置 RTC(1)设置本地用户数据库RTClocal-user vpdnusassword simple(2)创建地址池Quidway-systemip pool 0 100.1.1.2 10
20、0.1.1.100(3)配置 virtual-template 端口RTCerface Virtual-Template 0RTC-Virtual-Template0ppp authentication-mode chap RTC-Virtual-Template0remote address pool 0(4)配置 LNSRTCl2tp enable RTCl2tp-group 100RTC-l2tp100tunnel password simple l2tpRTC-l2tp100allow l2tp virtual-template 0 remote RTD(5)重启 RTA 的 Seri
21、al2/0 和 RTD 的 Serial2/0RTA-Serial2/0shutdownRTA-Serial2/0undo shutdownRTD-Serial2/0shutdownRTD-Serial2/0undo shutdown 说明:在这里LAC 隧道名的配置必需与 LAC 的隧道名一致才能建立隧道,LAC与 LNS 在默认的情况下都采用路由器本身的名字,这可以通过人工手动更改;第2章 GRE 配置指导2.1组网及业务描述图2-1RTA、RTB、RTC 属于骨干网,它们之间运行 OSPF。RTA 和RTC 之间使用三层隧道协议GRE,实现RTA 和RTC 的Lo之间互联。当隧道建立以后
22、,配置 Tunnel 的路由ack2.2命令行列表表2-1操作版本命令创建 Tunnel 接口VRP 3.30VRP 3.40erface tunnelerface-numberVRP 5.10erface tunnelerface-number配置隧道接口供 GRE 或CRLSP 隧道使用VRP 3.30VRP 3.40tunnel-protocol greVRP 5.10tunnel-protocol gre设置 Tunnel 接口的源端地址VRP 3.30VRP 3.40source ip-address |erface-type erface-number VRP 5.10source
23、 ip-address |erface-type erface-number 设置 Tunnel 接口的目的VRP 3.30destination ip-address 说明:当在分布式设备上创建 Tunnel 接口时,建议 Tunnel 接口的槽号与所设置的源端接口所在槽位保持一致,即,使用发出 GRE 报文的实际接口的槽位号,这样可以提高转发效率。2.3配置流程图图2-2配置步骤2.4(1)创建 Tunnel 端口,产设置 IP 地址在边缘设备上,如 RTA 与 RTC 的系统视图下,创建 Tunnel 端口,并设置Tunnel 端口的 IP 地址;创建 Tunnel 端口,并设置 IP
24、地址指定源端地址指定目的地址配置Tunnel 的路由操作版本命令端地址VRP 3.40VRP 5.10destination ip-address配置静态路由VRP 3.30VRP 3.40ip route-sic destination-ip-address mask | mask-length tunneltunnel-numberVRP 5.10ip route-sic destination-ip-address mask | mask-length tunneltunnel-number(2)指定源端地址RTA 与 RTC 上都分别需要指定源端地址,即发出 GRE 报文的实际物理接口
25、IP 地址;在 Tunnel 端口视图下配置该命令;(3)指定目的地址RTA 与 RTC 上都分别需要指定目的地址,即接收 GRE 报文的实际物理接口IP 地址; 在 Tunnel 端口视图下配置该命令;(4)配置 Tunnel 的路由在 RTA 上设置一条到达 RTC 私网的静态路由,下一跳为远端的 Tunnel 地址;在 RTC 上设置一条到达 RTA 私网的静态路由,下一跳为远端的 Tunnel 地址;2.5结果验证(1)在 RTA 上通过 displayerface tunnel 0 查看 GRE 隧道端口信息RTAdisplayerface Tunnel 0Tunnel0 curre
26、nt se :UPLine protocol current s Description : Tunnel0e :UPerfaceTheum Transmit Unit is 64000ernetwork Address is 100.1.1.1/30Encapsulation is TUNNEL, loack not setTunnel source 10.1.1.1, destination 192.2.2.1 Tunnel keepalive disableTunnel protocol/transport GRE/IP, key disabled Checksumming of pac
27、kets disabledLast 300 seconds input: 0 bytes/sec, 0 packets/secLast 300 seconds output: 0 bytes/sec, 0 packets/sec0 packets input, 0 bytes0 input error0 packets output, 0 bytes0 output error(2)可以用 tracert 测试 tunnel 是否可用,可以看到 tracert 3.3.3.3 时,使用的是 tunnel 传输数据包。Rracert 192.2.2.1traceroute to 192.2.2.
