IKE典型配置

 声明: 本实验均在H3C模拟器上进行,实际以组网需求为准

 一、IKE野蛮模式及NAT穿越配置

      1.组网图

          

      2.组网需求

          RAT在NAT网关内侧,要求在RTA与RTB之间建立IPSec隧道,对Host_1所在子网10.138.0.0/16和

        Host_2所在子网10.139.0.0/16之间数据进行保护。具体要求如下:

  •        协商双方使用缺省的IKE提议
  •        协商方式为野蛮模式协商
  •        第一阶段协商的认证方法为预共享密钥认证

      3.配置步骤

          配置RTA

            //配置一条ACL,定义要保护10.138.0.0/16子网与10.139.0.0/16子网之间的数据流

            <RTA>sys

            [RTA]acl advanced 3001

            [RTA-acl-ipv4-adv-3001]rule 0 permit ip source 10.138.0.0 0.0.255.255 destination

           10.139.0.0 0.0.255.255

            [RTA-acl-ipv4-adv-3001]quit

            //创建并配置IPSec安全提议,采用安全协议为ESP,认证算法为3DES,加密算法为SHA1

            [RTA]ipsec transform-set tran_a

            [RTA-ipsec-transform-set-tran_a]protocol esp

            [RTA-ipsec-transform-set-tran_a]esp encryption-algorithm 3des-cbc

            [RTA-ipsec-transform-set-tran_a]esp authentication-algorithm sha1

            [RTA-ipsec-transform-set-tran_a]quit

            //创建并配置IKE keychain,名称为keychain_a,对端IP地址为2.2.2.1/24,使用预共享密钥为

          //明文201507079

            [RTA]ike keychain keychain_a

            [RTA-ike-keychain-keychain_a]pre-shared-key address 2.2.2.1 255.255.255.0 key

           simple 201507079

            [RTA-ike-keychain-keychain_a]quit

            //创建并配置IKE profile,名称为profile_a,引用IKE keychainkeychain_a,协商模式为野蛮

          //模式,匹配本端身份的规则为FQDN, 名称为www.rta.com,对端身份规则为IP地址2.2.2.1/24

            //FQDN是实体在网络中的唯一标识,由一个主机名和一个域名组成,形式为

          //hostname@domainname,参照match remote命令

            [RTA]ike profile profile_a

            [RTA-ike-profile-profile_a]keychain keychain_a

            [RTA-ike-profile-profile_a]exchange-mode aggressive

            [RTA-ike-profile-profile_a]local-identity fqdn www.rta.com

            [RTA-ike-profile-profile_a]match remote identity address 2.2.2.1 255.255.255.0

            [RTA-ike-profile-profile_a]quit

            //创建并配置一条IKE协商方式的安全策略,名称为policy_a,顺序号为1

            [RTA]ipsec policy policy_a 1 isakmp

            //对端地址为2.2.2.1

            [RTA-ipsec-policy-isakmp-policy_a-1]remote-address 2.2.2.1

            //引用安全提议为tran_a

            [RTA-ipsec-policy-isakmp-policy_a-1]transform-set tran_a

            //指定引用ACL 3001

            [RTA-ipsec-policy-isakmp-policy_a-1]security acl 3001

            //指定引用IKE profile为profile_a

            [RTA-ipsec-policy-isakmp-policy_a-1]ike-profile profile_a

            [RTA-ipsec-policy-isakmp-policy_a-1]quit

            //在接口g0/0上应用IPSec安全策略policy_a

            [RTA]int g0/0

            [RTA-GigabitEthernet0/0]ipsec apply policy policy_a

            [RTA-GigabitEthernet0/0]quit

            //配置到Host_2所在子网的静态路由

            [RTA]ip route-static 10.139.0.0 255.255.0.0 2.2.2.1

          RTB配置:

