- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
73-MSR係列路由器一端固定IP,另一端撥號動態獲取地址的IPsec通信的配置舉例
本章節下載: 73-MSR係列路由器一端固定IP,另一端撥號動態獲取地址的IPsec通信的配置舉例 (148.78 KB)
MSR係列路由器一端固定IP,另一端撥號動態獲取地址的IPsec通信配置舉例
|
Copyright © 2014杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
本文檔介紹MSR係列路由器一端固定IP,另一端撥號動態獲取地址的IPsec通信的典型配置案例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解IPsec和PPP的特性。
如圖1所示,Router A為企業分支網關,Router B為企業總部網關。企業分支使用撥號方式獲取動態IP地址接入Internet,企業總部使用固定的IP地址接入Internet。要求基於ACL采用IKE方式建立IPsec安全隧道,對分支子網與總部子網之間的所有數據流進行安全保護。
圖1 一端固定IP,另一端撥號動態獲取地址的IPsec通信配置組網圖
· 為了讓Router A使用撥號方式獲取動態IP地址接入Internet,需要將Router A配置成PPPoE Client。
· 為了讓受保護的流量觸發安全策略,需要對Router A和Router B配置不對IPsec數據流進行NAT轉換。
本舉例是在Release 2317版本上進行配置和驗證的。
# 配置接口Ethernet0/1的IP地址。
<RouterA> system-view
[RouterA] interface ethernet 0/1
[RouterA-Ethernet0/1] ip address 192.168.1.1 255.255.255.0
[RouterA-Ethernet0/1] quit
# 配置NAT轉換的ACL。
[RouterA] acl number 2000
[RouterA-acl-basic-2000] rule 0 permit
[RouterA-acl-basic-2000] quit
# 配置ACL,定義由192.168.1.0/24到172.16.1.0/24的數據流。
[RouterA] acl number 3000
[RouterA-acl-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination
172.16.1.0 0.0.0.255
[RouterA-acl-adv-3000] quit
# 創建一個IKE對等體,並進入IKE-Peer視圖。
[RouterA] ike peer peer
# 配置IKE第一階段的協商模式為野蠻模式。
[RouterA-ike-peer-peer] exchange-mode aggressive
# 配置預共享密鑰。
[RouterA-ike-peer-peer] pre-shared-key 123
# 配置對端安全網關IP地址。
[RouterA-ike-peer-peer] remote-address 1.1.1.2
# 啟用NAT穿越功能。
[RouterA-ike-peer-peer] nat traversal
[RouterA-ike-peer-peer] quit
# 采用安全提議的缺省配置。
[RouterA] ipsec proposal def
# 配置ESP協議采用md5認證算法。
[RouterA-ipsec-transform-set-def] esp authentication-algorithm md5
[RouterA-ipsec-transform-set-def] quit
# 創建IPsec安全策略policy,其協商方式為isakmp。
[RouterA] ipsec policy policy 1 isakmp
# 配置IPsec安全策略引用的訪問控製列表。
[RouterA-ipsec-policy-isakmp-policy-1] security acl 3000
# 在IPsec安全策略中引用IKE對等體。
[RouterA-ipsec-policy-isakmp-policy-1] ike-peer peer
# 配置IPsec安全策略所引用的IPsec安全提議。
[RouterA-ipsec-policy-isakmp-policy-1] proposal def
[RouterA-ipsec-policy-isakmp-policy-1] quit
# 對從企業分支網絡出來的所有報文作NAT轉換。
[RouterA] interface dialer 0
[RouterA-Dialer0] nat outbound 2000
[RouterA-Dialer0] link-protocol ppp
# 配置ppp驗證的用戶名。
[RouterA-Dialer0] ppp chap user test
# 配置ppp驗證的密碼。
[RouterA-Dialer0] ppp chap password simple test
# 本端口IP地址由ppp協商獲得。
[RouterA-Dialer0] ip address ppp-negotiate
# 配置撥號用戶為pppoe。
[RouterA-Dialer0] dialer user pppoe
# 配置撥號捆綁,用於綁定物理接口。
[RouterA-Dialer0] dialer bundle 1
# 配置不對IPsec數據流進行NAT轉換。
[RouterA-Dialer0] ipsec no-nat-process enable
# 在接口上應用安全策略。
[RouterA-Dialer0] ipsec policy policy
[RouterA-Dialer0] quit
# 配置PPPoE會話。
[RouterA] interface ethernet 0/0
[RouterA-Ethernet0/0] pppoe-client dial-bundle-number 1
[RouterA-Ethernet0/0] quit
# 配置到總部網絡的靜態路由。
[RouterA] ip route-static 172.16.1.0 255.255.255.0 dialer 0
# 配置接口Ethernet0/1的IP地址。
<RouterB> system-view
[RouterB] interface ethernet 0/1
[RouterB-Ethernet0/1] ip address 172.16.1.1 255.255.255.0
[RouterB-Ethernet0/1] quit
# 配置NAT轉換的ACL。
[RouterB] acl number 2000
[RouterB-acl-basic-2000] rule 0 permit
[RouterB-acl-basic-2000] quit
# 配置ACL,定義由172.16.1.0/24到192.168.1.0/24的數據流。
[RouterB] acl number 3000
[RouterB-acl-adv-3000] rule 0 permit ip source 172.16.1.0 0.0.0.255
destination 192.168.1.0 0.0.0.255
[RouterB-acl-adv-3000] quit
# 創建一個IKE對等體,並進入IKE-Peer視圖。
[RouterB] ike peer peer
# 配置IKE第一階段的協商模式為野蠻模式。
[RouterB-ike-peer-peer] exchange-mode aggressive
# 配置預共享密鑰。
[RouterB-ike-peer-peer] pre-shared-key 123
# 啟用NAT穿越功能。
[RouterB-ike-peer-peer] nat traversal
[RouterB-ike-peer-peer] quit
# 采用安全提議的缺省配置。
[RouterB] ipsec proposal def
# 配置ESP協議采用md5認證算法。
[RouterA-ipsec-transform-set-def] esp authentication-algorithm md5
[RouterA-ipsec-transform-set-def] quit
# 創建一個IPsec安全策略模板,並進入IPsec安全策略模板視圖。
[RouterB] ipsec policy-template test 1
# 配置IPsec安全策略引用的訪問控製列表。
[RouterB-ipsec-policy-isakmp-policy-1] security acl 3000
# 在IPsec安全策略中引用IKE對等體。
[RouterB-ipsec-policy-template-test-1] ike-peer peer
# 配置IPsec安全策略所引用的IPsec安全提議。
[RouterB-ipsec-policy-template-test-1] proposal def
[RouterB-ipsec-policy-template-test-1] quit
