本周重点
①动态路由BGP边界网关协议
②ACL访问控制列表(重点)
③FTP文件传输协议
④NAT网络地址转换
⑤端口镜像和安全配置
⑥防火墙Firewall
⑦VPN虚拟专用网(GRP和IPSEC互联网安全协议)
Python
1、深度优先遍历DFS
本周主要内容
DAY1 动态路由BGP边界网关协议&ACL访问控制列表&FTP
①动态路由BGP边界网关协议
动态的路由的分类
出现背景
网络大,ospf不适合与大型的互联网(广播),200台。
概念
边界网关协议(border gateway protocal)是一种自治系统(autonomous system)之间的路由可达、并且选择最优路由的距离适量路由协议。
BGP度量值基于跳数,采用的TCP协议封装(一对一传送),端口号是179.
分类:
-
IBGP:内部BGP(运行在同一个AS里面)
-
EBGP:外部BGP(运行在不同的AS里面)
每一个as系统都有一个独立的编号,编号取值范围1~65535。
对等体:要交换信息的路由器(邻居);
和OSPF对比
Difference between OSPF and BGP - GeeksforGeeks
BGP的Packet
报文的名称 | 作用 | 什么时候发送 |
---|---|---|
Open | 和hello类似 | 通过TCP建立BGP的连接 |
keepalive | 和hello类似,保持活跃。 | 在建立连接之后,定时的发送 |
update | 和LSU类似 | 在建立连接发生变化之后 |
notification | 报告错误 | 运行中发生错误 |
route-fresh | 为了保持网络稳定,出发新路由机制 | 策略发生变化。 |
BGP的有限状态机
idle:尝试建立TCP的连接;
connect:发送TCP包,如果不成功,进入Active状态;
active:发TCP包,反复尝试建立TCP连接;
opensent:发open包,协商对等体的参数;
openconfirm:发送keepalive包;
estableshed:发送update包。
实验-1
AR1
#添加端口的IP地址; bgp 200 peer 172.16.1.2 as-number 200 # 建立对等体,172.16.1.2是AR2的g0/0/0,200是AR2的AS编号 ipv4-family unicast #单播 network 172.16.1.0 30 #宣告网段
AR2:
#添加端口的IP地址; bgp 200 peer 172.16.1.1 as-number 200 # 建立对等体,172.16.1.1是AR1的g0/0/0,200是AR1的AS编号 ipv4-family unicast #单播 network 172.16.1.0 30 #宣告网段
实验-2
#AR1 sys int g0/0/0 ip add 172.16.1.1 30 int g0/0/1 ip add 172.16.2.1 30 #建立对等体,把AR1的链路信息发给AR2 bgp 200p eer 172.16.1.2 as-number 200 ipv4-family unicast network 172.16.1.0 30 network 172.16.2.0 30 #建立对等体,把AR1的链路信息发给AR3 bgp 200 peer 172.16.2.2 as-number 200 ipv4-family unicast network 172.16.1.0 30 network 172.16.2.0 30 #AR2 sys int g0/0/0 ip add 172.16.1.2 30 #建立对等体,把AR2的链路信息发给AR1 bgp 200 peer 172.16.1.1 as-number 200 ipv4-family unicast network 172.16.1.0 30 #AR2和AR3 bgp 200 peer 172.16.2.2 as-number 200 #EBGP的相关的配置 bgp 200 peer 172.16.3.2 as-number 300 #AR3 sys int g0/0/0 ip add 172.16.2.2 30i nt g0/0/1 ip add 192.168.10.254 24 #建立对等体,把AR3的链路信息发给AR1 bgp 200 peer 172.16.2.1 as-number 200 ipv4-family unicast network 172.16.2.0 30 network 192.168.10.0 24 #AR2和AR3 bgp 200 peer 172.16.1.2 as-number 200 #AR4 sys int g0/0/1 ip add 172.16.3.2 30 int g0/0/0 ip add 172.16.4.1 30 #IBGP的相关的配置 bgp 300 peer 172.16.4.2 as-number 300 ipv4-family unicast network 172.16.3.0 30 network 172.16.4.0 30 #EBGP的相关的配置 bgp 300 peer 172.16.3.1 as-number 200 #AR5 sys int g0/0/1 ip add 172.16.4.2 30 int g0/0/0 ip add 192.168.20.254 24 #IBGP的相关的配置 bgp 300 peer 172.16.4.1 as-number 300i pv4-family unicast network 172.16.4.0 30 network 192.168.20.0 24
实验-3
