理论视频hcp-hcie hcnp4.6efficient技术

1、Efficient技术目标学完本课程后，您将能够：了解部署现状问题理解Efficient掌握Efficient技术功能配置第1页目录部署现状问题1.2.3.技术概述功能配置EfficientEfficient第2页企业广泛部署时的问题Efficient总部不能集中1管理。总部每个分支需要配置需要重复配置分支设备升级。，工作量4ernetIPSec2大，对有一定技术要求。分支分支每一个分支需要重复配置：3、DNS服务器地址、DNSWINS服务器地址等网络资源。ACL推送，设定了允许分支子网访问的总部子网范围。第3页Efficient简化企业部署特性Efficient总部集中管理配置。1总部总部定

2、义升级分支从总部获取ernetURL，分支设备自行升级。4配置信息IPSec2，简化分支IPSec配置。分支分支 分支从总部获取：3、DNS服务器地址、DNSWINS服务器地址等网络资源，进一步分发给用户。ACL推送，分支子网动态感知可访问总部子网范围，流量进入隧道。第4页传统分支节点的配置回顾一下IPSec的配置流程：第5页目录部署现状问题1.2.3.技术概述功能配置EfficientEfficient第6页什么是EfficientIPSec简化部署，与总部建总部集中配置IPSec及其它配置信息。立IPSec并接受总部推送的网络资源配置。ernet技术以其高度的安全性、可靠性以及灵活性成为企

3、业构建其IPSec网络的首选。当企业分支数量多时，希望各个分支的配置能够尽量简单，而复杂的配置集中在总部上，Efficient复杂问题，简化分支用户业务部署。可以解决IPSec配置第7页如何实现简化分支端的配置的呢？其大致实现思路为：采用Cnt/Server结构；Remote端（分支网关）只需要简单配置；Server端（总部网关）集中了大量配置。Server端将配置“推”给Remote端ernet第8页Efficient的应用场景Efficient户端（硬件）客IPSec总部Efficient户端（软件）客Efficient网关（Server）第9页出差员工（Cnt）出差员工（Cnt）小型分支

4、小型分支硬件客户端的模式Cnt模式：Remote端会向Server端申请一个IP地址。Remote端的地址做地址转换（NAT）。Network模式：Remote端直接使用内网真实的地址去Network-plus模式：总部网络。Network-plus模式和Network模式基本一致。Cnt端会向Server端申请一个IP地址，该地址可以用于设备的管理。Network-auto-cfg模式：Network-auto-cfg模式中Cnt端还会向Server端申请IP地址池。该IP地址池用于给Cnt端下挂的用户分配地址。第10页Efficient推送配置的方法阶段1：IKE SA阶段2：IPSec

5、SA在IPSec协商的第一阶段和第二阶段之间Efficient全新的1.5阶段。该阶段的主要技术是新增了“ConfigMode”配置模式，由此为客户端推送配置。第11页Efficient在Remote端的Efficient的相关配置的相关配置：配置项IKE安全提议分支网关（部署 Efficient前）分支网关（部署 Efficient后）无需配置需要配置ike proal 10ike peer b ike-proal 10remote-address 2.2.3.2 undo ver2pre-shared-key123IKE对等体exchange-mode aggressiveremote-a

6、ddress 2.2.3.2/对端发起IKE协商的地址pre-shared-key tiandihui2acl number 3001无需配置ACLrule 5 permit ip source 192.168.0.0 0.0.0.255destination 172.16.2.0 0.0.0.255 ipsec proal atransform espIPSec安全提议无需配置encapsulation-mode tunnelesp authentication-algorithm md5esp encryption-algorithm desipsec policy policy1 11

7、isakmpsecurity acl 3001IPSec安全策略无需配置 proal aike-peer berface GigabitEthernet0/0/1应用IPSec安全策略需要配置ip address 1.1.1.1 255.255.255.0ipsec policy policy1第12页Efficient的相关配置在Server端的Efficient的相关配置：Server端参数配置分为两部分：网络资源参数配置和IPSec参数的配置。网络资源参数包括IP地址、器地址等。IPSec参数配置和传统的IPSec、DNS服务器地址、WINS服务的配置一致。第13页配置Efficient

