组网需求
如图所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。
企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。
配置思路
采用如下思路配置采用IKE协商方式建立IPSec隧道:
- 配置接口的IP地址和到对端的静态路由,保证两端路由可达。
- 配置ACL,以定义需要IPSec保护的数据流。
- 配置IPSec安全提议,定义IPSec的保护方法。
- 配置IKE对等体,定义对等体间IKE协商时的属性。
- 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。
- 在接口上应用安全策略组,使接口具有IPSec的保护功能。
操作步骤
配置接口的IP地址和到对端的静态路由
RouterA
<Huawei> sys [Huawei] sys RouterA [RouterA] int g0/0/1 [RouterA-GigabitEthernet0/0/1] ip add 1.1.1.1 255.255.255.0 [RouterA-GigabitEthernet0/0/1] q [RouterA] int g0/0/0 [RouterA-GigabitEthernet0/0/0] ip add 10.1.1.1 255.255.255.0 [RouterA-GigabitEthernet0/0/0] q [RouterA] ip route-static 2.1.1.0 24 1.1.1.2 [RouterA] ip route-static 10.1.2.0 24 1.1.1.2
RouterB
<Huawei> sys [Huawei] sys RouterB [RouterB] int g0/0/0 [RouterB-GigabitEthernet0/0/1] ip address 2.1.1.1 24 [RouterB-GigabitEthernet0/0/1] q [RouterB] int g0/0/0 [RouterB-GigabitEthernet0/0/0] ip address 10.1.2.1 24 [RouterB-GigabitEthernet0/0/0] q [RouterB] ip route-static 1.1.1.0 24 2.1.1.2 [RouterB] ip route-static 10.1.1.0 24 2.1.1.2
Internet
#模拟环境需要配置 <Huawei>sys [Huawei]sys Internet [Internet]int g0/0/0 [Internet-GigabitEthernet0/0/0]ip add 1.1.1.2 24 [Internet-GigabitEthernet0/0/0]q [Internet]int g0/0/1 [Internet-GigabitEthernet0/0/1]ip add 2.1.1.2 24 [Internet-GigabitEthernet0/0/1]q
配置ACL,定义各自要保护的数据流
RouterA
[RouterA] acl number 3100 [RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [RouterA-acl-adv-3101] q
RouterB
[RouterB] acl number 3100 [RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [RouterB-acl-adv-3101] q
配置IPSec安全提议,定义IPSec的保护方法
RouterA
[RouterA] ipsec proposal 21wl [RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha1 # [RouterA-ipsec-proposal-tran1] encryption-algorithm aes-cbc-192 [RouterA-ipsec-proposal-tran1] quit
RouterB
配置IKE对等体,定义对等体间IKE协商时的属性。
RouterA
RouterB
配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。
RouterA
RouterB
在接口上应用安全策略组,使接口具有IPSec的保护功能。
RouterA
RouterB
