配置采用手工方式建立IPSec隧道


微信公众号:网络民工
组网需求

如图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于维护网关较少,可以考虑采用手工方式建立IPSec隧道。

图1 配置采用手工方式建立IPSec隧道组网图

操作步骤

  1. RouterA的配置

#

sysname RouterA

#

acl number 3101 //配置ACL 3101,匹配从分支子网到总部子网的流量

rule 5 permit ip source 10.1.1.0 0.0.0.255destination 10.1.2.0 0.0.0.255

#

ipsec proposaltran1 //配置IPSec安全提议

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

#

ipsec policy map110 manual //配置手动方式安全策略

security acl 3101

proposal tran1

tunnel local 1.1.1.1

tunnel remote 2.1.1.1

sa spi inbound esp 54321

sa string-key inbound esp cipher%^%#JvZxR2g8c;a9~FPN~n‘$7`DEV&=G(=Et02P/%*!%^%# //配置入方向SA的认证密钥为huawei

sa spi outbound esp 12345

sa string-key outbound esp cipher%^%#K{JG:rWVHPMnf;5|,GW(Luq‘qi8BT4nOj%5W5=)%^%# //配置出方向SA的认证密钥为huawei

#

interfaceGigabitEthernet1/0/0

ip address 1.1.1.1 255.255.255.0

ipsec policy map1

#

interfaceGigabitEthernet2/0/0

ip address 10.1.1.1 255.255.255.0

#

ip route-static2.1.1.0 255.255.255.0 1.1.1.2 //配置一条目的地址是总部外网出口的静态路由

ip route-static10.1.2.0 255.255.255.0 1.1.1.2 //配置一条目的地址是总部内网的静态路由

#

return

  1. RouterB的配置

#

sysname RouterB

#

acl number3101 //配置ACL3101,匹配从总部子网到分支子网的流量

rule 5 permit ip source 10.1.2.0 0.0.0.255destination 10.1.1.0 0.0.0.255

#

ipsec proposaltran1 //配置IPSec安全提议

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

#

ipsec policy use110 manual //配置手动方式安全策略

security acl 3101

proposal tran1

tunnel local 2.1.1.1

tunnel remote 1.1.1.1

sa spi inbound esp 12345

sa string-key inbound esp cipher%^%#IRFGEiFPJ1$&a‘Qy,LXQL_+Grq-=yMb}ULZdS6%^%# //配置入方向SA的认证密钥为huawei

sa spi outbound esp 54321

sa string-key outbound esp cipher %^%#(3fr1!&6O=)!GN#~{)n,2fq>4#4+%;lMTs5(]:c)%^%# //配置出方向SA的认证密钥为huawei

#

interfaceGigabitEthernet1/0/0

ip address 2.1.1.1 255.255.255.0

ipsec policy use1

#

interfaceGigabitEthernet2/0/0

ip address 10.1.2.1 255.255.255.0

#

ip route-static1.1.1.0 255.255.255.0 2.1.1.2 //配置一条目的地址是分支外网出口的静态路由

ip route-static10.1.1.0 255.255.255.0 2.1.1.2 //配置一条目的地址是分支内网的静态路由

#

return

  1. 验证配置结果

在RouterA上执行display ipsec sa命令,可以查看IPSec隧道上配置的信息。

配置注意事项

· 分支的ACL需要与总部ACl互为镜像。

· 总部和分支之间的外网地址路由可达。

· 所有的IPSec策略都绑定在对应的外网出接口上。

· 总部和各个分支之间都采用相同的pre-shared-key。

微信公众号:网络民工

原文地址:https://blog.51cto.com/jiajunjie/2486867

时间: 2024-11-08 19:44:02

配置采用手工方式建立IPSec隧道的相关文章

ipsec隧道无法建立排查步骤

一.检查公网是否可达 操作步骤 1.执行命令行display current-configuration interface GigabitEthernet 1/0/1?,检查接口是否允许ping访问. [HUAWEI] display current-configuration interface GigabitEthernet 1/0/1 interface GigabitEthernet1/0/1ip address 117.78.X.X 255.255.255.192 service-m

