华为ipsecvpn配置

1、HRT-HEARTBEATLKG-LAST KNOWN GOOD SEQ NO. BCK-BACKED UPIPSec (Internet Protocol Security ) 是 IETF (Internet Engineering Task Force )制定的一组开放的网络安全协议，在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。在Internet的传输中，绝大部分数据的内容都是明文传输的，这样就会存在很多潜在的危险，比如：密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意攻 击等。网络中部署IPSec后，可对传

2、输的数据进行保护处理，降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图1所示，RouterA为企业分支网关，RouterB为企业总部网关，分支与总部通过公网建立通信。分支子 网为，总部子网为。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。图1采用默认配置通过IKE协商方式建立IPSec隧道组网图配置思路采用如下思路配置采用IKE协商方式建立IPSec隧道：1. 配置接口的IP地址和到对端的静态路由，保证两端路由可达。2. 配置ACL以定义需要IPSec

3、保护的数据流。3. 配置IPSec安全提议，定义IPSec的保护方法。4. 配置IKE对等体，定义对等体间IKE协商时的属性。5. 配置安全策略，并引用 ACL IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法。6. 在接口上应用安全策略组，使接口具有IPSec的保护功能。操作步骤1. 分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由# 在RouterA上配置接口的IP地址。system-viewHuaweisysname RouterARouterAinterface gigabitethernet 1/0/0RouterA-GigabitEthe

4、rnet1/0/0ip addressquitRouterAinterface gigabitethernet 2/0/0RouterA-GigabitEthernet2/0/0ip addressquit#在RouterA上配置到对端的静态路由，此处假设到对端的下一跳地址为。RouterA ip route-staticip route-static在 RouterB 上配置接口的IP 地址system-viewHuaweisysname RouterBRouterBinterface gigabitethernet 1/0/0RouterB-GigabitEthernet1/0/0ip a

5、ddressquitRouterBinterface gigabitethernet 2/0/0RouterB-GigabitEthernet2/0/0ip addressquit# 在RouterA上配置ACL定义由子网去子网的数据流。RouterAacl number 3101RouterA-acl-adv-3101rule permit ip source destinationquit# 在RouterB上配置ACL定义由子网去子网的数据流。RouterBacl number 3101RouterB-acl-adv-3101rule permit ip source destinati

6、onquit3.分别在 RouterA和RouterB上创建IPSec安全提议# 在RouterA上配置IPSec安全提议。RouterAipsec proposal tran1RouterA-ipsec-proposal-tran1quit# 在RouterB上配置IPSec安全提议。RouterB ipsec proposal tranlRouterB-ipsec-proposal-tranlquit此时分别在 RouterA和RouterB上执行display ipsec proposal会显示所配置的信息4. 分别在 RouterA和RouterB上配置IKE对等体说明：该示例中没有配

7、置IKE安全提议，采用的是系统提供的一条缺省的IKE安全提议。# 在RouterA上配置IKE对等体，并根据默认配置，配置预共享密钥和对端ID。RouterA ike peer spub v1RouterA-ike-peer-spub pre-shared-key simple huaweiRouterA-ike-peer-spub remote-address quit# 在RouterB上配置IKE对等体，并根据默认配置，配置预共享密钥和对端ID。RouterB ike peer spua v1RouterB-ike-peer-spua pre-shared-key simple huaw

8、eiRouterB-ike-peer-spua remote-address quit此时分别在 RouterA和RouterB上执行display ike peer会显示所配置的信息，以RouterA为例。RouterAdisplay ike peer name spub verbosePeer name:spubExchange mode:main on phase 1Pre-shared-key:huaweiLocal ID type:IPDPD:DisableDPD mode:PeriodicDPD idle time:30DPD retransmit interval:15DPD r

9、etry limit:3Host namePeer Ip addressVPNnameLocal IP addressRemote nameNat-traversal:DisableConfigured IKE version:Version onePKI realm:NULLInband OCSPDisableLifetime notification:Enable5.分别在 RouterA和RouterB上创建安全策略#在RouterA上配置IKE动态协商方式安全策略。RouterAipsec policy map1 10 isakmpRouterA-ipsec-policy-isakmp

10、-map1-10ike-peer spubRouterA-ipsec-policy-isakmp-map1-10proposal tran1RouterA-ipsec-policy-isakmp-map1-10security acl 3101RouterA-ipsec-policy-isakmp-map1-10quit#在RouterB上配置IKE动态协商方式安全策略。RD-READYST-STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUTRouterBipsec policy use1 10 isakmpRouterB-ipsec-policy-isakmp-u

11、se1-10ike-peer spuaRouterB-ipsec-policy-isakmp-use1-10proposal tran1RouterB-ipsec-policy-isakmp-use1-10security acl 3101RouterB-ipsec-policy-isakmp-use1-10quit此时分别在 RouterA和RouterB上执行display ipsec policy会显示所配置的信息6.分别在RouterA和RouterB的接口上应用各自的安全策略组，使接口具有IPSec的保护功能# 在RouterA的接口上引用安全策略组。RouterAinterface

12、 gigabitethernet 1/0/0RouterA-GigabitEthernet1/0/0ipsec policy map1RouterA-GigabitEthernet1/0/0quit# 在RouterB的接口上引用安全策略组。RouterBinterface gigabitethernet 1/0/0RouterB-GigabitEthernet1/0/0ipsec policy use1RouterB-GigabitEthernet1/0/0quit7.检查配置结果# 配置成功后，在主机 PCA执行ping操作仍然可以ping通主机PCB，它们之间的数据传输将被加密，执行命令

13、display ipsec statistics esp可以查看数据包的统计信息。# 在RouterA上执行display ike sa操作，结果如下。RouterA display ike saPhaseConn-IDPeerVPNFlag(s)160RD|ST2140RD|ST1FlagDescription:# 分别在 RouterA和RouterB上执行display ipsec sa会显示所配置的信息，以RouterA为例。RouterA display ipsec saInterface: GigabitEthernet 1/0/0Path MTU: 1500IPSec polic

14、y name: map1Sequence number : 10Acl Group: 3101Acl rule: 5Mode: ISAKMPConnection ID: 16Encapsulation mode: TunnelTunnel local:Tunnel remote:Flowsource: 0/0Flow destination: 0/0Qos pre-classify: DisableQos group:-Outbound ESP SAsSPI: 79 (0x3d2815bb)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remainin

15、g key duration (bytes/sec): 00/3596Max sent sequence-number: 5UDP encapsulation used for NAT traversal: NInbound ESP SAsSPI: 59 (0x5ef4168b)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remaining key duration (bytes/sec): 00/3596Max received sequence-number: 4Anti-replay window size: 32UDP encapsulati

16、on used for NAT traversal: N配置文件RouterA的配置文件rule 5 permit ip source destination#ipsec proposal tranl#ike peer spub v1pre-shared-key simple huaweiremote-address#ipsec policy map1 10 isakmpsecurity acl 3101ike-peer spubproposal tran1#interface GigabitEthernet1/0/0ip addressipsec policy map1#interface GigabitEthernet2/0/0ip address#ip route-staticip route-static#returnRouterB的配置文件#sysname RouterB#acl number 3101rule 5 permit ip source destination#ipsec proposal tran1#ike peer spua v1pre-shared-key