# 引用IPsec安全策略模板創建一條IPsec安全策略。
[RouterB] ipsec policy policy 1 isakmp template test
# 對從企業總部網絡出來的所有報文作NAT轉換。
[RouterB] interface ethernet 0/0
[RouterB-Ethernet0/0] nat outbound 2000
[RouterB-Ethernet0/0] ip address 1.1.1.2 255.255.255.0
# 配置不對Ipsec數據流進行NAT轉換。
[RouterB-Ethernet0/0] ipsec no-nat-process enable
# 在接口上應用安全策略。
[RouterB-Ethernet0/0] ipsec policy policy
[RouterB-Ethernet0/0] quit
# 配置到分支網絡的靜態路由,下一跳指向上行網關地址。
[RouterB] ip route-static 192.168.1.0 255.255.255.0 1.1.1.1
以上配置完成之後,當Router A的接口Ethernet0/0完成自動撥號後,Router A會自動發起與Router B之間的IKE協商。當IKE協商完成之後,Router A和Router B即可滿足組網需求,對總部和分支的數據流進行安全保護。這裏以Router A為例進行驗證,Router B的驗證方法相同。
# 在Router A上可以ping通Router B連接的總部私網地址。
<RouterA> ping -a 192.168.1.1 172.16.1.1
PING 172.16.1.1: 56 data bytes, press CTRL_C to break
Reply from 172.16.1.1: bytes=56 Sequence=0 ttl=255 time=3 ms
Reply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=2 ms
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=255 time=3 ms
Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=255 time=3 ms
Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=255 time=3 ms
--- 172.16.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/2/3 ms
# 可以通過如下顯示信息看到,Router A作為發起方已與Router B協商生成了兩個階段的SA。
<RouterA> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------------
24 1.1.1.2 RD|ST 1 IPSEC
25 1.1.1.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT RK—REKEY
# 可以通過如下顯示信息查看協商生成的IPsec SA。
<RouterA> display ipsec sa
===============================
Interface: Ethernet0/0
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "policy"
sequence number: 1
acl version: ACL4
mode: isakmp
-----------------------------
PFS: N, DH group: none
tunnel:
local address: 1.1.1.1
remote address: 1.1.1.2
flow:
sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 172.16.1.0/255.255.255.0 port: 0 protocol: IP
[inbound ESP SAs]
spi: 0xBACB0D56(3133869398)
transform: ESP-ENCRYPT-NULL ESP-AUTH-MD5
in use setting: Tunnel
connection id: 13
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843197/2926
anti-replay detection: Enabled
anti-replay window size(counter based): 32
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 0x93DE082E(2480801838)
transform: ESP-ENCRYPT-NULL ESP-AUTH-MD5
in use setting: Tunnel
connection id: 14
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843197/2926
anti-replay detection: Enabled
anti-replay window size(counter based): 32
udp encapsulation used for nat traversal: N
· Router A:
#
acl number 2000
rule 0 permit
#
acl number 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
#
ike peer peer
exchange-mode aggressive
pre-shared-key cipher $c$3$ujchwj2Y0H7X45rl8VZSmol8HAg6kQ==
remote-address 1.1.1.2
nat traversal
#
ipsec transform-set def
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
#
ipsec policy policy 1 isakmp
security acl 3000
ike-peer peer
transform-set def
#
interface Dialer0
nat outbound 2000
link-protocol ppp
ppp chap user test
ppp chap password cipher $c$3$gm+SloptI6+UO5ySMAmh/b1rnuooeko=
ip address ppp-negotiate
dialer user pppoe
dialer bundle 1
ipsec no-nat-process enable
ipsec policy policy
#
interface Ethernet0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface Ethernet0/0
port link-mode route
pppoe-client dial-bundle-number 1
#
ip route-static 172.16.1.0 255.255.255.0 Dialer0
#
· Router B :
#
acl number 2000
rule 0 permit
#
acl number 3000
rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
ike peer peer
exchange-mode aggressive
pre-shared-key cipher $c$3$vsR5A5bYPmC0vnVTvs6KfkR2rjTpfw==
nat traversal
#
ipsec transform-set def
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
#
ipsec policy-template test 1
ike-peer peer
transform-set def
#
ipsec policy policy 1 isakmp template test
#
interface Ethernet0/1
port link-mode route
ip address 172.16.1.1 255.255.255.0
#
interface Ethernet0/0
port link-mode route
nat outbound 2000
ip address 1.1.1.2 255.255.255.0
ipsec no-nat-process enable
ipsec policy policy
#
ip route-static 192.168.1.0 255.255.255.0 1.1.1.1
#
· H3C MSR 係列路由器 命令參考(V5)-R2311
· H3C MSR 係列路由器 配置指導(V5)-R2311
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