8、立IPSec隧道示例采用Cnt模式建在Router A和Router B上配置接口的IP地址和到对端的静态路由，保证路由可达。在Router B上配置DHCP服务器地址，用于实现DHCP动态方式的地址分配。Router B作为IPSec隧道协商响应方，采用策略模板方式与Router A建立IPSec隧道在Router A上采用CIPSec隧道。nt方式配置Efficient，作为协商发起方与Router B建立第14页Cnt模式建立IPSec隧道分别在Router A和Router B上配置接口的IP地址和到对端的静态路由（略）。在Router B上配置DHCP服务器地址，用于实现DHCP动态

9、方式的地址分配：RouterBdhcp enableRouterBdhcp server group dhcp-ser1RouterB-dhcp-server-group-dhcp-ser1dhcp-server 60.1.3.2RouterB-dhcp-server-group-dhcp-ser1gateway 100.1.1.3第15页Cnt模式建立IPSec隧道（续）Router B作为IPSec隧道协商响应方，采用策略模板方式与Router A建立IPSec隧道。1. 通过AAA业务模板配置要推送的资源属服务器地址和WINS服务器地址。RouterBaaa送IP地址、DNS、DNSRo

10、uterB-aaaservi RouterB-aaa-servi RouterB-aaa-serviRouterB-aaa-servicheme schemetestchemetestdhcp-server group dhcp-ser1chemetestdns-namechemetestdns 配置IKE安全提议和IKE对等体，并将AAA业务模板绑定在IKE对等体中。配置IPSec安全提议、策略模板方式的安全策略。在接口上应用安全策略组。第16页Cnt模式建立IPSec隧道（续）在Router A上采用Cnt方式配置Efficient，建立IPSec隧道。配置Efficient址和预共享密钥

11、。的模式为Cnt模式，并在模式视图下指定IKE协商时的对端地RouterA ipsec efficient- RouterA-ipsec-efficient- RouterA-ipsec-efficient-在接口上应用Efficiente-e-e。mode cnt remote-address 60.1.2.1 v2 pre-shared-key simpleRouterAerface gigabitethernet 1/0/0RouterA-GigabitEthernet1/0/0 ipsec efficient-RouterA-GigabitEthernet1/0/0 quite第17页

12、Cnt模式建立IPSec隧道（续）检查配置结果：配置成功后，在主机PC A上执行操作仍然可以通主机PC B，执行命令display ipsec sistics esp可以查看数据包的统计信息。在Router A上执行display ike sa v2操作，结果如下：RouterA display ike sa v2Conn-ID PeerFlag(s)Phase262560.1.2.160.1.2.100RD|STRD|ST21Flag Description:RD-READYST-STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUTHRT-HEARTBEATLKG-

13、LAST KNOWN GOOD SEQ NO.BCK-BACKED UP第18页Cnt模式建立IPSec隧道（续）分别在Router A和Router B上执行display ipsec sa可以查看所配置的信息，以Router A为例。RouterA display ipsec sa=erface: GigabitEthernet1/0/0Path MTU: 1500IPSec efficient-Mode Connection IDname: e: EFFICIENT: 26-CNT MODEEncapsulation mode: TunnelTunnel local Tunnel rem

14、oteFlow source: 60.1.1.1: 60.1.2.1: 100.1.1.254/255.255.255.0 0/0Flow destination : 0.0.0.0/0.0.0.0 0/0Qos pre-classify : Disable在Router A上执行display ipsec efficient-显示Efficient策略的信息。第19页配置Efficient采模用式Network建立IPSec隧道示例配置接口的IP地址和到对端的静态路由，保证两端路由可达。在Router A上采用Network模式配置Efficient IPSec隧道。在Router B上配置

15、要推送的资源属性，包括DNS务器地址。，作为协商发起方与Router B建立、DNS服务器地址和WINS服Router B作为IPSec隧道协商响应方，采用策略模板方式与Router A建立IPSec隧道。第20页Network模式建立IPSec隧道（续）在Router A上采用Cnt方式配置Efficient，建立IPSec隧道。#配置Efficient的模式为Cnt模式，并在模式视图下指定IKE协商时的对端地址和预共享密钥。RouterA ipsec efficient-emode networkRouterA-ipsec-efficient-e security acl 3001Rout

