关于AR系列路由器标准ipsec的典型配置
关于AR系列路由器标准ipsec的典型配置
【需求】
两台路由器通过internet采用ipsec tunnel方式互通。
【组网图】
【配置脚本】
RouterA配置脚本
#
sysname RouterA
#
radius scheme system
#
domain system
#
ike proposal 1
#
ike peer a
pre-shared-key huawei-3com
remote-address 202.0.0.2
#
ipsec proposal a
#
ipsec policy a 1 isakmp
security acl 3000
ike-peer a
proposal a
#
acl number 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 #
interface Ethernet1/0/0
ip address 192.168.1.1 255.255.255.0
#
interface Serial2/0/0
link-protocol ppp
ip address 202.0.0.1 255.255.255.0
ipsec policy a
#
interface NULL0
ip route-static 0.0.0.0 0.0.0.0 202.0.0.2 preference 60
#
user-interface con 0
user-interface vty 0 4
#
return
RouterB配置脚本
#
sysname RouterB
#
radius scheme system
#
domain system
#
ike proposal 1
#
ike peer b
pre-shared-key huawei-3com
remote-address 202.0.0.1
#
ipsec proposal b
#
ipsec policy b 1 isakmp
security acl 3000
ike-peer b
proposal b
#
acl number 3000
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 #
interface Ethernet1/0/0
ip address 192.168.2.1 255.255.255.0
#
interface Serial2/0/0
link-protocol ppp
ip address 202.0.0.2 255.255.255.0
ipsec policy b
#
interface NULL0
ip route-static 0.0.0.0 0.0.0.0 202.0.0.1 preference 60
#
user-interface con 0
user-interface vty 0 4
#
return
【验证】
确认RouterA上建立ike sa
[RouterA]disp ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
2 202.0.0.2 RD|ST 1 IPSEC
3 202.0.0.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
【提示】
1、当路由器即需要配置ipsec,又需要使用NAT的,一定要在NAT
的ACL中deny掉ipsec保护的流。否则需要进行ipsec保护的流会先会被NAT的ACL匹配,进行NAT,而无法触发ipsec的建立。
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
IPSEC配置文档
配置步骤: 一、.使得R1与R3之间(公网之间)能够通信 [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 [R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 二、IPSEC配置 R1配置: 1.配置数据流 [R1]acl num 3000 [R1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0 2.IKE策略配置 [R1]ike proposal 10 //创建IKE提议,并进入IKE视图 [R1-ike-proposal-10]encryption-algorithm 3des-cbc //IKE提议使用的加密算法 [R1-ike-proposal-10]authentication-method pre-share //IKE提议使用的密钥处理方式
[R1-ike-proposal-10]authentication-algorithm md5 //IKE提议使用的验证算法 [R1-ike-proposal-10]dh group2 //IKE提议使用的DH交换组 [R1-ike-proposal-10]sa duration 86400 //ISAKMP SA生存周期 [R1-ike-proposal-10] 3.配置IKE对等体及密钥 [R1]ike peer R3 //创建IKE对等体,并进入IKE对等体视图 [R1-ike-peer-r3]exchange-mode main //IKE对等体的协商模式 [R1-ike-peer-r3]pre-shared-key h3c //IKE对等体的密钥 [R1-ike-peer-r3]local-address 12.1.1.1 //本端安全网关地址 [R1-ike-peer-r3]remote-address 23.1.1.3 //对端安全网关地址 [R1-ike-peer-r3]remote-name R3 //对端安全网关名称 [R1]ike local-name R1 //本端安全网关名称 [R1] 4. IPSEC安全提议配置
H3C MSR系列路由器IPsec典型配置举例(V7)
