实验拓扑图配置步骤
(1)配置MSR36-20_1
#配置各接口的IP地址,具体略。
#配置ACL 3101,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流。
<H3C>系统视图[H3C] ACL号3101[H3C-ACL-ADV-3101]规则允许IP源10.1.1.0 0.0.0.255目标10.1.2.0 0.0.0.255[H3C-ACL-ADV-3101]退出复制代码
#创建IPsec安全重置lzc。
[H3C] ipsec转换集lzc复制代码
#配置安全协议对IP报文的封装形式为隧道模式。
[H3C-ipsec-transform-set-lzc]封装模式隧道复制代码
#配置采用的安全协议为ESP。
[H3C-ipsec-transform-set-lzc]协议esp复制代码
#配置ESP协议采用的加密算法为128位的AES,认证算法为HMAC-SHA1。
[H3C-ipsec-transform-set-lzc] esp加密算法aes-cbc-128[H3C-ipsec-transform-set-lzc] esp认证算法sha1[H3C-ipsec-transform-set-lzc]退出复制代码
#创建IKE钥匙串,名称为lzc1。
[H3C] ike钥匙扣lzc1复制代码
#配置与IP地址为2.2.2.1的对端使用的预共享密钥为明文123456TESTplat&!。
[H3C-ike-keychain-lzc1]预共享密钥地址2.2.2.1 255.255.255.0密钥简单123456TESTplat&!复制代码
[H3C-ike-keychain-lzc1]退出#创建IKEprofile,名称为LZC1。
[H3C] ike个人资料LZC1复制代码
#指定引用的IKE钥匙串为lzc1。
[H3C-ike-profile-LZC1]钥匙扣lzc1复制代码
#配置本端的身份信息为IP地址1.1.1.1。
[H3C-ike-profile-LZC1]本地身份地址1.1.1.1复制代码
#配置匹配对端身份的规则为IP地址2.2.2.1/24。
[H3C-ike-profile-LZC1]匹配远程标识地址2.2.2.1 255.255.255.0[H3C-ike-profile-LZC1]退出复制代码
#创建一条IKE协商方式的IPsec安全策略,名称为LZC,顺序号为10。
[H3C] ipsec策略LZC 10 isakmp复制代码
#配置IPsec隧道的对端IP地址为2.2.2.1。
[H3C-ipsec-policy-isakmp-LZC-10]远程地址2.2.2.1复制代码
#指定引用ACL 3101。
[H3C-ipsec-policy-isakmp-LZC-10]安全ACL 3101复制代码
#指定引用的安全预设为lzc。
[H3C-ipsec-policy-isakmp-LZC-10] transform-set lzc#指定引用的IKE配置文件为LZC1。[H3C-ipsec-policy-isakmp-LZC-10] ike-profile LZC1[H3C-ipsec-policy-isakmp-LZC-10]退出复制代码
#在接口GigabitEthernet2 / 1/1上应用IPsec安全策略LZC。
[H3C-GigabitEthernet2 / 1/1] ipsec适用策略LZC退出[H3C-GigabitEthernet2 / 1/1]复制代码
(2)配置MSR36-20_3
#配置各接口的IP地址,具体略。
#配置ACL 3101,定义要保护由子网10.1.2.0/24去往10.1.1.0/24的数据流。
<H3C>系统视图[H3C] ACL号3101[H3C-ACL-ADV-3101]规则允许ip源10.1.2.0 0.0.0.255目标10.1.1.0 0.0.0.255[H3C-ACL-ADV-3101]退出复制代码
#创建IPsec安全重置lzc。
[H3C] ipsec转换集lzc复制代码
#配置安全协议对IP报文的封装形式为隧道模式。
[H3C-ipsec-transform-set-lzc]封装模式隧道复制代码
#配置采用的安全协议为ESP。
[H3C-ipsec-transform-set-lzc]协议esp复制代码
#配置ESP协议采用的加密算法为128位的AES,认证算法为HMAC-SHA1。
[H3C-ipsec-transform-set-lzc] esp加密算法aes-cbc-128[H3C-ipsec-transform-set-lzc] esp认证算法sha1[H3C-ipsec-transform-set-lzc]退出复制代码
#创建IKEkeychain,名称为lzc1。
[H3C] ike钥匙扣lzc1复制代码
#配置与IP地址为1.1.1.1的对端使用的预共享密钥为明文123456TESTplat&!。
[H3C-ike-keychain-lzc1]预共享密钥地址1.1.1.1 255.255.255.0密钥simple123456TESTplat&!复制代码
[H3C-ike-keychain-lzc1]退出#创建IKEprofile,名称为LZC1。
[H3C] ike个人资料LZC1复制代码
#指定引用的IKE钥匙串为lzc1。
[H3C-ike-profile-LZC1]钥匙扣lzc1复制代码
#配置本端的身份信息为IP地址2.2.2.1。
[H3C-ike-profile-LZC1]本地身份地址2.2.2.1复制代码
#配置匹配对端身份的规则为IP地址1.1.1.1/24。
[H3C-ike-profile-LZC1]匹配远程标识地址1.1.1.1 255.255.255.0[H3C-ike-profile-LZC1]退出复制代码
#创建一条IKE协商方式的IPsec安全策略,名称为LZC0,顺序号为10。
[H3C] ipsec策略LZC0 10 isakmp复制代码
#配置IPsec隧道的对端IP地址为1.1.1.1。
[H3C-ipsec-policy-isakmp-LZC0-10]远程地址1.1.1.1复制代码