#AR1 sys int g0/0/0 ip add 172.16.1.1 30 int g0/0/1 ip add 172.16.2.1 30 bgp 200 peer 172.16.1.2 as-number 200 ipv4-family unicast network 172.16.1.0 30 network 172.16.2.0 30 bgp 200 peer 172.16.2.2 as-number 200 ipv4-family unicast network 172.16.1.0 30 network 172.16.2.0 30 #AR2 sys int g0/0/0 ip add 172.16.1.2 30 int g0/0/1 ip add 172.16.3.1 30 bgp 200 peer 172.16.1.1 as-number 200 ipv4-family unicast network 172.16.1.0 30 network 172.16.3.0 30 bgp 200 peer 172.16.2.2 as-number 200 bgp 200 peer 172.16.3.2 as-number 300 #AR3 sys int g0/0/0 ip add 172.16.2.2 30 int g0/0/1 ip add 192.168.10.254 24 bgp 200 peer 172.16.2.1 as-number 200 ipv4-family unicast network 172.16.2.0 30 network 192.168.10.0 24 bgp 200 peer 172.16.1.2 as-number 200 #AR4 sys int g0/0/1 ip add 172.16.3.2 30 int g0/0/0 ip add 172.16.4.1 30 bgp 300 peer 172.16.4.2 as-number 300 ipv4-family unicast network 172.16.3.0 30 network 172.16.4.0 30 bgp 300 peer 172.16.3.1 as-number 200 ospf 110 area 0 network 172.16.4.0 0.0.0.3 q import-route bgp q bgp 300 import-rout ospf 110 #AR5 sys int g0/0/1 ip add 172.16.4.2 30 int g0/0/0 ip add 192.168.20.254 24 bgp 300 peer 172.16.4.1 as-number 300 ipv4-family unicast network 172.16.4.0 30 network 192.168.20.0 24 ospf 110 area 0 network 172.16.4.0 0.0.0.3 network 192.168.20.0 0.0.0.255 q import-route bgp q bgp 300 import-rout ospf 110
优先级
路由协议 | 优先级 |
---|---|
直连路由器 | 0(最高的) |
静态路由 | 60 |
默认路由 | 60(比静态路由要高) |
RIP | 100 |
OSPF | 10 |
BGP | 255 |
②*ACL访问控制列表
定义
访问控制列表(access control list),是由一条或者多条规则组成,规则就是判断语句,判断语句包含:源ip地址,目的ip地址,端口号等;
本质上是一种过滤器。
组成
五元组:源IP地址,目的IP地址,源端口,目标端口,协议;
acl编号:
分类 | 适用的IP版本 | 规则定义描述 | 编号范围 |
---|---|---|---|
基本ACL | IPv4 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 | 2000~2999 |
高级ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。 | 3000~3999 |
匹配规则
首先系统会查找设备上是否配置了ACL。 如果ACL不存在,则返回ACL匹配结果为:不匹配。 如果ACL存在,则查找设备是否配置了ACL规则。 如果规则不存在,则返回ACL匹配结果为:不匹配。 如果规则存在,则系统会从ACL中编号最小的规则开始查找。 如果匹配上了permit规则,则停止查找规则,并返回ACL匹配结果为:匹配(允许)。 如果匹配上了deny规则,则停止查找规则,并返回ACL匹配结果为:匹配(拒绝)。 如果未匹配上规则,则继续查找下一条规则,以此循环。如果一直查到最后一条规则,报文仍未匹配上,则返回ACL匹配结果为:不匹配。 从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。 匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。 不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。 不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。 以上三种情况,都叫做“不匹配”。
规则匹配,就判断拒绝还是接收,不会继续看后面的规则了;
规则不匹配,继续看后面的规则。
配置位置和方向
位置:可以配置在不同的端口上;
方向:进出。
基本ACL实验
#新建acl, 2000 acl 2000 #配置规则 [Huawei-acl-basic-2000]rule 50 permit source 192.168.10.20 0 [Huawei-acl-basic-2000]rule 55 deny #配置位置和方向 [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
高级ACL实验
配置:
acl 3000 rule 10 permit tcp source 192.168.10.100 0 destination-port eq 80 rule 15 deny ip q int g0/0/0 traffic-filter inbound acl 3000
ACL高级配置实验
#配置IP和VLAN #LSW1 sys vlan 10 vlan 20 vlan 100 int g0/0/1 port link-type access port default vlan 10 int g0/0/2 port link-type access port default vlan 20 int vlan 10 ip add 192.168.10.254 24 int vlan 20 ip add 192.168.20.254 24 int g0/0/3 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan all dis port vlan ip route-static 172.16.10.0 24 192.168.100.254 #AR1 sys int g0/0/0 ip add 192.168.100.254 24 int g0/0/1 ip add 172.16.10.100 24 ip route-static 192.168.10.0 24 192.168.100.10 ip route-static 192.168.20.0 24 192.168.100.10 #设置规则 acl 3000 rule 11 permit tcp source 172.16.10.10 0 source-port eq 80 rule 12 permit tcp destination 192.168.10.10 0 destination-port eq 80 rule 13 permit icmp source 172.16.10.20 0 icmp-type echo-reply rule 14 permit icmp source 172.16.10.50 0 icmp-type echo-reply rule 15 deny ip int g0/0/1 traffic-filter inbound acl 3000 ##查看配置规则 dis acl 3000 dis traffic-filter applied-record ##整个网段配置方法 rule 10 permit icmp source 172.16.10.0 0.0.0.255 icmp-type echo-reply
③FTP文件传输协议
主要是用来进行文件传输的,分成两种模式:主动,被动;
主动模式
被动模式
DAY2 NAT网络地址转换&LA链路聚合
①概念
网络地址转换(英语:Network Address Translation,缩写:NAT),又称IP动态伪装(英语:IP Masquerade),是一种在IP数据包通过路由器或防火墙时重写来源或目的IP地址或端口的技术。这种技术普遍应用于有多台主机,但只通过一个公有IP地址访问互联网的私有网络中。
②VM中的应用
vmware-nat
网络地址转换。
vmware-桥接
vmware-仅主机
③NAT实验
静态NAT
每个内网的IP地址都要对应一个公网的地址,相当于没有节约。
动态NAT
1. 地址池;2. 单向访问;3. 没有对应的端口(后面会看到如何对应端口)
配置:
nat address-group 1 10.10.10.3 10.10.10.5 acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 q int g0/0/1 nat outbound 2000 address-group 1 no-pat
NAPT
network address port translation
概念:
地址池;单向访问;有对应的端口;
内网IP地址 | 外网IP地址 |
---|---|
192.168.1.1 | 10.10.10.3:2050 |
192.168.1.2 | 10.10.10.3:2051 |
192.168.1.3 | 10.10.10.3:2052 |
配置
nat address-group 1 10.10.10.3 10.10.10.3 acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 q int g0/0/1 nat outbound 2000 address-group 1
EASY-IP
特点:
1. 不需要配置地址池;2. 单向;3. 支持端口转换;
配置:
acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 q int g0/0/1 nat outbound 2000
NAT-Server
NAT内网地址映射。
## NAT Server的配置 int g0/0/1 nat server protocol tcp global 10.10.10.6 80 inside 192.168.1.23 80 display nat server #NAT Server的配置结果 ##访问FTP需要开启ALG(应用程序网关) int g0/0/1 nat server protocol tcp global 10.10.10.6 ftp inside 192.168.1.23 ftp nat alg ftp enable display nat alg # 查看ALG的状态
④链路聚合LA
提高可用性,参考文档:
LACP模式链路聚合 - AR500, AR510, AR531, AR550, AR1500, AR2500 V200R010 配置指南-以太网交换(命令行) - 华为 (huawei.com)
实验1
通过抓包,知道数据走的链路,然后通过undo shutdown停掉该接口,查看ping的内容,会丢包。
实验2
步骤1-基本配置:
#LWS1 sys int Eth-Trunk 1 mode lacp-static q int g0/0/6 Eth-Trunk 1 int g0/0/8 Eth-Trunk 1 lacp priority 100 int g0/0/12 Eth-Trunk 1 lacp priority 100 #LWS2 sys int Eth-Trunk 1 mode lacp-static q int g0/0/6 Eth-Trunk 1 int g0/0/8 Eth-Trunk 1 lacp priority 100 int g0/0/12 Eth-Trunk 1 lacp priority 100
步骤2-高级配置:
q sys lacp priority 100 int Eth-Trunk 1 max active-linknumber 2 #设置最大活跃数 load-balance src-mac #设置hash的方法
hash补充知识:
1. 取模; 2. 得到的结果就是要存放的位置; 3. 如果两个不同的输入进行hash后得到的结果一样,那就说明发生了hash碰撞; 4. 如果碰撞之后,就会形成链表,然后导致查询效率降低,所以链表还会进行树化。
DAY3 端口镜像和安全配置&Python深度优先遍历
①端口镜像
网络安全要求:可审计。
端口镜像是为了审计。现代防火墙很多底层的理论都是基于ACL,对比ACL,端口镜像匹配的网络安全设备,入侵系统监测(IDS)。
IDS入侵系统检测:入侵检测是监视并分析您的网络流量以寻找入侵迹象(例如对您的网络构成迫切威胁的漏洞利用和事件)的过程。就其本身而言,入侵预防是执行入侵检测然后阻止所检测到事件的过程,通常的方法是丢弃数据包或终止会话。这些安全措施可用作入侵检测系统 (IDS) 和入侵防御系统 (IPS),这些系统属于为了检测和阻止潜在事件而采取的网络安全措施的一部分,而且是下一代防火墙 (NGFW) 中包括的功能。
IDS/IPS 监控网络上的所有流量,以识别已知的恶意行为。攻击者试图破坏网络的方法之一是利用设备或软件中的漏洞。IDS/IPS 会识别这些漏洞利用尝试并阻止以免破坏网络中的端点。IDS/IPS 是网络边缘和数据中心内的必要安全技术,准确来说是因为这些技术可以阻止攻击者收集有关您网络的信息。
审计设备:数据库审计,网络审计。
配置各种IP:
略
指定观察端口:
observer-port interface g0/0/2
在流量出入口的配置:
int g0/0/0 mirror to observer-port inbound/outbound/both #注意,监听流量的范围不一定是越多越好。可能会消耗硬件的性能。
DHCP配置
DHCP全局配置
[Huawei]dhcp enable [Huawei]ip pool ykm [Huawei-ip-pool-ykm]network 10.10.10.0 mask 24 [Huawei-ip-pool-ykm]lease day 0 hour 0 minute 7 [Huawei-ip-pool-ykm]gateway-list 10.10.10.1 [Huawei-ip-pool-ykm]dns-list 1.1.1.1 [Huawei-ip-pool-ykm]int g0/0/0 [Huawei-GigabitEthernet0/0/0]dhcp select global
DHCP中继配置
AR1配置:
#AR1 DHCP设置 sys int g0/0/0 ip add 192.168.20.1 24 dhcp enable ip pool qq network 192.168.10.0 mask 255.255.255.0 lease day 0 hour 0 minute 7 gateway-list 192.168.10.254 dns-list 192.168.10.254 8.8.8.8 interface GigabitEthernet0/0/0 dhcp select global ip route-static 192.168.10.0 24 192.168.20.2
AR2配置:
#AR2 DHCP设置 sys int g0/0/0 ip add 192.168.10.254 24 int g0/0/1 ip add 192.168.20.2 24 q dhcp enable int g0/0/0 dhcp select relay dhcp relay server-ip 192.168.20.1
②端口安全
目的:
kali把交换机的mac地址表占满,让PC1给PC2发信息的时候会广播;
通过端口安全解决这个问题;
步骤1:
kali 在 NAT模式下,运行:macof 如果要下载,就下载; 如果是发起攻击了,说明本地已经存在了,就【ctr+c】终止
步骤2:
设置kali成仅主机模式,网卡vment1
步骤3:
步骤4(非必要步骤):
查看mac地址 dis mac-address 删除mac地址表 undo mac-address
步骤5:
#PC1和PC2不要从dhcp服务器获取ip地址,不然会有流量会经过交换机,会占用mac地址表 #清除交换机的mac地址表undo mac-address
步骤6:
#kali执行下面的命令,发起攻击,抓包 macof
步骤7:
#kali停止攻击; PC1 ping PC2,原本应该是单播的icmp报文也能在其它的(g0/0/4)端口抓到。
在交换机上设置端口安全:
int g0/0/1 port-security enabl eport-security max-mac num 2 port-security protect-action protect
(策略是shutdown)关闭端口后,查看:
dis interface brief
运用归纳
ACL:路由器(防火墙);
NAT:路由器(防火墙);
端口镜像:路由器(IDS);
端口安全:交换机(IPS).
