华为数通 GRE+iPsec

配置实例

华为数通 GRE+iPsec
AR1:
1、配置基本上网环境:
[AR1]dhcp enable
[AR1]acl number 2000     # 匹配ACL做NAT出局上网
     rule 1 permit source 192.168.10.0 0.0.0.255
[AR1]interface GigabitEthernet0/0/1
     ip address 192.168.10.254 255.255.255.0 
     dhcp select interface
[AR1]interface GigabitEthernet0/0/0
     ip address 12.0.0.1 255.255.255.0 
     nat outbound 2000    # 出局接口应用NAT策略
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2    # 设置默认出局路由
2、配置GRE:
[AR1]interface Tunnel0/0/1
     tunnel-protocol gre
     source 12.0.0.1
     destination 23.0.0.3
     ip address 13.0.0.1 255.255.255.0
3、配置动态路由,使路由可达
[AR1]ospf 1 router-id 1.1.1.1 
     area 0.0.0.0 
     network 13.0.0.0 0.0.0.255 
     network 192.168.10.0 0.0.0.255
4、配置感兴趣流(ACL):
[AR1]acl 3001
     rule 1 permit gre so 12.0.0.1 0 dest 23.0.0.3 0    # 和正常配置ipsec不同的是,这里要写gre的本对端地址,并且精准匹配gre协议的数据
5、配置ipsec提议
[AR1]ipsec proposal hefei    # 创建并配置IPSec提议。
     encapsulation-mode tunnel    # 配置报文的封装模式。缺省tunnel隧道模式
     transform esp    # 配置隧道采用的安全协议。缺省esp
     esp authentication-algorithm sha2-256    # 配置ESP协议使用的认证算法。
     esp encryption-algorithm aes-128    # 配置ESP加密算法。
6、配置ike提议
[AR1]ike proposal 10    # 创建并配置IKE提议。
     authentication-method pre-share    # 配置身份认证方式。
     authentication-algorithm sha1    # 配置数据认证算法,模拟器没有sha2-* 这里改用sha1
     encryption-algorithm aes-cbc-256    # 配置加密算法。
     dh group14    # 配置密钥交换算法。
     sa duration 3600    # sa超时时间,缺省86400
     # 下面是IKEv2命令,v1这里不用敲
     integrity-algorithm hmac-sha2-256    # 配置完整性算法
     prf hmac-sha2-256    # 配置PRF算法
7、创建ike对等体(邻居)
[AR1]ike peer hefei v1    # 创建并配置IKE对等体。
     exchange-mode main    # 配置模式。缺省main
     pre-shared-key cipher huawei    # 配置PSK。
     ike-proposal 10    # 配置引用的IKE提议。
     local-address 12.0.0.1    # 配置本地IP地址。
     remote-address 23.0.0.3    # 配置对端IP地址。
     # 下面为可选命令
     dpd type periodic    # dpd对端状态检测,类型为周期性发送,不需要对端一致
     dpd idle-time 10    # 检测时间间隔为10/秒
     dpd retransmit-interval 3    # 重传时间间隔为3/秒
8、创建ipsec策略
[AR1]ipsec policy P2 10 isakmp    # 创建并配置IPSec策略(isakmp自动)。
     security acl 3001    # 配置引用的ACL。
     proposal hefei    # 配置引用的IPSec提议。
     ike-peer hefei    # 配置引用的IKE对等体。
     #下面为可选命令
     tunnel local applied-interface    # 当安全策略绑定的接口ip地址不固定或者多个的话可以执行该命令指定安全策略应用接口的地址为ipsec隧道的本端地址
     alias hefei    # 指定策略别名
     pfs dh-group14    # 第二阶段重新通过dh算法协商密钥,提高安全性。第一阶段和第二阶段的DH组要一致。
     sa trigger-mode auto    # 缺省就是auto自动触发
     sa duration traffic-based 5242880    # 缺省5242880/kb
     sa duration time-based 3600    # 缺省3600/秒
     route inject dynamic preference 20    # 反向路由注入,自动将对端私网引入路由表并设置优先级为20
[AR1]interface GigabitEthernet0/0/0
     ipsec policy P2    # 在出接口上应用指定的安全策略组
AR2:
[AR2]interface GigabitEthernet0/0/0
     ip address 12.0.0.2 255.255.255.0 
[AR2]interface GigabitEthernet0/0/1
     ip address 23.0.0.2 255.255.255.0
