***中手工ipsec的实现
实验的要求是:1.0网络的主机能够与2.0网络的地址通信,走的是隧道模式。两台路由器也可以用防火墙做,是需要记得加区域即可。
1.路由器r1上的基本的配置
[R1-Ethernet0]ip add 192.168.2.254 24
[R1-Ethernet0]int e1
[R1-Ethernet1]ip add 1.1.2.2 24
R1]ip route 0.0.0.0 0 1.1.2.1 (配置默认的路由用于上网)
2.三层交换机上的配置
[Quidway]vlan 10
[Quidway-vlan10]port e0/10
[Quidway-vlan10]int vlan 10
[Quidway-Vlan-interface10]ip add 1.1.2.1 255.255.255.0
[Quidway-Vlan-interface10]vlan 20
[Quidway-vlan20]port e0/20
[Quidway-vlan20]int vlan 20
[Quidway-Vlan-interface20]ip add 1.1.1.2 255.255.255.0
3.路由器r2上的基本配置
[r2-Ethernet0]int s0
[r2-Serial0]ip add 192.168.1.254 24
[r2-Serial0]loopback(用于测试)
[r2]ip route 0.0.0.0 0 1.1.1.2
4.核心代码配置
1)创建acl用于控制数据流
[r2]acl 3000
[r2-acl-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[r2-acl-3000]rule deny ip source any destination any
2)创建安全提议
[r2]ipsec proposal tran1(建安全提议)
[r2-ipsec-proposal-tran1]encapsulation-mode tunnel(封装模式是隧道)
[r2-ipsec-proposal-tran1]transform esp(安全协议上esp)
[r2-ipsec-proposal-tran1]esp authentication md5(验证类型是md5)
[r2-ipsec-proposal-tran1]esp encryption-al des(加密类型是des)
3)创建安全策略(acl+proposal)
[r2]ipsec policy policy1 10 manual (定义安全策略名是policy1并是手工配置)
[r2-ipsec-policy-policy1-10]security acl 3000
[r2-ipsec-policy-policy1-10]proposal tran1
4)静态的要定义下面的内容,动态的就不用了
[r2-ipsec-policy-policy1-10]tunnel local 1.1.1.1 (隧道本端的地址新的ip头部)
[r2-ipsec-policy-policy1-10]tunnel remote 1.1.2.2(隧道对端的地址)
[r2-ipsec-policy-policy1-10]sa inbound esp spi 123456(定义进入流量的索引号)
[r2-ipsec-policy-policy1-10]sa inbound esp string-key abcdef(定义进入流量的密钥)
[r2-ipsec-policy-policy1-10]sa outbound esp spi 654321
[r2-ipsec-policy-policy1-10]sa outbound esp string fedcba
5)最后进入外出口应用此安全策略
[r2]int e0
[r2-Ethernet0]ipsec policy policy1
小结:怎么样排错:用到的命令
1.dis acl all
2.dis ipsec proposal
3.dis ipsec policy
4.dis ipsec sa
5.dis ip rout
转载于:https://blog.51cto.com/yudonghua/1089630
扫一扫
1220
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
