锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用动态模式

目录

锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用动态模式

功能介绍

应用场景

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

---

 

锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用动态模式

功能介绍

IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构，在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。

应用场景

若总公司和分公司各自的内网要能够互相共享资料，且希望资料在网络传输中不易被黑客截获破解窃取，保证资料的安全保密，此时您可以在总公司和分公司的网络设备上建立IPSec VPN，它即能实现总公司和分公司之间能够直接互相访问资源，也能对数据传输进行加密，保证了数据的安全性。若总部的IP地址固定，而分公司是采用拨号方式上网的（IP地址不固定），那么可以采用动态IPSec VPN。

一、组网需求

某企业使由于业务拓展，在全国各地建立了若干分支机构；总部出口路由器通过运营商专线连接到互联网，各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器，同时需要对分支与总部间通信的数据进行加密，保证业务安全。

该场景通过在总部出口路由器上布署动态的IPSEC VPN来接受各分支机构的拨入，满足分支与总部间的业务互访和数据加密需求。

二、组网拓扑

三、配置要点

1、配置总部路由器和各分支路由器，使其能够正常访问互联网 2、在总部出口路由器上配置动态态IPSEC VPN隧道 （1）配置isakmp策略 （2）配置预共享密钥 （3）配置ipsec加密转换集 （4）配置动态ipsec加密图 （5）将动态ipsec加密图映射到静态的ipsec加密图中 （6）将加密图应用到接口 3、在总部路由器上配置路由，将各分支网段路由指向出口 4、在分支路由器上配置静态IPSEC VPN隧道 （1）配置ipsec感兴趣流 （2）配置isakmp策略 （3）配置预共享密钥 （4）配置ipsec加密转换集 （5）配置ipsec加密图 （6）将加密图应用到接口 5、在分支路由器上配置路由，将总部网段路由指向出口 注意：

·需要使用IPSEC互访的IP网段不能重叠。

·RSR50/RSR50E涉及IPSEC功能必须配备AIM-VPN加密卡（如何查看RSR50/RSR50E是否已经配备AIM-VPN加密卡，请查看本文最后的附录部分）

四、配置步骤

1、配置总部路由器和各分支路由器，使其能够正常访问互联网 保证在分支路由器上能够ping通总部路由器外网口公网IP地址。 2、在总部出口路由器上配置动态态IPSEC VPN隧道 （1）配置isakmp策略 crypto isakmp policy 1                 //创建新的isakmp策略 encryption 3des                          //指定使用3DES进行加密 authentication pre-share             //指定认证方式为“预共享密码”，如使用数字证书配置“authentication rsa-sig”，如使用数字信封配置“authentication digital-email”。 （2）配置预共享密钥 crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0                  //配置预共享密钥为“ruijie”，IPSEC客户端也必须配置相同的密钥。由于对端的 ip地址是动态的，因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端 （3）配置ipsec加密转换集 crypto ipsec transform-set myset esp-des esp-md5-hmac     //指定ipsec使用esp封装des加密、MD5检验 （4）配置动态ipsec加密图 crypto dynamic-map dymymap 5              //新建名为“dymymap”的动态ipsec加密图 set transform-set myset                            //指定加密转换集为“myset” （5）将动态ipsec加密图映射到静态的ipsec加密图中 crypto map mymap 10 ipsec-isakmp dynamic dymymap    //将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中 （6）将加密图应用到接口 interface GigabitEthernet 0/0 crypto map mymap 3、在总部路由器上配置路由，将各分支网段路由指向出口 ip route 192.168.1.0 255.255.255.0 10.0.0.2 ip route 192.168.2.0 255.255.255.0 10.0.0.2 ip route 192.168.3.0 255.255.255.0 10.0.0.2 ...... 4、在分支路由器上配置静态IPSEC VPN隧道（以分支1为例）     （1）配置ipsec感兴趣流 access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255   //指定感兴趣流为源地址192.168.1.0/24，目的地址为192.168.0.0/24的网段。 （2）配置isakmp策略 crypto isakmp keepalive 5 periodic   //配置IPSEC DPD探测功能 crypto isakmp policy 1             //创建新的isakmp策略 authentication pre-share          //指定认证方式为“预共享密码”，如使用数字证书配置“authentication rsa-sig”，如使用数字信封配置“authentication digital-email”。 encryption 3des                       //指定使用3DES进行加密 （3）配置预共享密钥 crypto isakmp key 0 ruijie address 10.0.0.1   //指定peer 10.0.0.1的预共享密钥为“ruijie”，与总部出口路由器上配置的一致。如使用数字证书/信封认证则无需配置。 （4）配置ipsec加密转换集 crypto ipsec transform-set myset  esp-des esp-md5-hmac  //指定ipsec使用esp封装des加密、MD5检验 （5）配置ipsec加密图 crypto map mymap 5 ipsec-isakmp  //新建名称为“mymap”的加密图 set peer 10.0.0.1                               //指定peer地址 set transform-set myset                   //指定加密转换集为“myset” match address 101                          //指定感兴趣流为ACL 101 （6）将加密图应用到接口 interface dialer 0 crypto map mymap  5、在分支路由器上配置路由，将总部网段路由指向出口 ip route 192.168.0.0 255.255.255.0 dialer 0

五、配置验证

1、在分支1路由器上以源地址192.168.1.1 ping 192.168.0.1，能够正常通信 R1#ping 192.168.0.1 source 192.168.1.1 Sending 5, 100-byte ICMP Echoes to 192.168.1.1, timeout is 2 seconds: < press Ctrl+C to break > .!!!! 2、在分支1路由器上查看isakmp、ipsec sa是否已经协商成功 Ruijie#show crypto isakmp sa                                      //查看isakmp sa协商情况 destination       source            state                    conn-id           lifetime(second)  10.0.0.2          10.0.0.1          IKE_IDLE                 0                 84129                //isakmp协商成功，状态为IKE_IDLE Ruijie#show crypto ipsec sa                                              //查看ipsec sa协商情况 Interface: GigabitEthernet 0/0          Crypto map tag:mymap                 //接口下所应用的加密图名称                                 local ipv4 addr 10.0.0.1                   //进行isakmp/ipsec协商时所使用的IP地址 media mtu 1500 ================================== sub_map type:static, seqno:5, id=0          local  ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))          //感兴趣流源地址 remote  ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))       //感兴趣流目的地址 PERMIT #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4          //成功封装、加密、摘要报文个数 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4          //成功解封装，解密、检验报文个数，有数据通过IPSEC加密进行通信时，重复执行show crypto ipsec sa命令可以看到以上统计个数会不断增加。 #send errors 0, #recv errors 0                                      //发送、接收错误报文个数，正常情况下该统计不增加。  Inbound esp sas:               spi:0x2ecca8e (49072782)                   //ipsec sa入方向的spi transform: esp-des esp-md5-hmac     //ipsec加密转换集为esp-des esp-md5-hmac in use settings={Tunnel Encaps,}          //采用隧道模式 crypto map mymap 5 sa timing: remaining key lifetime (k/sec): (4606998/1324)   //离安全联盟的生命周期到期还有：4606998千字节/1324秒  IV size: 8 bytes    //IV向量长度为8  Replay detection support:Y    //抗重播处理  Outbound esp sas:               spi:0x5730dd4b (1462820171)          //ipsec sa出方向的spi，只有看到了inbound spi和outbound spi才说明ipsec sa已经协商成功。 transform: esp-des esp-md5-hmac  in use settings={Tunnel Encaps,} crypto map mymap 5 sa timing: remaining key lifetime (k/sec): (4606998/1324) IV size: 8 bytes Replay detection support:Y

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！