IPSec及GRE配置
第一步:配置网络通畅
第二步:设置高级acl进行过滤识别兴趣流
rule permit xx source xxxx xxx destination xxx xxx
第三步:设置IPSec安全提议
ipsec proposal xxx
配置IPSec策略时,必须引用IPSec提议来指定IPSec隧道两端使用的安全协议、加密算法、认证算法和封装模式。缺省情况下,使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。在IPSec提议视图下执行下列命令可以修改这些参数。
执行transform [ah | ah-esp | esp]命令,可以重新配置隧道采用的安全协议。
执行encapsulation-mode {transport | tunnel }命令,可以配置报文的封装模式。
执行esp authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]命令,可以配置ESP协议使用的认证算法。
执行esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes-256 ]命令,可以配置ESP加密算法。
执行ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]命令,可以配置AH协议使用的认证算法。
第四步:设置IPSec安全策略
ipsec policy [policy-name][seq-number] 命令用来创建一条IPSec策略,并进入IPSec策略视图。
安全策略是由policy-name和seq-number共同来确定的,多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略,而seq-number越小的安全策略,优先级越高。在一个接口上应用了一个安全策略组,实际上是同时应用了安全策略组中所有的安全策略,这样能够对不同的数据流采用不同的安全策略进行保护。
IPSec策略除了指定策略的名称和序号外,还需要指定SA的建立方式。如果使用的是IKE协商,需要执行ipsec-policy-template命令配置指定参数。如果使用的是手工建立方式,所有参数都需要手工配置。本示例采用的是手工建立方式。
security acl acl-number命令用来指定IPSec策略所引用的访问控制列表。
proposal proposal-name命令用来指定IPSec策略所引用的提议。
tunnel local { ip-address | binding-interface }命令用来配置安全隧道的本端地址。 tunnel remote ip-address命令用来设置安全隧道的对端地址。
sa spi { inbound | outbound } { ah | esp } spi-number命令用来设置安全联盟的安全参数索引SPI。
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。即这端是 inbound esp 3333对端就是outbound esp 3333
sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;同时,本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。即同上
ipsec policy policy-name命令用来在接口上应用指定的安全策略组。手工方式配置的安全策略只能应用到一个接口。
第五步:在一个接口上应用IPSec
display ipsec proposal [name <proposal-name>]命令,可以查看IPSec提议中配置的参数。
Number of proposals字段显示的是已创建的IPSec提议的个数。 IPSec proposal name字段显示的是已创建IPSec提议的名称。
Encapsulation mode字段显示的指定提议当前使用的封装模式,其值可以为传输模式或隧道模式。
Transform字段显示的是IPSec所采用的安全协议,其值可以是AH、ESP或AH-ESP。
ESP protocol字段显示的是安全协议所使用的认证和加密算法。
display ipsec policy [brief | name policy-name [ seq-number ]]命令,可以查看指定IPSec策略或所有IPSec策略。命令的显示信息中包括:策略名称、策略序号、提议名称、ACL、隧道的本端地址和隧道的远端地址等
GRE配置
路由器A:
[RTA]interface Tunnel 0/0/1 //两端连接的该编号可不一样。
[RTA-Tunnel0/0/1]ip address xxxx xxx //隧道的逻辑地址,在路由表中为目标网段的下一跳地址 随便配要在一个网段
[RTA-Tunnel0/0/1]tunnel-protocol gre
[RTA-Tunnel0/0/1]source xxxx //本端物理接口IP地址
[RTA-Tunnel0/0/1]destination xxxx //对端物理接口IP地址
[RTA-Tunnel0/0/1]keepalive period 3 retry-times 10 //配置每隔3秒发送检测,共发送10次
[RTA-Tunnel0/0/1]quit
[RTA]ip route-static xxxx xxx Tunnel 0/0/1 //该条目用于指定要使用GRE隧道协议的目的网段,如果通信地址不进行引导,则不使用GRE进行通信。如果需要多个网段使用GRE隧道,可配置多条该命令来实现。 可以直接默认路由 0.0.0.0 0 Tunnel xxxx
注意:在配置内网主机通过GRE隧道访问外部时,不需要将内网主机网段写进路由表中,因为配置了GRE协议的路由器会将中网报文中的源和目标IP改成GRE两端的IP地址,所以只需要将GRE对端路由器的网关写进路由表即可。
如下命令:
[RTA]ip route-static xxxx xxxx xxxx
查询隧道状态,要隧道接口状态和协议接口状态都UP才能正常使用GRE协议:
[RTA]display interface Tunnel 0/0/1
两端都要设置
路由器B:
[RTB]interface Tunnel 0/0/0 //两端直接该编号可不一样。
[RTB-Tunnel0/0/1]ip address xxxxx 30 //这里要设置成直连网段
[RTB-Tunnel0/0/1]tunnel-protocol gre
[RTB-Tunnel0/0/1]source xxxxx
[RTB-Tunnel0/0/1]destination xxxx
[RTB-Tunnel0/0/1]quit
[RTB]ip route-static xxxx xxxx Tunnel 0/0/0
[RTB]ip route-static xxxx xxx xxxx //设置了默认路由就可以不设置这条,上面同理
使用IPSec 来加密GRE隧道
AR1:
acl number xxxx
# //注意:在设置源访问目标时,应该写GRE协议转换后的源、目标地址,即GRE两端设备的物理接口IP地址,而非两端私网内的IP地址。
rule permit ip source xxxx xxxx destination xxxx xxxx
# //创建提议
ipsec proposal huawei
#//创建ipsec安全提议 名称huawei
//ike自动协商配置
ike proposal 1
# //指定IKE安全提议的序号。数值越小,优先级越高
ike peer r3 v2 //创建并进入ike对等体r3 版本v2
pre-shared-key simple huawei123 //预共享密匙
ike-proposal 1 //指定对等方的IKE建议
remote-address xxxx //对端物理接口IP
#
ipsec policy huawei 1 isakmp //创建一个叫huawei的优先级1的使用ike建立IPSec服务协议的IPSec安全策略
security acl xxxx //对于IPsec的security acl而言,若匹配到permit的规则,则进行Ipsec处理,outbound对数据进行IPsec封装,inbound对IPSec加密数据进行姐封装;若不匹配,或者匹配到了deny的规则,则数据流不需要进行保护,直接发送报文。
ike-peer r3 //指定对等方的对等体 IPSec安全策略中引用IKE对等体。
proposal huawei //引用IPSec安全提议。
q
int g0/0/2 //应用端口
ipsec policy huawei
#
浙公网安备 33010602011771号