③Python代码完成深度优先遍历DFS
深度遍历-应用(SCC)
深度遍历-例子
版本-1(队列)
可以参照广度遍历的实现方式:
思路:BFS的实现方式是用先进先出的队列;DFS的实现方式是先进后出。
版本-2(递归)
def DFS(G, s): s = visited; for every edge(s, v): if v != visited: DFS(G, v)
DAY4 防火墙&VPN
①防火墙firewall
区域的概念,类似于windows里面的组:
基于端口进行配置的,分成以下几种区域: local:安全级别最高的,也就是防火墙本身(100); trust:受信的区域(85); dmz:非军事管理(50); untrust:不受信区域(13);
实验-1
NAT设置:
int g0/0/2 nat server protocol tcp global current-interface 80 inside 192.168.10.10 80 nat server protocol tcp global current-interface 81 inside 192.168.10.20 80
在路由器不同的端口设置不同区域的优先级:
#添加区域以及优先级:trust(13),dmz(8),untrust(1) [Huawei]firewall zone trust [Huawei-zone-trust]priority 13 [Huawei-zone-trust]q [Huawei]firewall zone dmz [Huawei-zone-dmz]priority 8 [Huawei-zone-dmz]q [Huawei]firewall zone untrust [Huawei-zone-untrust]priority 1 [Huawei-zone-untrust]q #区域和接口的关系 [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]zone dmz [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]zone trust [Huawei-GigabitEthernet0/0/1]int g0/0/2 [Huawei-GigabitEthernet0/0/2]zone untrust
开启区域间的访问规则:
[Huawei]firewall interzone trust dmz [Huawei-interzone-trust-dmz]firewall enable [Huawei-interzone-trust-dmz]q [Huawei]firewall interzone trust untrust [Huawei-interzone-trust-untrust]firewall enable [Huawei-interzone-trust-untrust]q [Huawei]firewall interzone dmz untrust [Huawei-interzone-dmz-untrust]firewall enable [Huawei-interzone-dmz-untrust]q
默认的untrust是不能访问dmz区域的,但是dmz又必须对外提供服务,所以要设置acl:
[Huawei]acl 3000 [Huawei-acl-adv-3000]rule permit tcp destination 23.34.45.56 0 destination-port eq 80 [Huawei-acl-adv-3000]rule permit tcp source 23.34.45.80 0 destination 23.34.45.56 0 destination-port eq 81 [Huawei-acl-adv-3000]q [Huawei]firewall interzone untrust dmz [Huawei-interzone-dmz-untrust]packet-filter 3000 inbound
inbound并没有设置在端口上。
实验-2
usg6000v的默认设置
默认的ip和端口:192.168.0.1:8443 (和vmnet1同一个网段) 用户名:admin 默认的密码是:Admin@123
允许https访问:
int g0/0/0 service-mange https permit
实验-3
设置防火墙的IP地址:
设置防火墙的安全策略(trust —> DMZ, trust —> untrust, dmz —> untrust):
防火墙的端口一般是比较敏感的,所以要去访问必须要授权:
配置内访外的NAT:
配置外访内的NAT:
问题:
时使服务器端口映射的时候内网的IP地址和外网的IP地址会同时生效或者失效。
②VPN
虚拟专用网(英语:Virtual Private Network,缩写:VPN)将专用网络延伸到公共网络上,使用户能够在共享或公共网络上发送和接收数据,就像他们的计算设备直接连接到专用网络上一样[1]。VPN的好处包括增加专用网络的功能、安全性和管理,它提供了对公共网络上无法访问的资源访问通常用于远程办公人员。加密很常见但不是VPN连接的固有部分。
产生的背景
同一个公司,不同的地点,要相互通信,三种方案:
1. 自己挖线(违法);2. 运营商开专线(费用贵);3. VPN隧道。
例子
杭州:
PC1:192.168.100.2(杨)公司的IP地址:1.1.1.1
上海:
PC2:192.168.200.2(张)公司的IP地址:2.2.2.2
过程:
原始信息:src:192.168.100.2dst:192.168.200.2数据:别睡觉拉新的信息:src:1.1.1.1dst:2.2.2.2数据:f(原始信息)
