資源描述:
《華為ipsecvpn配置》由會(huì)員上傳分享�����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1、AR路由器配置IKE方式的IPSecVPN????IPSec(InternetProtocolSecurity)是IETF(InternetEngineeringTaskForce)制定的一組開(kāi)放的網(wǎng)絡(luò)安全協(xié)議���,在IP層通過(guò)數(shù)據(jù)來(lái)源認(rèn)證�����、數(shù)據(jù)加密、數(shù)據(jù)完整性和抗重放功能來(lái)保證通信雙方Internet上傳輸數(shù)據(jù)的安全性����。在Internet的傳輸中,絕大部分?jǐn)?shù)據(jù)的內(nèi)容都是明文傳輸?shù)?����,這樣就會(huì)存在很多潛在的危險(xiǎn)��,比如:密碼�����、銀行帳戶的信息被竊取��、篡改,用戶的身份被冒充�,遭受網(wǎng)絡(luò)惡意攻擊等。網(wǎng)絡(luò)中部署IPSec后��,可對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)處理����,降低信息泄漏的風(fēng)
2、險(xiǎn)�����。?采用默認(rèn)配置通過(guò)IKE協(xié)商方式建立IPSec隧道示例組網(wǎng)需求如圖1所示�����,RouterA為企業(yè)分支網(wǎng)關(guān)����,RouterB為企業(yè)總部網(wǎng)關(guān),分支與總部通過(guò)公網(wǎng)建立通信��。分支子網(wǎng)為10.1.1.0/24�,總部子網(wǎng)為10.1.2.0/24。企業(yè)希望對(duì)分支子網(wǎng)與總部子網(wǎng)之間相互訪問(wèn)的流量進(jìn)行安全保護(hù)。分支與總部通過(guò)公網(wǎng)建立通信�����,可以在分支網(wǎng)關(guān)與總部網(wǎng)關(guān)之間建立一個(gè)IPSec隧道來(lái)實(shí)施安全保護(hù)��。圖1?采用默認(rèn)配置通過(guò)IKE協(xié)商方式建立IPSec隧道組網(wǎng)圖?配置思路采用如下思路配置采用IKE協(xié)商方式建立IPSec隧道:1.??配置接口的IP地址和到對(duì)端的靜態(tài)路由
3�����、���,保證兩端路由可達(dá)�。2.??配置ACL�,以定義需要IPSec保護(hù)的數(shù)據(jù)流�����。3.??配置IPSec安全提議����,定義IPSec的保護(hù)方法。4.??配置IKE對(duì)等體���,定義對(duì)等體間IKE協(xié)商時(shí)的屬性�����。5.??配置安全策略�,并引用ACL、IPSec安全提議和IKE對(duì)等體���,確定對(duì)何種數(shù)據(jù)流采取何種保護(hù)方法�����。6.??在接口上應(yīng)用安全策略組�,使接口具有IPSec的保護(hù)功能���。操作步驟1.??分別在RouterA和RouterB上配置接口的IP地址和到對(duì)端的靜態(tài)路由#?在RouterA上配置接口的IP地址����。?system-view[Huawei]?sysn
4���、ameRouterA[RouterA]?interfacegigabitethernet1/0/0[RouterA-GigabitEthernet1/0/0]?ipaddress202.138.163.1255.255.255.0[RouterA-GigabitEthernet1/0/0]?quit[RouterA]?interfacegigabitethernet2/0/0[RouterA-GigabitEthernet2/0/0]?ipaddress10.1.1.1255.255.255.0[RouterA-GigabitEthernet2/0/
5�、0]?quit#?在RouterA上配置到對(duì)端的靜態(tài)路由�����,此處假設(shè)到對(duì)端的下一跳地址為202.138.163.2。[RouterA]?iproute-static202.138.162.0255.255.255.0202.138.163.2[RouterA]?iproute-static10.1.2.0255.255.255.0202.138.163.2#?在RouterB上配置接口的IP地址��。?system-view[Huawei]?sysnameRouterB[RouterB]?interfacegigabitethernet1/
6�、0/0[RouterB-GigabitEthernet1/0/0]?ipaddress202.138.162.1255.255.255.0[RouterB-GigabitEthernet1/0/0]?quit[RouterB]?interfacegigabitethernet2/0/0[RouterB-GigabitEthernet2/0/0]?ipaddress10.1.2.1255.255.255.0[RouterB-GigabitEthernet2/0/0]?quit#?在RouterB上配置到對(duì)端的靜態(tài)路由,此處假設(shè)到對(duì)端下一跳地址為202.
7�����、138.162.2���。[RouterB]?iproute-static202.138.163.0255.255.255.0202.138.162.2[RouterB]?iproute-static10.1.1.0255.255.255.0202.138.162.22.??分別在RouterA和RouterB上配置ACL���,定義各自要保護(hù)的數(shù)據(jù)流#?在RouterA上配置ACL,定義由子網(wǎng)10.1.1.0/24去子網(wǎng)10.1.2.0/24的數(shù)據(jù)流�。[RouterA]?aclnumber3101[RouterA-acl-adv-3101]?rulepermi
8、tipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255