16、erA-ipsec-efficient-e remote-address 60.1.2.1 v2RouterA-ipsec-efficient-e pre-shared-key simpleRouterAerface gigabitethernet 1/0/0RouterA-GigabitEthernet1/0/0 ipsec efficient-eacl number 3001rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255第21页Network模式建立IPSec隧道（续）检查配置结果：配置成功

17、后，在主机PC A上执行操作仍然可以通主机PC B，执行命令display ipsec sistics esp可以查看数据包的统计信息。在Router A上执行display ike sa v2操作，结果如下。Router A display ike sa v2Conn-ID PeerFlag(s)Phase262560.1.2.160.1.2.100RD|STRD|ST21Flag Description:RD-READYST-STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUTHRT-HEARTBEATLKG-LAST KNOWN GOOD SEQ NO.BCK-

18、BACKED UP第22页Network模式建立IPSec隧道（续）分别在Router A和Router B上执行display ipsec sa可以查看所配置的信息，以Router A为例。Router A display ipsec sa=erface: GigabitEthernet1/0/0Path MTU: 1500IPSec efficient-Mode : EFFICIENTname: e-NETWORK MODEConnection ID: 26Encapsulation mode: TunnelTunnel local Tunnel remoteFlow source: 60

19、.1.1.1: 60.1.2.1: 100.1.1.254/255.255.255.0 0/0Flow destination : 0.0.0.0/0.0.0.0 0/0 Qos pre-classify : Disable在Router A上执行display ipsec efficient-显示Efficient策略的信息。第23页配置Efficient方式隧道示例采用plNuestwork-配置接口的IP地址和到对端的静态路由，保证两端路由可达。在Router A上采用Network-plus模式配置Efficient建立IPSec隧道。，作为协商发起方与Router BRouter B

20、上配置要推送的资源属性，包括IP地址、DNSWINS服务器地址。、DNS服务器地址和Router B作为IPSec隧道协商响应方，采用策略模板方式与Router A建立IPSec隧道。第24页Network-plus模式建立IPSec隧道分别在Router A和Router B上配置接口的IP地址和到对端的静态路由（略）。# 在Router B上配置到对端的静态路由，此处假设到对端下一跳地址为60.1.2.2。RouterB ip route-sRouterB ip route-sic 60.1.1.0 255.255.255.0 60.1.2.2ic 10.1.1.0 255.255.255

21、.0 60.1.2.2第25页Network-plus模式建立IPSec隧道（续）Router B作为IPSec隧道协商响应方，采用策略模板方式与Router A建立IPSec隧道。1. 通过AAA业务模板配置要推送的资源属址和WINS服务器地址。RouterB ip pool po1送IP地址、DNS、DNS服务器地RouterRouter-pool-po1 network 100.1.1.0 mask 255.255.255.128-pool-po1 gateway-list 100.1.1.1RouterB aaa RouterB-aaa servi RouterB-aaa-servi

22、RouterB-aaa-serviRouterB-aaa-servicheme schemetestchemetest dhcp-server group dhcp-ser1chemetest dns-namechemetest dns 配置IKE安全提议和IKE对等体，并将AAA业务模板绑定在IKE对等体中。配置IPSec安全提议、策略模板方式的安全策略。4. 在接口上应用安全策略组。第26页Network-plus模式建立IPSec隧道（续）在Router A上采用C# 配置Efficient址和预共享密钥。nt方式配置Efficient，建立IPSec隧道。的模式为Cnt模式，并在模式视

23、图下指定IKE协商时的对端地RouterA ipsec efficient- RouterA-ipsec-efficient- RouterA-ipsec-efficient-# 在接口上应用Efficientemode network-plus remote-address 60.1.2.1 v1 pre-shared-key simple-e-e。RouterAerface gigabitethernet 1/0/0RouterA-GigabitEthernet1/0/0 ipsec efficient-e第27页Network-plus模式建立IPSec隧道（续）检查配置结果：配置成功后，在主机PC A上执行操作仍然可以通主机PC B，执行命令display ipsec sistics esp可以查看数据包的统计信息。在Router A上执行display ike sa v2操作，结果如下。RouterA display ike sa v2Conn-ID PeerFlag(s