28、1(192.2.2.1) 30 hops max,40 bytes packet 1 10.1.1.2 10 ms 1 ms 1 ms2 192.2.2.1 20 ms 18 ms 18 ms192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=255 time=35 ms*0.2640441 R*0.2640442UNNEL/8/debug:Tunnel0-Out: Mbuf length = 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPenca
29、psulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=2 ttl=255 time=34 ms*0.2640481 R*0.2640481UNNEL/8/debug:Tunnel0-Out: Mbuf length = 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPencapsulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=3 t
30、tl=255 time=35 ms*0.2640521 R*0.2640522UNNEL/8/debug:Tunnel0-Out: Mbuf length = 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPencapsulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=4 ttl=255 time=35 ms*0.2640561 R*0.2640561UNNEL/8/debug:Tunnel0-Out: Mbuf length =
31、 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPencapsulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=5 ttl=255 time=35 ms- 3.3.3.3sistics -5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 34/34/35 ms 说明:注:以上是在 debugging tunnel
32、 命令还没有关闭的情况下看到的。加黑的地方可以看到,两私网可以相互,另外每发往远端私网的数据都被经过 GRE 的封装,然后从指定源端口地址:10.1.1.1 发往指定目的端口:192.2.2.1。2.6 FAQQ:报文通过 Tunnel 从本私网到达远端私网,经过多少次封装过程?A:报文在 Tunnel 中传输包括加封装与解封装两个过程。Q:系统收到数据报文后,GRE 怎样处理然后转发?A:系统收到的需要封装和路由的数据报称为净荷(Payload),净荷首先被加上 GRE 封装,成为 GRE 报文;再被封装在 IP 报文中,这样 IP 层就可以完全负责此报文的转发(forward)。负责转发的
33、 IP 协议被称为传输协议( Delivery ProtocolProtocol)。或者 Transport配置参考2.72.7.1端口配置1. 配置 RTAsystem-viewRTAerface loack 0RTA-Loack0ip address 1.1.1.1 255.255.255.255RTAerface ethernet 0/0RTA-Ethernet0/0ip address 10.1.1.1 255.255.255.252 RTAerface Tunnel 0Runnel0ip address 100.1.1.1 255.255.255.2522. 配置 RTBsystem
34、-viewRTBerface loack 0RTB-Loack0ip address 2.2.2.2 255.255.255.255RTBerface ethernet 0/0RTB-Ethernet0/0ip address 10.1.1.2 255.255.255.252RTBerfaerial 2/0RTB-Serial2/0ip address192.2.2.2 255.255.255.2523. 配置 RTCsystem-viewRTC erface lo ack 0 RTC-Lo ack0ip address RTC erfa erial 2/0 RTC-Serial2/0ip a
35、ddress3.3.3.3 255.255.255.255192.2.2.1 255.255.255.252RTCerface Tunnel 0RTC-Tunnel0ip address 100.1.1.2 255.255.255.2522.7.2骨干网 IGP 配置1. 配置 RTA(1)指定 router IDRTArouter id 1.1.1.1(2)运行 OSPFRTAospf(3)创建区域 0,并通告网络RTA-ospf-1area 0RTA-ospf-1-area-0.0.0.0networkwork10.1.1.0 0.0.0.32. 配置 RTB(1)指定 router ID
36、RTBrouter id 2.2.2.2(2)RT运行 OSPFpf(3)RTRTRT创建区域 0,并通告网络pf-1area 0pf-1-area-0.0.0.0networkwork pf-1-area-0.0.0.0networkwork10.1.1.0 0.0.0.3192.2.2.0 0.0.0.33. 配置 RTC(1)指定 router IDRTCrouter id 3.3.3.3(2)运行 OSPFRTCospf(3)创建区域 0,并通告网络RTC-ospf-1area 0RTC-ospf-1-area-0.0.0.0network 192.2.2.0 0.0.0.32.7.3