            //创建并配置IPSec安全提议,采用安全协议为ESP,加密算法为3des,认证算法为sha1  

            [RTB]ipsec transform-set tran_a

            [RTB-ipsec-transform-set-tran_a]protocol esp

            [RTB-ipsec-transform-set-tran_a]esp encryption-algorithm 3des-cbc

            [RTB-ipsec-transform-set-tran_a]esp authentication-algorithm sha1

            [RTB-ipsec-transform-set-tran_a]quit

            //创建并配置IKE keychain,名称为keychain_a,对端IP为1.1.2.1,预共享密钥为明文

          //201507079

            [RTB]ike keychain keychain_a

            [RTB-ike-keychain-keychain_a]pre-shared-key address 1.1.2.1 255.255.255.0 key

          simple 201507079

            [RTB-ike-keychain-keychain_a]quit

            //创建并配置IKE profile,名称为profile_a

            [RTB]ike profile profile_a

            //指定引用IKE keychain为keychain_a

            [RTB-ike-profile-profile_a]keychain keychain_a

            //协商方式为野蛮模式

            [RTB-ike-profile-profile_a]exchange-mode aggressive

            //配置匹配对端身份的规则为FQDN,名称为www.rta.com

            [RTB-ike-profile-profile_a]match remote identity fqdn www.rta.com

            [RTB-ike-profile-profile_a]quit

            //创建并配置IKE协商方式IPSec安全策略模板,名称为temp_a,顺序号为1

            [RTB]ipsec policy-template temp_a 1

            //引用安全提议为tran_a

            [RTB-ipsec-policy-template-temp_a-1]transform-set tran_a

            //IPSec本端IP为2.2.2.1

            [RTB-ipsec-policy-template-temp_a-1]local-address 2.2.2.1

            //引用IKE profile为profile_a

            [RTB-ipsec-policy-template-temp_a-1]ike-profile profile_a

            [RTB-ipsec-policy-template-temp_a-1]quit

            //引用IPSec安全策略模板创建一条IKE协商方式的IPSec安全策略,名称为policy_a,顺序号为1

            [RTB]ipsec policy policy_a 1 isakmp template temp_a

            //在街口s1/0应用安全策略policy_a

            [RTB-Serial1/0]ipsec apply policy policy_a

            [RTB-Serial1/0]quit

            //配置Host_1所在子网的静态路由

            [RTB]ip route-static 10.138.0.0 255.255.0.0 1.1.2.1

          配置NAT:

            //配置一条ACL,允许子网10.138.0.0/16的数据流通过

            <NAT>sys

            [NAT]acl basic 2017

            [NAT-acl-ipv4-basic-2017]rule permit source 10.138.0.0 0.0.255.255

            //创建NAT地址池

            [NAT]nat address-group 0

            [NAT-address-group-0]address 1.1.1.3 1.1.1.5

            [NAT-address-group-0]quit

            //在接口s1/0上启用NAT

            [NAT]int s1/0

            [NAT-Serial1/0]nat outbound 2017 address-group 0

            [NAT-Serial1/0]quit

       4.验证配置

          子网10.138.0.0/16向子网10.139.0.0/16发送数据,触发IKE协商,查看RTA上IKE第一阶段协商

          成功后生产的IKE SA

            

          查看IKE第二阶段协商生成的IPSec SA

            

          查看NAT转换信息

            

    

   注:

     参考来源有:

       H3C网络学院系列教材 路由与交换技术 第一卷 (下册)

       H3C MSR 系列路由器 配置指导(V7)-6W103

       H3C模拟器实验之网络地址转换

原文地址:https://www.cnblogs.com/x-1204729564/p/8157234.html

时间: 2024-11-10 01:46:13

IKE典型配置的相关文章

华为--PPP典型配置举例

  PAP验证举例 1. 配置需求 路由器HangZhou和NingBo之间用接口S0/0/0互联,要求路由器HangZhou(验证方)以PAP方式验证路由器NingBo. [HangZhou] [HangZhou]int s0/0/0 [HangZhou-Serial0/0/0]ip add 192.168.12.1 24 [NingBo]int s0/0/0 [NingBo-Serial0/0/0]ip add 192.168.12.2 24 配置步骤: 1. 配置路由器HangZhou(验