#指定引用ACL 3101。
[H3C-ipsec-policy-isakmp-LZC0-10]安全ACL 3101复制代码
#指定引用的安全预设为lzc。
[H3C-ipsec-policy-isakmp-LZC0-10]变换集lzc复制代码
#指定引用的IKE配置文件为LZC1。
[H3C-ipsec-policy-isakmp-LZC0-10] ike-profile LZC1[H3C-ipsec-policy-isakmp-LZC0-10]退出复制代码
#在接口GigabitEthernet2 / 1/1上应用IPsec安全策略LZC0。
[H3C-GigabitEthernet2 / 1/1] ipsec应用策略LZC0复制代码验证配置
MSR36-20_1验证信息
[H3C] dis ipsec sa-------------------------------接口:GigabitEthernet0 / 1------------------------------------------------------------安全策略:LZC序列号:10模式:ISAKMP----------------------------- 隧道ID:0 封装方式:隧道 完善的前向保密性: 内部VPN: 扩展序列号启用:N 通信流机密启用:否 路径MTU:1428 隧道: 本地地址:1.1.1.1 远程地址:2.2.2.1 流: 酸地址:10.1.1.0/255.255.255.0端口:0协议:ip 目标地址:10.1.2.0/255.255.255.0端口:0协议:ip [入站ESP SA] SPI:2554708496(0x9845c210) 连接ID:4294967296 转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1 SA持续时间(千字节/秒):1843200/3600 SA剩余持续时间(千字节/秒):1843198/3392 最大接收序列号:19 启用防重播检查:是 防重播窗口大小:64 用于NAT遍历的UDP封装:N 状态:有效 [出站ESP SA] SPI:328464890(0x1393f9fa) 连接ID:4294967297 转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1 SA持续时间(千字节/秒):1843200/3600 SA剩余持续时间(千字节/秒):1843198/3392 最大发送序列号:19 用于NAT遍历的UDP封装:N 状态:有效[H3C] dis ike sa 连接ID远程标志DOI-------------------------------------------------- ---------------- 1 2.2.2.1 RD IPsec标志:RD--就绪RL--取代FD衰减RK-REKEY[H3C]不同的提案优先认证认证加密Diffie-Hellman持续时间 方法算法算法组(秒)-------------------------------------------------- --------------------------默认的预共享密钥SHA1 DES-CBC组1 86400复制代码
MSR36-20_3验证信息
[H3C] dis ipsec sa-------------------------------接口:GigabitEthernet0 / 0------------------------------------------------------------安全策略:LZC0序列号:10模式:ISAKMP----------------------------- 隧道ID:0 封装方式:隧道 完善的前向保密性: 内部VPN: 扩展序列号启用:N 通信流机密启用:否 路径MTU:1428 隧道: 本地地址:2.2.2.1 远端地址:1.1.1.1 流: 酸地址:10.1.2.0/255.255.255.0端口:0协议:ip 目标地址:10.1.1.0/255.255.255.0端口:0协议:ip [入站ESP SA] SPI:328464890(0x1393f9fa) 连接ID:64424509440 转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1 SA持续时间(千字节/秒):1843200/3600 SA剩余时间(千字节/秒):1843198/2104 最大接收序列号:19 启用防重播检查:是 防重播窗口大小:64 用于NAT遍历的UDP封装:N 状态:有效 [出站ESP SA] SPI:2554708496(0x9845c210) 连接ID:4294967297 转换集:ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1 SA持续时间(千字节/秒):1843200/3600 SA剩余时间(千字节/秒):1843198/2104 最大发送序列号:19 用于NAT遍历的UDP封装:N 状态:有效[H3C] dis ike sa 连接ID远程标志DOI-------------------------------------------------- ---------------- 8 1.1.1.1 RD IPsec标志:RD--就绪RL--取代FD衰减RK-REKEY[H3C]不同的提案优先认证认证加密Diffie-Hellman持续时间 方法算法算法组(秒)-------------------------------------------------- --------------------------默认的预共享密钥SHA1 DES-CBC组1 86400复制代码
原文出自:林三岁网络安全实验室+
转载请注明出处:/forum.php?mod=viewthread&tid=25&extra=page%3D1
如果觉得《新华三网络教程之ipsce实战IKE配置》对你有帮助,请点赞、收藏,并留下你的观点哦!