***中ipsec --manual的实现(上)

 

***中ipsec --manual的实现

 

要求：通过ipsec--manual模式实现×××。

 

说明：由于实验条件有限，Internet有华为三层交换机代替模拟。

1.路由器r1上的基本的配置

[R1-Ethernet0]ip add 192.168.2.254 24

[R1-Ethernet0]int e1

[R1-Ethernet1]ip add 1.1.2.2 24

R1]ip route 0.0.0.0 0 1.1.2.1 (配置默认的路由用于上网)

2.三层交换机上的配置

[Quidway]vlan 10

[Quidway-vlan10]port e0/10

[Quidway-vlan10]int vlan 10

[Quidway-Vlan-interface10]ip add 1.1.2.1 255.255.255.0

[Quidway-Vlan-interface10]vlan 20

[Quidway-vlan20]port e0/20

[Quidway-vlan20]int vlan 20

[Quidway-Vlan-interface20]ip add 1.1.1.2 255.255.255.0

3.路由器r2上的基本配置

[r2-Ethernet0]int s0

[r2-Serial0]ip add 192.168.1.254 24

[r2-Serial0]loopback（用于测试）

[r2]ip route 0.0.0.0 0 1.1.1.2

 

4.核心代码配置

1）创建acl用于控制数据流

[r2]acl 3000

[r2-acl-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[r2-acl-3000]rule deny ip source any destination any

2）创建安全提议

[r2]ipsec proposal tran1（建安全提议）

[r2-ipsec-proposal-tran1]encapsulation-mode tunnel（封装模式是隧道）

[r2-ipsec-proposal-tran1]transform esp（安全协议上esp）

[r2-ipsec-proposal-tran1]esp authentication md5（验证类型是md5）

[r2-ipsec-proposal-tran1]esp encryption-al des（加密类型是des）

3）创建安全策略（acl+proposal）

 

[r2]ipsec policy policy1 10 manual （定义安全策略名是policy1并是手工配置）

[r2-ipsec-policy-policy1-10]security acl 3000

[r2-ipsec-policy-policy1-10]proposal tran1

4）静态的要定义下面的内容，动态的就不用了

[r2-ipsec-policy-policy1-10]tunnel local 1.1.1.1 （隧道本端的地址新的ip头部）

[r2-ipsec-policy-policy1-10]tunnel remote 1.1.2.2（隧道对端的地址）

[r2-ipsec-policy-policy1-10]sa inbound esp spi 123456（定义进入流量的索引号）

[r2-ipsec-policy-policy1-10]sa inbound esp string-key abcdef（定义进入流量的密钥）

[r2-ipsec-policy-policy1-10]sa outbound esp spi 654321

[r2-ipsec-policy-policy1-10]sa outbound esp string fedcba

5）最后进入外出口应用此安全策略

[r2]int e0

[r2-Ethernet0]ipsec policy policy1

小结：怎么样排错：用到的命令

1.dis acl all

2.dis ipsec proposal

3.dis ipsec policy

4.dis ipsec sa

5.dis ip rout

强调：手工配置sa,两端即r1与r2的spi和string-key一定要照应。

转载于:https://blog.51cto.com/nshao/1088888