《2022年AR路由器与CISCO路由器野蛮IPSec互通的典型配置 .pdf》由会员分享,可在线阅读,更多相关《2022年AR路由器与CISCO路由器野蛮IPSec互通的典型配置 .pdf(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、AR 路由器与 CISCO 路由器野蛮 IPSec互通的典型配置1.1Cisco1721作为野蛮 IPSec隧道发起方【组网图】【需求】Cisco1721通过ADSL 拨号访问 Internet,ip 地址不固定; AR28-11则通过固定 ip地址接入 Internet。IPSec隧道保护的数据流:中 心 AR28-11局 域 网 段 为 10.46.0.0/24; 分 支 Cisco1721 局 域 网 段 为192.168.1.0/24。【配置脚本】AR28-11配置脚本#sysname Quidway#radius scheme system#domain system#名师资料总结
2、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 9 页 - - - - - - - - - ike proposal 2 / 创建 ike安全提议authentication-algorithm md5#ike peer hnnytset / 创建 ike对等体exchange-mode aggressivepre-shared-key hnnytgoodstartid-type nameremote-name dingannyj#ipsec proposal p1 / 创建 IPSe
3、c安全提议esp encryption-algorithm 3des#ipsec policy policy1 1 isakmp / 创建 IPSec策略security acl 3000ike-peer hnnytsetproposal p1#acl number 3000 / 建立匹配被保护数据流的ACL规则rule 0 permit ip source 10.46.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 1 deny ip#interface Aux0async mode flow#interface Ethernet0/0
4、ip address 10.46.0.5 255.255.255.0#interface Ethernet0/1ip address 1.1.1.1 255.255.255.248ipsec policy policy1 / 在接口上应用IPSec 策略#名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 9 页 - - - - - - - - - interface NULL0#FTP server enable#ip route-static 0.0.0.0 0.0.0.
5、0 1.1.1.2 preference 60Cisco1721 配置脚本!version 12.3!hostname dingannyj!enable password cisco!crypto isakmp policy 100hash md5authentication pre-share / 配置 isakmp 策略!crypto isakmp peer address 1.1.1.1 /cisco 作为发起方必须配置set aggressive-mode password hnnytgoodstartset aggressive-mode client-endpoint fqdn d
6、ingannyj / 配置 isakmp 对等体属性!crypto ipsec transform-set hnnytset esp-3des esp-md5-hmac / 创建 IPSec安全提议!crypto map hnnyttrans 10 ipsec-isakmpset peer 1.1.1.1set transform-set hnnytsetmatch address 115 / 创建 IPSec策略!interface FastEthernet0名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
7、 - - - - - 第 3 页,共 9 页 - - - - - - - - - ip address 192.168.1.1 255.255.255.0ip tcp adjust-mss 1452speed auto!interface Dialer1mtu 1492ip address negotiatedencapsulation pppdialer pool 1ppp chap hostname adsl36801864ppp chap password 0 nongyejuppp pap sent-username adsla6531333 password 0 667078cryp
8、to map hnnyttrans / 在接口上应用IPSec 策略!ip route 0.0.0.0 0.0.0.0 Dialer1ip route 192.168.0.0 255.255.0.0 FastEthernet0!access-list 115 permit ip 192.168.1.0 0.0.0.255 10.46.0.0 0.0.0.255access-list 115 deny ip any any /建立匹配被保护数据流的访问列表【验证】dis ike satotal phase-1 SAs: 1 connection-id peer flag phase doi -4
9、10 2.2.2.1 RD 2 IPSEC 409 2.2.2.1 RD 1 IPSEC dingannyj#show crypto engine connections active名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 9 页 - - - - - - - - - ID Interface IP-Address State Algorithm Encrypt De crypt1 Dialer1 2.2.2.1 set HMAC_MD5+DES_56_CB 0 0
10、200 Dialer1 2.2.2.1 set HMAC_MD5+3DES_56_C 0 9201 Dialer1 2.2.2.1 set HMAC_MD5+3DES_56_C 9 dingannyj#show crypto isakmp sadst src state conn-id slot 1.1.1.1 2.2.2.1 QM_IDLE 1 0 1.2AR28-11作为野蛮 IPSec隧道发起方【组网图】【需求】AR28-11通过ADSL 拨号访问 Internet,ip 地址不固定; Cisco1721则通过固定 ip地址接入 Internet。IPSec隧道保护的数据流:中 心 AR