37、GRE 配置1. 配置 RTA(1)R指定隧道源端口unnel0source 10.1.1.1(2)R指定隧道目的端口unnel0destination 192.2.2.1(3)配置隧道路由RTAip route-sic 3.3.3.3 255.255.255.255 Tunnel 02. 配置 RTC(1) 指定隧道源端口RTC-Tunnel0source 192.2.2.1(2) 指定隧道目的端口RTC-Tunnel0destination 10.1.1.1(3) 配置隧道路由RTCip route-sic 1.1.1.1 255.255.255.255 Tunnel 0 说明:由于隧道协
38、议默认为 GRE,因此在这令不需要配置 tunnel-protocol gre 命第3章 IPSec 配置指导3.1组网及业务描述图3-1在 RTA 和 RTC 之间建立一个安全隧道,对 RTA 上的 LookBack 地址与 RTC上的 Loack 地址之间的数据流进行安全保护。安全协议采用 ESP 协议,加密算法采用 DES,验证算法采用 SHA1-HMAC-96。3.2命令行列表表3-1操作版本命令在系统视图下,创建一个高级控制列表VRP 3.30VRP 3.40acl number acl-number match-order config | auto VRP 5.10acl num
39、ber acl-number match-order config | auto 在 ACL 视图下,配置控制规则VRP 3.30rule rule-id permit | deny protocol sourour-addrsour-wildcard | any destinationdest-addr dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code precedence precedence tos tos
40、 time-range time-name logging fragment -instance-instance-name VRP 3.40rule rule-id permit | deny protocol sourour-addrsour-wildcard | any destinationdest-addr dest-mask | any precedence precedence tos tos time-range time-name logging fragment -instance操作版本命令-instance-name VRP 5.10rule rule-id permi
41、t | deny protocol sourour-addrsour-wildcard | any destinationdest-addr dest-wildcard | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment -instance-instance-name 创建或修改安全提议并进入安全提议
42、视图VRP 3.30VRP 3.40ipsec proal proal-nameVRP 5.10ipsec proal proal-name设置安全提议采用的安全协议VRP 3.30VRP 3.40transform ah | esp | ah-esp |p |p |p VRP 5.10transform ah | esp | ah-esp |p |p |p 设置 ESP 协议采用的加密算法VRP 3.30VRP 3.40esp encryption-algorithm 3des |des | aes VRP 5.10esp encryption-algorithm 3des |des | a
43、es 设置 ESP 协议采用的验证算法VRP 3.30VRP 3.40esp authentication-algorithm md5| sha1 VRP 5.10esp authentication-algorithm md5| sha1 设置 AH 协议采用的验证算法VRP 3.30VRP 3.40ah authentication-algorithm md5 |sha1 VRP 5.10ah authentication-algorithm md5 |sha1 配置封装模式VRP 3.30VRP 3.40encapsulation-mode transport |tunnel VRP 5
44、.10encapsulation-mode transport |tunnel 创建安全策略并进入安全策略视图VRP 3.30VRP 3.40ipsec policy policy-nameseq-number isakmp templatetemplate-name |manualVRP 5.10ipsec policy policy-nameseq-number manual | isakmp 配置安全策略的访问控制列表VRP 3.30VRP 3.40security acl acl-number3.3 配置流程图操作版本命令VRP 5.10security acl acl-number在
45、安全策略中应用安全提议VRP 3.30VRP 3.40proal proal-name1 proal-name2. proal-name6 VRP 5.10proal proal-name1 proal-name2. proal-name6 配置隧道的本端地址VRP 3.30VRP 3.40tunnel local ip-addressVRP 5.10tunnel local ip-address配置隧道的对端地址VRP 3.30VRP 3.40tunnel remote ip-addressVRP 5.10tunnel remote ip-address配置安全的 SPIVRP 3.30VR