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
IPSec配置案例
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
IPSec 配置指导
第3章IPSec 配置指导 3.1 组网及业务描述 图3-1 在RTA 和RTC 之间建立一个安全隧道,对RTA 上的LookBack 地址与RTC 上的LoopBack 地址之间的数据流进行安全保护。安全协议采用ESP 协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。 3.2 配置步骤 (1) 配置ACL 在系统视图下,创建高级ACL,指定加密数据的范围; (2) 配置静态路由 在系统视图下,为两边LoopBack 地址建立连通性配置静态路由。 (3) 配置安全提议 系统视图下创建安全提议,并命名安全提议。 (4) 选择隧道封装协议 安全提议视图下,选择隧道协议:传输模式或隧道模式。默认为隧道模式。(5) 选择安全协议 安全提议视图下,选择安全协议:ESP 或AH。默认为ESP。 (6) 选择算法 同样在安全提议视图下,选择加密算法及认证算法。 (7) 创建安全策略 系统视图下,创建安全策略并选择协商方法为Manual。 (8) 引用ACL 及安全提议 安全策略视图下引用ACL 及安全提议。 (9) 设置对端地址 安全策略视图下设置对端地址。对端地址为接收方的物理地址。 (10) 设置本端地址 安全策略视图下设置本端地址。本端地址为发送方的物理地址。 (11) 设置SPI
安全策略视图下设置SPI。 设置inbound 和outbound 两个方向安全联盟的参数。 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安 全联盟的SPI 必须和对端的出方向安全联盟的SPI 一样;本端的出方向安全 联盟的SPI 必须和对端的入方向安全联盟的SPI 一样。 (12) 配置安全联盟使用的密钥 请在安全策略视图下配置密钥。此配置任务仅用于manua l 方式的安全策略,用如下命令手工输入安全联盟的密钥。对于采用isakmp 协商方式的安全策略,无需手工配置密钥,IKE 将自动协商安全联盟的密钥。 (13) 在接口上应用安全策略组 DL010012 IP VPN 实验指导书ISSUE 1.2 第3 章IPSec 配置指导 华为技术有限公司版权所有, 未经许可不得扩散21 此配置任务将安全策略组应用到接口,从而实现对流经这个接口的不同的数 据流进行不同的安全保护。如果所应用的安全策略是手工方式建立安全联盟,会立即生成安全联盟。如果所应用的是自动协商方式的安全联盟,不会立即 建立安全联盟,只有当符合某IPSec 安全策略的数据流从该接口外出时,才 会触发IKE 去协商IPSec 安全联盟。 3.3 配置参考 3.3.1 端口配置 1. 配置RTA
华三华为交换机-路由器配置常用命令
H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口
华为路由器配置详细教程.doc
感谢你的阅读 感谢你的阅读华为路由器配置详细教程 华为路由器的品质是众所周知的,但其设备的配置方法可能就不是很多人知道了吧,欢迎大家来到学习啦,本文为大家讲解华为路由器配置详细教程,欢迎大家阅读学习,希望能帮到你。 华为路由器配置详细教程一 目前华为路由器的市场份额还是非常高的,同时其配置和其他的路由器也有一些差别,首先让大家了解下VRP软件升级操作,然后全面介绍在默认链路层封装上的区别(主要用于DDN 的配置)。华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。 另外它的软件升级,远程配置,备份中心,P Element not supported - Type:8 Name:#comment PPP回拨,华为路由器热备份等,对用户来说均是极有用的功能特性。在配置方面,华为路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。 一、VRP软件升级操作 升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。 1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接。 2.在win95/98下建立使用直连线的超级终端,参数:波特率9600,数据位8,停止位1,无效验,无流控,VT100终端类型
IPSec VPN配置总结
IPSec VPN配置总结 近段时间,笔者完成了一些IPSec VPN的配置,有站点到站点固定公网IP 地址的IPSec VPN,有站点到站点使用固定公网IP地址的EZVPN,有网络中心点是固定公网IP地址,而分支机构是动态地址的DMVPN,有路由器和防火墙之间互联的IPSec VPN,也有不同厂商的设备之间互联的IPSec VPN。通过这些项目的锻炼,笔者感到对IPSec VPN的了解又增进了一步,以前一些模糊的地方,经过这次项目的实践之后也越来越清晰,以下就是笔者对IPSec VPN配置的总结和配置实例。 一、理解IPSec VPN VPN是利用公共网络建立一条专用的通道来实现私有网络的连接,IPSec VPN就是利用IPSec协议框架实现对VPN通道的加密保护。IPSec工作在网络层,它能在IP层上对数据提供加密、数据完整性、起源认证和反重放保护等功能。 加密的作用就是通过将数据包加密,保证数据的安全,即使数据包被人监听获取到,也无法阅读数据内容。 IPSec使用的数据加密算法是对称密钥加密系统。支持的加密算法主要有:DES、3DES、MD5和SHA加密算法,这种加密算法需要一个共享的密钥执行加密和解密,共享的密钥是通过通信两端交换公钥,然后用公钥和各自的私钥进行运算,就得到了共享的密钥,这样就需要一个公钥交换的算法。DH密钥协议就是一种公钥交换方法。DH密钥交换协议有组1到组7的几种不同的算法。DES 和3DES支持组1和2,AES支持组2和5,因此如果选用了不同的加密算法,就需要选择相应的DH密钥交换算法。 数据完整性的作用就是保证数据包在传输的过程当中没有被篡改。