阿里云从IPSec隧道迁移至物理专线

我司云上网络采用的是蚂蚁金融云.原先由于专线没有架设,业务建设刻不容缓,于是我司技术上采用IPSec公网隧道临时将云上云下网络打通.由于近期发现IPSec隧道不稳定,且因为兼容原因导致部分数据时断时续.因此,我司加快了专线部署进度.终于,在近日完成了整个数据业务的线路切换.首先,和供应商完成线路对接.然后,供应商会在网上开通一个VBR.甲方接收好VBR,并分配设置互联IP网段.可以考虑多分配几个地址,用于供应商对链路质量的监控和故障排查.完成VBR配置后,就开始建立高速通道的路由器接口,路由器接

[转]两台linux建立GRE隧道

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://333234.blog.51cto.com/323234/931805 1.拓扑图: 备注:因为应用原因,需要在linux2上添加一个公网地址,并且在中间路由设备不受控制的情况下,Linux1能访问到linux2上面的公网地址. 2.基本接口配置: linux1:192.168.10.1/24 linux2:192.168.20.2/24 R1: interface FastEt

采用掩码方式简化产品国家地区支持能力的表示

一.背景描述 某系列产品中,不同产品.国家和地区支持不同的配置项(但差异不大).各配置项均由其BranchLeaf结点值(BLV)唯一标识. 作为ONU通用配置媒介之一,某模块对各配置项创建合法性校验函数IsBranchLeafValid(-),其中包含的结点列表表示产品缺省支持的所有配置项,类似"白名单":此外根据各国家地区的要求创建屏蔽函数IsBranchLeafScreened (-),其中包含的结点列表表示该国家/地区不予支持的配置项,类似"黑名单".其中,

STM32的串口采用DMA方式接收数据测试(转)

STM32的串口采用DMA方式接收数据测试 本文博客链接:http://blog.csdn.net/jdh99,作者:jdh,转载请注明.   参考链接:http://www.amobbs.com/forum.PHP?mod=viewthread&tid=5511863&highlight=dma%E6%8E%A5%E6%94%B6   环境: 主机:WINXP 开发环境:MDK4.23 MCU:STM32F103CBT6 说明: 串口可以配置成用DMA的方式接收数据,不过DMA需要定长才

Android 采用post方式提交数据到服务器

接着上篇<Android 采用get方式提交数据到服务器>,本文来实现采用post方式提交数据到服务器 首先对比一下get方式和post方式: 修改布局: <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://schemas.android.com/tools" android:layout_width="m

MyEclipse10.0 采用插件方式安装 SVN

一.到官方上下载svn1.8.3,下载后的文件名叫site-1.8.3.zip 地址:http://subclipse.tigris.org/servlets/ProjectDocumentList?folderID=2240 这里有很多版本,请自己选择合适的: 二.解压,删除解压后得到的文件中除了名叫features 和plugins 的两个文件夹以外的其他所有文件. 方法1: a) 在MyEclipse10.0 的安装目录中自己新建一个文件夹(我的叫MyPlugins)然后把解压并删除过文件

主机win7,VMware中debian6采用NET方式上网

很久以前就是net方式上网,最近重装虚拟机后上不去网了,弄了半天才成功,必须记下来免得以后又忘了 以下是网上找的方法,但是第2步不需要 原文地址http://www.cnblogs.com/sophine/archive/2012/04/26/2471227.html 1.现在安装好的虚拟机中设置网络连接为 NAT 2.在WIN7电脑的本地连接中设置如下:(不需求这步,跳过) 3.在VMware Nerwrk Adapter VMnet8  中设置IP 为192.168.137.1 (这个ip

大企业总部和分部采用何种方式组网

随着企业的规模不断扩展,业务分支和办公服务地点覆盖全国,甚至向全球发展.这就要求企业组织要及时的更新和优化自己的网络规划以便能够高效的管理企业,促进企业信息化建设,提高自己企业的核心竞争力,那么企业总部与分部之间如何组网呢?采用什么方式的组网解决方案更适合呢? 企业VPN组网意义: 企业VPN组网主要帮企业组建自己的专属网络,包括本地和跨区域的企业专网,可以满足企业ERP.邮件.服务器.数据传输.电话会议和视频会议等需求,特别是对延时比较敏感的应用,组建企业专网是最优先的解决方法. 企业VPN组