JVM调优总结(七)-典型配置举例1

以下配置主要针对分代垃圾回收算法而言. 堆大小设置 年轻代的设置很关键 JVM中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制:系统的可用虚拟内存限制:系统的可用物理内存限制.32位系统下,一般限制在1.5G~2G:64为操作系统对内存无限制.在Windows Server 2003 系统,3.5G物理内存,JDK5.0下测试,最大可设置为1478m. 典型设置: java -Xmx3550m -Xms3550m -Xmn2g –Xss128k -Xmx3550

JVM调优总结(5):典型配置

以下配置主要针对分代垃圾回收算法而言. 堆大小设置 年轻代的设置很关键 JVM中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制:系统的可用虚拟内存限制:系统的可用物理内存限制.32位系统下,一般限制在1.5G~2G:64为操作系统对内存无限制.在Windows Server 2003 系统,3.5G物理内存,JDK5.0下测试,最大可设置为1478m. 典型设置: java -Xmx3550m -Xms3550m -Xmn2g –Xss128k -Xmx3550

深入理解_JVM内存管理典型配置举例09

以下配置主要针对分代垃圾回收算法而言: 1.堆大小设置: 年轻代的设置很关键JVM中最大堆大小有三方面限制: (1)相关操作系统的数据模型(32-bt还是64-bit)限制: (2)系统的可用虚拟内存限制: (3)系统的可用物理内存限制.32位系统下,一般限制在1.5G~2G:64为操作系统对内存无限制.在Windows Server 2003 系统,3.5G物理内存,JDK5.0下测试,最大可设置为1478m. 典型设置: (1)场景一: java -Xmx3550m -Xms3550m -X

基于端口的VLAN典型配置指导

本文为转发,简单明了,我喜欢 VLAN典型配置全过程如下: 组网图 图1-1 基于端口的VLAN组网示意图 应用要求 如图1-1所示,Switch A和Switch B分别连接了不同部门使用的Host1/Host2和Server1/Server2. 为保证部门间数据的二层隔离,现要求将Host1和Server1划分到VLAN100中,Host2和Server2划分到VLAN200中.并分别为两个VLAN设置描述字符为“Dept1”和“Dept2”. 在SwitchA上配置VLAN接口,对Host

spring-cloud-Zuul学习(一)--典型配置【重新定义spring cloud实践】

引言 上一节是一个最基本的zuul网关实例,它是整个spring-cloud生态里面“路由-服务”的一个缩影,后续也就是锦上添花.这节主要讲述zuul的一些基本典型配置,包括路由与一些增强配置. 路由配置 zuul作为微服务的“路由器”,有很多的路由功能: 路由配置简化与规则 前面单实例serviceId映射: zuul: routes: client-a: path: /client/** serviceId: client-a 是从/client/**到client-a服务的映射规则,其实还

Spring+Hibernate的典型配置

Spring 框架提供了对 Hibernate.JDO 和 iBATIS SQL Maps 的集成支持.Spring 对 Hibernate 的支持是第一级的,整合了许多 IOC 的方便特性,解决了许多典型的 Hibernate 集成问题.框架对 Hibernate 的支持符合 Spring 通用的事务和数据访问对象(DAO)异常层次结构. 1.配置datasource 现在常用的开源数据连接池主要有c3p0.dbcp和proxool三种,其中:hibernate开发组推荐使用c3p0:spri

H3C ipsec ike 协商配置

1. 分几步设置 (1)定义ACL (2)创建 ipsec 安全建议 (3)创建IKE keychain (4)创建IKE profile (5)创建一条IKE协商方式的IPsec安全策略 2.配置 (1) 配置 Device A 配置各接口的IP地址,具体略. 配置 ACL 3101,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流. <DeviceA> system-view [DeviceA] acl number 3101 [DeviceA-acl-adv-3

Nginx--try_files 典型配置

参考配置 server { listen 80; server_name 10.10.76.231; root html; index index.html index.php; #1  跳转指定文件 location /web { try_files /1.html /2.html /3.html; } #2  跳转指定页面 location /home { try_files /1.html /2.html @static; } location @static  { rewrite ^/(