华为路由器和交换机配置地址转换
华为路由器和交换机配置地址转换 一. 端口: 路由器——ethernet(以太口)、Serial(串口)、loopback(虚拟端口) 交换机——ethernet、vlan、loopback 注意:交换机默认其24个端口全在vlan 1里面,交换机在给vlan配了ip之后就具有路由器的功能了。另一个需要注意的是,所用的端口是否被shutdown了,如果被shutdown了, 需要进入相应的端口执行undo shutdown。 二. 配置ip 除了交换机的以太口不可以配置ip外,其他端口都可以,配置方法相同。 [Quidway] interface *(所要配置的端口,如vlan 1) [Quidway-*]ip add *.*.*.*(ip) *.*.*.*(掩码)/*(掩码位数,一般只在路由器上适 用) 三. NAT 上网(此命令是在VRP版本为3.4的路由器上测试的,在其他版本上是否适用,未 经考察)组网图: R1 E0/2 E0/3 E0/1 E1:192.192.169.*/24 E0:192.168.2.1/24 Ip:192.168.2.10/24 网关:192.168.2.1 Ip:192.168.2.11/24 网关:192.168.2.1 Ip:192.168.2.12/24 网关:192.168.2.1 Ip:192.168.2.13/24 网关:192.168.2.1 PCA PCB PCC E0/4 To internet PCD S1
E0/5 NAPT工作过程:P19 1.用地址池的方法上网: 首先配置路由器的接口的ip地址, 然后配置地址转换,把所有内网地址转换成所配置的地址池中的地址,参考命令如下:[R1]acl number 2000 //在vrp为3.4的路由器上,2000-2999表示basic acl [R1-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255(地址掩码的反码) [R1-acl-basic-2000]rule deny source any #这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包[R1]nat address-group 1(地址池的组号)192.192.169.10 192.192.169.15 #这条命令定义了一个包含6个公网地址(10~15)的地址池,地址池代号为1 [R1] interface e 1 [R1-Ethernet1] nat outbound 2000(acl的编号) address-group 1 (地址池的代 号) [R1]ip route-static 0.0.0.0 0.0.0.0 192.192.169.1 (千万不要忘记这一步,!)#上面设置了路由器的E0和E1端口IP地址,并在路由表中添加缺省路由。 2.共用一个ip上网 首先配置路由器的接口的ip地址,参考命令如下: system [Router]sysname R1 [R1]interface e0 [R1-Ethernet0]ip add 192.168.2.1 24 [R1]interface e1 [R1-Ethernet1]ip add 192.192.169.10 24 //这里假设出口ip是192.192.169.10 然后配置地址转换,参考命令如下: [R1]acl number 2000 //在vrp为3.4的路由器上,2000-2999表示basic acl [R1-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255(地址掩码的反码) [R1-acl-basic-2000]rule deny source any #这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包 [R1] interface e 1 [R1-Ethernet1]nat server protocol tcp global 192.192.169.10(E1的ip) inside 192.168.2.1(内网网关E0的ip) [R1-Ethernet1] nat outbound 2000(acl的编号) [R1]ip route-static 0.0.0.0 0.0.0.0 192.192.169.1 #上面设置了路由器的E0和E1端口IP地址,并在路由表中添加缺省路由。 注:有的组网图可能会复杂一些,比如交换机上划分了vlan,需要在路由器上添加到交换
华为路由器一般的配置方法
华为路由器一般的配置方法
华为路由器一般的配置方法 如何设置华为3COM路由器主机名 这里我们以将主机名设置为syxx为例,输入“sysname syxx”,然后按回车键执行命令,这时主机提示符前的主机名变为syxx,说明设置主机名成功。 如何配置一个以太网接口 路由器就好比一台PC机,不同的接口就好比计算机的网卡。每个计算机都要设置IP地址才能在网络中进行通信,路由器也是如此,我们要为接口分配IP地址和子网掩码才能正常工作。最常见的接口是以太网接口,本段将为大家介绍如何配置一个以太网接口。 第一步:登录路由器
用正确的用户名和密码登录路由器,要求是管理员权限或操作员权限。 第二步:进入以太网接口E0 int e 0 第三步:设置IP地址和子网掩码 ip address 192.168.1.1 255.255.255.0 这样就完成了对E0端口的IP地址分配。当然华为3COM路由器默认情况下当给接口设置了IP地址就会自动打开。所以不用象CISCO设备那样还需要执行no shutdown命令打开接口。 小提示: 有的时候需要短时间的将某端口禁用,如果将其IP地址取消等以后再使用时还需要重新配置,这时候也可以在华为3COM路由器上时候禁用端口命令。即输入shutdown后回车这样该端