11、28-11局 域 网 段 为 10.46.0.0/24; 分 支 Cisco1721 局 域 网 段 为192.168.1.0/24。【配置脚本】AR28-11配置脚本名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 9 页 - - - - - - - - - #sysname Quidway#ike local-name hnnytgoodstart / 创建 ike协商本端网关的名字#radius scheme system#domain system#ike prop
12、osal 2 / 创建 ike安全提议authentication-algorithm md5#ike peer hnnytset / 创建 ike对等体exchange-mode aggressivepre-shared-key hnnytgoodstartid-type nameremote-name dingannyjremote-address 2.2.2.1 #ipsec proposal p1 / 创建 IPSec安全提议esp encryption-algorithm 3des#ipsec policy policy1 1 isakmp / 创建 IPSec策略security
13、acl 3000ike-peer hnnytsetproposal p1#acl number 3000 / 建立匹配被保护数据流的ACL 规则rule 0 permit ip source 10.46.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 1 deny ip#名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 9 页 - - - - - - - - - interface Aux0async mode flo
14、w#interface Ethernet0/0ip address 10.46.0.5 255.255.255.0#interface Dialer0link-protocol pppip address ppp-negotiatemtu 1450dialer enable-circulardialer-group 1ipsec policy policy1 / 在接口上应用IPSec 策略#interface NULL0#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 dialer0 preference 60Cisco1721 配置脚本!
15、version 12.3!hostname dingannyj!enable password cisco!crypto isakmp policy 100hash md5名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 9 页 - - - - - - - - - authentication pre-share / 配置 isakmp策略!crypto isakmp key huawei hostname hnnytgoodstart / Cisco作响应方必须配置cry
16、pto isakmp identity hostname!crypto ipsec transform-set hnnytset esp-3des esp-md5-hmac / 创建 IPSec安全提议!crypto dynamic-map dyna 1set transform-set hnnytsetmatch address 115crypto map hnnyttrans 10 ipsec-isakmp dynamic dyna / 创建 IPSec策略!interface FastEthernet0ip address 192.168.1.1 255.255.255.0ip tcp
17、adjust-mss 1452speed auto!interface FastEthernet1ip address 2.2.2.1 255.255.255.248ip tcp adjust-mss 1452speed autocrypto map hnnyttrans / 在接口上应用IPSec 策略!ip route 0.0.0.0 0.0.0.0 FastEthernet1ip route 192.168.0.0 255.255.0.0 FastEthernet0!access-list 115 permit ip 192.168.1.0 0.0.0.255 10.46.0.0 0.0
18、.0.255access-list 115 deny ip any any /建立匹配被保护数据流的访问列表名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 9 页 - - - - - - - - - 【配置关键点】采用野蛮模式和 Cisco互通时, Cisco 作为隧道发起方和响应方的配置是有区别的。Cisco作为隧道发起方:crypto isakmp peer address 1.1.1.1 /Cisco作为发起方必须配置set aggressive-mode pass
19、word hnnytgoodstartset aggressive-mode client-endpoint fqdn dingannyjCisco作为隧道响应方:crypto isakmp key huawei hostname hnnytgoodstart /Cisco作为响应方必须配置crypto isakmp identity hostname【提示】1、cisco 不区分 aggressive 模式和 main模式。2、cisco isakmp policy提供多种验证策略( pre-share 、rsa-encr 、rsa-sig )Quidway的ike 仅支持 pre-shar
20、ed-key 方式。3、cisco 路由器上 isakmp policy 必须配置,由于需要指定 pre-share 验证策略,两者必须匹配。Quidway的ike proposal可以不配,默认方式也能满足协商的要求。4、在cisco 的isakmp policy环境下和 Quidway的ike proposal环境下,支持的加密算法会有一定的区别。5、ike sa keepalive不是 RFC 标准,因此各厂商关于其的实现程度不同,难以配合。Cisco不支持此功能。6、cisco 的“show crypto isakmp sa”只显示 ike 阶段的 sa信息。Quidway的“display ike sa”显示两个 ike 和ipsec 两个阶段的 sa信息。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 9 页 - - - - - - - - -