46、P 3.40sa spi inbound | outbound ah |esp spi-numberVRP 5.10sa spi inbound | outbound ah |esp spi-number配置协议的认证密钥(以字符串方式输入)VRP 3.30VRP 3.40sa string-key inbound | outbound ah | esp string-keyVRP 5.10sa string-key inbound | outbound ah | esp string-key配置协议的认证密钥(以16 进制方式输入)VRP 3.30VRP 3.40sa authenticat
47、ion-hex inbound |outbound ah | esp hex-keyVRP 5.10sa authentication-hex inbound |outbound ah | esp hex-key配置 ESP 协议的加密密钥(以 16 进制方式输入)VRP 3.30VRP 3.40sa encryption-hex inbound |outbound esp hex-keyVRP 5.10sa encryption-hex inbound |outbound esp hex-key在接口上应用安全策略或安全策略组VRP 3.30VRP 3.40ipsec policy poli
48、cy-nameVRP 5.10ipsec policy policy-name图3-2配置步骤3.4(1)配置 ACL在系统视图下,创建高级 ACL,指定加密数据的范围;配置 ACL配置静态路由配置安全提议选择隧道封装协议选择安全协议选择算法 创建安全策略ACL 及安全提议设置对端地址设置本端地址设置 SPI设置密钥相应端口上应用安全策略组(2)配置静态路由在系统视图下,为两边 Loack 地址建立连通性配置静态路由。(3)配置安全提议系统视图下创建安全提议,并命名安全提议。(4)选择隧道封装协议安全提议视图下,选择隧道协议:传输模式或隧道模式。默认为隧道模式。(5)选择安全协议安全提议视图下
49、,选择安全协议:ESP 或AH。默认为 ESP。(6)选择算法同样在安全提议视图下,选择加密算法及认证算法。(7)创建安全策略系统视图下,创建安全策略并选择协商方法为 Manual。(8)ACL 及安全提议安全策略视图下ACL 及安全提议。(9)设置对端地址安全策略视图下设置对端地址。对端地址为接收方的物理地址。(10) 设置本端地址安全策略视图下设置本端地址。本端地址为发送方的物理地址。(11) 设置 SPI安全策略视图下设置 SPI。设置 inbound 和 outbound 两个方向安全的参数。在安全隧道的两端设置的安全参数必须是完全匹配的。本端的入方向安全的 SPI 必须和对端的出方向
50、安全的 SPI 一样;本端的出方向安全的 SPI 必须和对端的入方向安全的 SPI 一样。(12) 配置安全使用的密钥请在安全策略视图下配置密钥。此配置任务仅用于 manual 方式的安全策略,用如下命令手工输入安全的密钥。对于采用 isakmp 协商方式的安全策略,无需手工配置密钥,IKE 将自动协商安全(13) 在接口上应用安全策略组的密钥。此配置任务将安全策略组应用到接口,从而实现对流经这个接口的不同的数据流进行不同的安全保护。如果所应用的安全策略是手工方式建立安全,会立即生成安全。如果所应用的是自动协商方式的安全,不会立即,只有当符合某 IPSec 安全策略的数据流从该接口外出时,才建
51、立安全会触发 IKE 去协商 IPSec 安全。3.5结果验证(1)打开 debug 信息并通过命令触发 Debug 信息;-a 3.3.3.3 1.1.1.11.1.1.1: 56 data bytes, press CTRL_C to break*0.1749201 RTCReply from*0.1749260 RTC*0.1749350 RTCReply from*0.1749440 RTCReply from*0.1749530 RTC*0.1749610 RTCReply from*0.1749700 RTCReply from*0.1749780 RTC*0.1749850 RT
52、CIPSEC/8/DBG:- Send IPSec packet -1.1.1.1: bytes=56 Sequence=1 ttl=255 time=44 ms IPSEC/8/DBG:Tunnel mode. Adding outer IP header succeed! IPSEC/8/DBG:Src:192.2.2.1 Dst:10.1.1.1 SPI:54321(0 x0000d431)1.1.1.1: bytes=56 Sequence=2 ttl=255 time=44 msIPSEC/8/DBG:New ESP(RFC2406) Enc Alg:DES Aulg:HMAC-SH
53、A1-961.1.1.1: bytes=56 Sequence=3 ttl=255 time=44 ms IPSEC/8/DBG:Authentication finished! New ESP(RFC2406) IPSEC/8/DBG:Encryption finished! New ESP(RFC2406) SN:16 1.1.1.1: bytes=56 Sequence=4 ttl=255 time=44 msIPSEC/8/DBG:Now send it to IP output pros.1.1.1.1: bytes=56 Sequence=5 ttl=255 time=44 msI
54、PSEC/8/DBG:- Receive IPSeP) packet -IPSEC/8/DBG:Src:10.1.1.1 Dst:192.2.2.1 SPI:12345(0 x00003039)- 1.1.1.1sistics -5 packet(s) transmitted5 packet(s) received*0.1749940 RTCIPSEC/8/DBG:New ESP(RFC2406) Enc Alg:DES Aulg:HMAC-SHA1-960.00% packet lossround-trip min/avg/max = 44/44/44 ms*0.1750030 RTC IP