[AR2]interface LoopBack0
     ip address 2.2.2.2 255.255.255.255     # 模拟公网
AR3:
1、配置基本上网环境:
[AR3]dhcp enable
[AR3]acl number 2000     # 匹配ACL做NAT出局上网
     rule 1 permit source 192.168.20.0 0.0.0.255
[AR3]interface GigabitEthernet0/0/1
     ip address 192.168.20.254 255.255.255.0 
     dhcp select interface
[AR3]interface GigabitEthernet0/0/0
     ip address 23.0.0.3 255.255.255.0 
     nat outbound 2000    # 出局接口应用NAT策略
[AR3]ip route-static 0.0.0.0 0.0.0.0 23.0.0.2    # 设置默认出局路由
2、配置GRE:
[AR3]interface Tunnel0/0/1
     tunnel-protocol gre
     source 23.0.0.3
     destination 12.0.0.1
     ip address 13.0.0.3 255.255.255.0
3、配置动态路由,使路由可达
[AR3]ospf 1 router-id 3.3.3.3
     area 0.0.0.0 
     network 13.0.0.0 0.0.0.255 
     network 192.168.20.0 0.0.0.255
4、配置感兴趣流(ACL):
[AR3]acl 3001
     rule 1 permit gre so 23.0.0.3 0 dest 12.0.0.1 0    # 和正常配置ipsec不同的是,这里要写gre的本对端地址,并且精准匹配gre协议的数据
5、配置ipsec提议
[AR3]ipsec proposal shanghai    # 创建并配置IPSec提议。
     encapsulation-mode tunnel    # 配置报文的封装模式。缺省tunnel隧道模式
     transform esp    # 配置隧道采用的安全协议。缺省esp
     esp authentication-algorithm sha2-256    # 配置ESP协议使用的认证算法。
     esp encryption-algorithm aes-128    # 配置ESP加密算法。
6、配置ike提议
[AR3]ike proposal 10    # 创建并配置IKE提议。
     authentication-method pre-share    # 配置身份认证方式。
     authentication-algorithm sha1    # 配置数据认证算法,模拟器没有sha2-* 这里改用sha1
     encryption-algorithm aes-cbc-256    # 配置加密算法。
     dh group14    # 配置密钥交换算法。
     sa duration 3600    # sa超时时间,缺省86400
     # 下面是IKEv2命令,v1这里不用敲
     integrity-algorithm hmac-sha2-256    # 配置完整性算法
     prf hmac-sha2-256    # 配置PRF算法
7、创建ike对等体(邻居)
[AR3]ike peer shanghai v1    # 创建并配置IKE对等体。
     exchange-mode main    # 配置模式。缺省main
     pre-shared-key cipher huawei    # 配置PSK。
     ike-proposal 10    # 配置引用的IKE提议。
     local-address 23.0.0.3    # 配置本地IP地址。
     remote-address 12.0.0.1    # 配置对端IP地址。
     # 下面为可选命令
     dpd type periodic    # dpd对端状态检测,类型为周期性发送,不需要对端一致
     dpd idle-time 10    # 检测时间间隔为10/秒
     dpd retransmit-interval 3    # 重传时间间隔为3/秒
8、创建ipsec策略
[AR3]ipsec policy P2 10 isakmp    # 创建并配置IPSec策略(isakmp自动)。
     security acl 3001    # 配置引用的ACL。
     proposal shanghai    # 配置引用的IPSec提议。
     ike-peer shanghai    # 配置引用的IKE对等体。
     #下面为可选命令
     tunnel local applied-interface    # 当安全策略绑定的接口ip地址不固定或者多个的话可以执行该命令指定安全策略应用接口的地址为ipsec隧道的本端地址
     alias shanghai    # 指定策略别名
     pfs dh-group14    # 第二阶段重新通过dh算法协商密钥,提高安全性。第一阶段和第二阶段的DH组要一致。
     sa trigger-mode auto    # 缺省就是auto自动触发
     sa duration traffic-based 5242880    # 缺省5242880/kb
     sa duration time-based 3600    # 缺省3600/秒
     route inject dynamic preference 20    # 反向路由注入,自动将对端私网引入路由表并设置优先级为20
[AR3]interface GigabitEthernet0/0/0
     ipsec policy P2    # 在出接口上应用指定的安全策略组。

作者:Zleoco,如若转载,请注明出处:https://www.zleoco.com/?p=1635

发表回复

您的电子邮箱地址不会被公开。