IPSec配置思路

基本思路

必须先保障公网是互通的,其次是保障内网互通

拓扑图

1、定义需要保护的数据流——ACl

  • 开始配置之前先保证ar1-3的互通

需要使用acl进行选择,选择的就是那些流量要进入隧道

  • AR1

    1
    2
    acl 3000
    rule per ip sou 192.168.1.0 0.0.0.255 des 192.168.2.0 0.0.0.255

  • Ar3

    1
    2
    acl 3000
    rule per ip sou 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255

2、配置ike安全提议

AR1和AR3都进行配置

1
2
3
4
ike proposal 1
q
## 查看
dis ike proposal

3、配置ike对等体

AR1

  • 配置IKE对等体

    1
    ike peer to_ar3 v1

  • 需要调用ike安全提议

    1
    ike-proposal 1

  • 指明对端是谁

    1
    remote-address 2.1.1.2

  • 和对端使用的预共享密钥

    1
    2
    pre-shared-key simple lizhanqi
    q

AR3

  • 配置IKE对等体

    1
    ike peer to_ar1 v1

  • 需要调用ike安全提议

    1
    ike-proposal 1

  • 指明对端是谁

    1
    remote-address 1.1.1.2

  • 和对端使用的预共享密钥

    1
    2
    pre-shared-key simple lizhanqi
    q

4、配置IPSec安全提议

1
2
3
4
5
6
7
8
9
[Huawei]ipsec proposal 1

[Huawei]dis ipsec proposal 
Number of proposals: 1
IPSec proposal name: 1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication MD5-HMAC-96                             
                     Encryption     DES

5、配置IPSec安全策略

AR1

  • 创建安全策略

    1
    ipsec policy to_ar3_ipsec 1 isakmp

  • 调用ACL

    1
    security acl 3000

  • 调用IKe对等体

    1
    ike-peer to_ar3

  • 调用IPSec安全提议

    1
    proposal 1

AR3

  • 创建安全策略

    1
    ipsec policy to_ar1_ipsec 1 isakmp

  • 调用ACL

    1
    security acl 3000

  • 调用IKe对等体

    1
    ike-peer to_ar1

  • 调用IPSec安全提议

    1
    proposal 1

6、将IPSec安全策略应用到公网接口

AR1

  • 端口中挂接

    1
    [Huawei-GigabitEthernet0/0/1]ipsec policy to_ar3_ipsec

AR3

  • 端口中挂接

    1
    [Huawei-GigabitEthernet0/0/1]ipsec policy to_ar1_ipsec

查看ike是否建立起来

需要都有RD,才能启动

1
dis ike sa

结尾-抓包信息