IPSec配置思路

2023-12-20

字数统计: 440字 | 阅读时长≈ 2分

基本思路

必须先保障公网是互通的，其次是保障内网互通

拓扑图

1、定义需要保护的数据流——ACl

开始配置之前先保证ar1-3的互通

需要使用acl进行选择，选择的就是那些流量要进入隧道

AR1

1 2	acl 3000 rule per ip sou 192.168.1.0 0.0.0.255 des 192.168.2.0 0.0.0.255

Ar3

1 2	acl 3000 rule per ip sou 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255

2、配置ike安全提议

AR1和AR3都进行配置

ike proposal 1
q
## 查看
dis ike proposal

3、配置ike对等体

AR1
配置IKE对等体
1
ike peer to_ar3 v1
需要调用ike安全提议
1
ike-proposal 1
指明对端是谁
1
remote-address 2.1.1.2
和对端使用的预共享密钥
1
2
pre-shared-key simple lizhanqi
q

AR3
配置IKE对等体
1
ike peer to_ar1 v1
需要调用ike安全提议
1
ike-proposal 1
指明对端是谁
1
remote-address 1.1.1.2
和对端使用的预共享密钥
1
2
pre-shared-key simple lizhanqi
q

4、配置IPSec安全提议

[Huawei]ipsec proposal 1

[Huawei]dis ipsec proposal 
Number of proposals: 1
IPSec proposal name: 1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication MD5-HMAC-96                             
                     Encryption     DES

5、配置IPSec安全策略

AR1
创建安全策略
1
ipsec policy to_ar3_ipsec 1 isakmp
调用ACL
1
security acl 3000
调用IKe对等体
1
ike-peer to_ar3
调用IPSec安全提议
1
proposal 1

AR3
创建安全策略
1
ipsec policy to_ar1_ipsec 1 isakmp
调用ACL
1
security acl 3000
调用IKe对等体
1
ike-peer to_ar1
调用IPSec安全提议
1
proposal 1

6、将IPSec安全策略应用到公网接口

AR1

端口中挂接

1	[Huawei-GigabitEthernet0/0/1]ipsec policy to_ar3_ipsec

AR3

端口中挂接

1	[Huawei-GigabitEthernet0/0/1]ipsec policy to_ar1_ipsec

查看ike是否建立起来

需要都有RD，才能启动

1	dis ike sa

结尾-抓包信息

本文作者： Li Zhan Qi
本文链接： https://lzq-hopego.github.io/2023/12/20/IPSec配置思路/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！