55、SEC/8/DBG:ESP new input: Authentication succeed!*0.1750110 RTC IPSEC/8/DBG:Decryption succeed!*0.1750170 RTC IPSEC/8/DBG:Tunnel mode.Src:1.1.1.1Dst:3.3.3.3 说明:两网络可以相互通,并通过 Debug 信息可以清楚看到,数据在传输时所经过的封装以及解封装的过程。(2)另外也可以通过使用 display ipsec policy 查看策略信息display ipsec policy=IPsec Policy Group: policy1Usin
56、gerface: Serial2/0=IPsec policy name: policy1 sequence number: 1mode: manualsecurity data flow : 3000tunnel local address: 192.2.2.1 tunnel remote address: 10.1.1.1proal name:tran1inbound AH setting:AH spi:AH string-key:AH authentication hex key: inbound ESP setting:ESP spi: 12345 (0 x3039)ESP strin
57、g-key: abcde ESP encryption hex key:ESP authentication hex key: outbound AH setting:AH spi:AH string-key:AH authentication hex key: outbound ESP setting:ESP spi: 54321 (0 xd431)ESP string-key: edcba ESP encryption hex key:ESP authentication hex key:3.6FAQQ:IPSec 有两个安全协议,分别是什么?他们之间不同?A:IPSec 通过 AH(Au
58、thentication Header,认证头)和 ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。AH 是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH 并不加密所保护的数据报。ESP 是封装安全载荷协议,它除提供 AH 协议的所有功能之外(但其数据完整性校验不包括 IP 头),还可提供对 IP 报文的加密功能。Q:IKE 到底是什么协议?是不一定要与 IPSec 一齐使用?A:IKE 用于协商 AH 和 ESP 所使用的算法,并将算法所需的必备密钥放到恰当位置。IKE 协商并不是必须的
59、,IPSec 所使用的策略和算法等也可以手工协商。3.7附加任务参加操作手册,IPSec 组合 IKE 实现RTA 和 RTC 之间建立一个安全隧道,对RTA 上的 LookBack 地址与 RTC 上的 Loack 地址之间的数据流进行安全保护。安全协议采用 ESP 协议,加密算法采用 DES , 验证算法采用SHA1-HMAC-96。3.8配置参考3.8.1端口配置1. 配置 RTAsystem-view RTAerface loack 0RTA-Loack0ip address 1.1.1.1 255.255.255.255 RTAerface ethernet 0/0RTA-Ether
60、net0/0ip address 10.1.1.1 255.255.255.2522. 配置 RTBsystem-viewRTBerface loack 0RTB-Loack0ip address 2.2.2.2 255.255.255.255RTBerface ethernet 0/0RTB-Ethernet0/0ip address 10.1.1.2 255.255.255.252RTBerfaerial 2/0RTB-Serial2/0ip address192.2.2.2 255.255.255.2523. 配置 RTCsystem-viewRTCerface loack 0 RTC-
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年金属包装容器及其附件合作协议书
- 2025年滤紫外石英玻璃灯管合作协议书
- 九年级综合实践课教学计划1
- 2025年二年级上学期班主任工作总结(3篇)
- 口外-唾液腺疾病诊疗考核试题
- 2025年个人简单门面出租合同(2篇)
- 2025年产品订购合同经典版(4篇)
- 2025年个人车位转让合同参考样本(4篇)
- 2025年交通意外保险协议样本(2篇)
- 2025年互助拼车的协议(2篇)
- 电网工程设备材料信息参考价(2024年第四季度)
- 2025年江苏农牧科技职业学院高职单招职业技能测试近5年常考版参考题库含答案解析
- 2025江苏连云港市赣榆城市建设发展集团限公司招聘工作人员15人高频重点提升(共500题)附带答案详解
- 江苏省扬州市蒋王小学2023~2024年五年级上学期英语期末试卷(含答案无听力原文无音频)
- 山西省大同市基层诊所医疗机构卫生院社区卫生服务中心村卫生所室地址信息
- 项目部、公司成本管理流程图
- 高中英语选择性必修二 Unit 1 Period 1 Reading and thinking(课件)(共38张)
- 小学生电子小报通用模板-A4电子小报15
- CAS云计算软件平台深入介绍
- 课堂教学方法与手段(课堂PPT)课件(PPT 16页)
- 氯盐型和环保型融雪剂发展现状
评论
0/150
提交评论