实验-GRE
配置:
#AR1 sys int g0/0/0 ip add 192.168.1.254 24 int g0/0/1 ip add 10.0.12.1 24 #AR2 sys int g0/0/0 ip add 10.0.12.2 24 int g0/0/1 ip add 10.0.23.2 24 #AR3 sys int g0/0/1 ip add 10.0.23.3 24 int g0/0/0 ip add 192.168.2.254 24 #AR2 ospf 110 area 0 network 0.0.0.0 0.0.0.0 #AR1 ospf 110 area 0 network 10.0.12.0 0.0.0.255 #AR3 ospf 110 area 0 network 10.0.23.0 0.0.0.255 #AR1的VPN配置 int tunnel 0/0/0 ip add 192.168.3.1 255.255.255.0 tunnel-protocol gre source 10.0.12.1 destination 10.0.23.3 ip route-static 192.168.2.0 24 tunnel 0/0/0 #AR2的VPN配置 int tunnel 0/0/0 ip add 192.168.3.2 255.255.255.0 tunnel-protocol gre source 10.0.23.3 destination 10.0.12.1 ip route-static 192.168.1.0 24 tunnel 0/0/0
GRE:
1. 没有加密;2. 只能在固定的办公场所。
③VPN-IPSEC互联网安全协议
互联网安全协议(英语:Internet Protocol Security,缩写:IPsec)是一个协议包,透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
概念
框架:保护IP在网络层传输。
1. 加密;2. 认证。
名词
协议:ESP(加密),AH(认证),ESP+AH;
加密:DES,3DES,AES;
认证:MD5,SHA;
DH:Diffe-hellman;
HADLE:
H-hashA-AuthenticationD-Diffe-hellmanL-life timeE-encrpytion
建立隧道的阶段
IKE(internet key exchange);
IKE1:
作用:协商;主模式和野蛮模式是2选1,主模式更安全,但是性能相对低;main-mode:6条报文构成aggressive mode:3条报文构成
IKE2:
作用:传输和加密相关的内容quick-mode:3条报文构成
协议-AH
传输(transport)模式隧道(Tunnel)模式:
协议-ESP
Encapsulating Security payload
传输模式:
隧道模式:
协议-ESP+AH
IPSEC-实验
#AR1 sys int g0/0/0 ip add 192.168.1.254 24 int g0/0/1 ip add 10.0.12.1 24 #AR2 sys int g0/0/0 ip add 10.0.12.2 24 int g0/0/1 ip add 10.0.23.2 24 #AR3 sys int g0/0/1 ip add 10.0.23.3 24 int g0/0/0 ip add 192.168.2.254 24 #AR2 ospf 110 area 0 network 0.0.0.0 0.0.0.0 #AR1 ospf 110 area 0 network 10.0.12.0 0.0.0.255 #AR3 ospf 110 area 0 network 10.0.23.0 0.0.0.255 -------------------AR1-------------------- #感兴趣流 acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 #配置阶段1 ike peer huawei v1 pre-shared-key simple huawei remote-add 10.0.23.3 #配置阶段2 ipsec proposal tran1 #关联感兴趣流+一阶段+二阶段 ipsec policy vpn 1 isakmp security acl 3000 ike-peer huawei proposal tran1 #应用到接口 [g0/0/1]ipsec policy vpn #配置静态路由 ip route-static 192.168.2.0 24 10.0.23.3 ----------------------AR3------------------------ #感兴趣流 acl number 3000 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 #配置阶段1 ike peer huawei v1 pre-shared-key simple huawei remote-add 10.0.12.1 #配置阶段2 ipsec proposal tran1 #关联感兴趣流+一阶段+二阶段 ipsec policy vpn 1 isakmp security acl 3000 ike-peer huawei proposal tran1 #应用到接口 [g0/0/1]ipsec policy vpn #配置静态路由 ip route-static 192.168.1.0 24 10.0.12.1