口就被禁用了,如果想恢复则输入undo shutdown 将端口重新激活。 如何修改华为3COM路由器的显示语言 我们登录到路由器上直接输入language,然后回车,在接下来的对话中会询问用户是否切换语言模式,我们选择Y后IOS会自动切换到中文模式,所有命令的注释都是中文的。同样当我们想回到英文模式显示时只需要再次输入language后回车,然后选择Y就会从中文显示模式返回到英文显示模式。 如何修改华为3COM路由器的登陆密码 登录路由器后输入local-user softer password cipher 111111 service-type exec-administrator回车就创建了一个名为
路由器-GRE-Over-IPSec典型配置
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
IPSec配置命令
IPSec配置命令 2010-06-25 14:57:48| 分类:路由交换|字号订阅 IPSec配置命令 ipsec配置命令包括: 1 clear crypto sa 2 crypto ipsec transform-set 3 crypto map 4 crypto map {ipsec-manual|ipsec-isakmp} 5 cryto ipsec security-association lifetime 6 match address 7 mode 8 set peer 9 set security-association lifetime 10 set session-key ah 11 set session-key esp 12 set transform-set 13 show crypto ipsec sa 14 show crypto ipsec security-association lifetime 15 show crypto ipsec transform-set 16 show crypto map 17 debug crypto ipsec 1 clear crypto sa 命令:clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]] 功能:删除安全联盟。 参数:map指定加密映射集;[map-name] [[map-number]]为加密映射集的名称或号码;peer 指定对端的ip地址;[ip-address]为对端的ip地址。 命令模式:特权用户配置模式。 使用指南:如果未使用map、peer关键字,所有的ipsec安全联盟都将被删除。举例:删除由map-tunnel1创建的所有现存的安全联盟。
ipsec穿越nat典型配置指导
IPSEC穿越NAT 典型配置指导 Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司
IPSEC穿越NAT特性典型配置指导目录 目录 1 特性介绍 (2) 2 特性的优点 (2) 3 使用指南 (2) 3.1 使用场合 (2) 3.2 配置步骤 (2) 3.2.1 配置IKE安全提议 (3) 3.2.2 配置IKE对等体 (4) 3.2.3 配置IPSEC访问控制列表 (4) 3.2.4 配置IPSEC安全提议 (5) 3.2.5 配置IPSEC安全策略 (5) 3.2.6 应用IPSEC安全策略 (6) 3.3 注意事项 (6) 3.4 举例:隧道模式下的IPSEC穿越NAT (6) 3.4.1 组网需求 (6) 3.4.2 组网图 (7) 3.4.3 硬件连接图 (7) 3.4.4 配置 (7) 3.4.5 验证结果 (11) 3.4.6 故障排除 (11) 4 关键命令 (12) 4.1 nat traversal (12) 5 相关资料 (13) 5.1 相关协议和标准 (13) 5.2 其他相关资料 (13)
IPSEC 穿越NAT 特性典型配置指导 正文 关键词:IPSEC ,NAT 摘 要:本文简单描述IPSEC 及其穿越NAT 特性的特点,详细描述了路由器上配置IPSEC 穿越 NAT 的基本方法和详细步骤,给出了一种IPSEC 穿越NAT 方法的配置案例。 缩略语: 第1页
1 特性介绍 IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互 操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证 数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。 如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。 2 特性的优点 IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极 大拓展了IPSEC VPN的应用范围。 3 使用指南 3.1 使用场合 用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用 IPSEC穿越NAT特性。 要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持 此特性。 路由器VRP版本要求是VRP 3.3 Release 0006及以上。 3.2 配置步骤 IPSec协议有两种操作模式:传输模式和隧道模式。在传输模式下,AH或ESP被插入到IP头 之后但在所有传输层协议之前,或所有其他IPSec协议之前。在隧道模式下,AH或ESP插在原始 IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可 第2页
HCMSR系列路由器IPsec典型配置举例V图文稿
H C M S R系列路由器 I P s e c典型配置举例V 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。