bjjqsj 发表于 2012-5-22 14:17:06

手工方式建立IPSec 安全隧道的方法

1. 组网需求
  􀁺 在 Router A 和Router B 之间建立一个安全隧道,对Host A 所在的子网 (10.1.1.0/24)与Host B 所在的子网(10.1.2.0/24)之间的数据流进行安全保护。
  􀁺 安全协议采用 ESP 协议,加密算法采用DES,认证算法采用SHA1-HMAC-96
  2. 组网图
http://www.515network.com/UploadFiles/2012-05/admin/2012052202.png
  3. 配置步骤
  (1) 配置Router A
  # 配置一个访问控制列表,定义由子网10.1.1.0/24 去子网10.1.2.0/24 的数据流。
   system-view
   acl number 3101
   rule permit ip source 10.1.1.0 0.0.0.255 destination
  10.1.2.0 0.0.0.255
   rule deny ip source any destination any
   quit
  # 配置到Host B 的静态路由。
   ip route-static 10.1.2.0 255.255.255.0 serial 2/1
  # 创建名为tran1 的安全提议。
   ipsec proposal tran1
  # 报文封装形式采用隧道模式。
   encapsulation-mode tunnel
  # 安全协议采用ESP 协议。
   transform esp
  # 选择算法。
   esp encryption-algorithm des
   esp authentication-algorithm sha1
   quit
  # 创建一条安全策略,协商方式为manual。
   ipsec policy map1 10 manual
  # 引用访问控制列表。
   security acl 3101
  # 引用安全提议。
   proposal tran1
  # 配置对端地址。
   tunnel remote 2.2.3.1
  # 配置本端地址。
   tunnel local 2.2.2.1
  # 配置SPI。
   sa spi outbound esp 12345
   sa spi inbound esp 54321
  # 配置密钥。
   sa string-key outbound esp abcdefg
   sa string-key inbound esp gfedcba
   quit
  # 配置串口的IP 地址。
   interface serial 2/1
   ip address 2.2.2.1 255.255.255.0
  # 在串口上应用安全策略组。
   ipsec policy map1
  (2) 配置Router B
  # 配置一个访问控制列表,定义由子网10.1.2.0/24 去子网10.1.1.0/24 的数据流。
   system-view
   acl number 3101
   rule permit ip source 10.1.2.0 0.0.0.255 destination
  10.1.1.0 0.0.0.255
   rule deny ip source any destination any
   quit
  # 配置到HostA 的静态路由。
   ip route-static 10.1.1.0 255.255.255.0 serial 2/2
  # 创建名为tran1 的安全提议。
   ipsec proposal tran1
  # 报文封装形式采用隧道模式。
   encapsulation-mode tunnel
  # 安全协议采用ESP 协议。
   transform esp
  # 选择算法。
   esp encryption-algorithm des
   esp authentication-algorithm sha1
   quit
  # 创建一条安全策略,协商方式为manual。
   ipsec policy use1 10 manual
  # 引用访问控制列表。
   security acl 3101
  # 引用安全提议。
   proposal tran1
  # 配置对端地址。
   tunnel remote 2.2.2.1
  # 配置本端地址。
   tunnel local 2.2.3.1
  # 配置SPI。
   sa spi outbound esp 54321
   sa spi inbound esp 12345
  # 配置密钥。
   sa string-key outbound esp gfedcba
   sa string-key inbound esp abcdefg
   quit
  # 配置串口的IP 地址。
   interface serial 2/2
   ip address 2.2.3.1 255.255.255.0
  # 在串口上应用安全策略组。
   ipsec policy use1
  以上配置完成后,Router A 和Router B 之间的安全隧道就建立好了,子网
  10.1.1.0/24 与子网10.1.2.0/24 之间的数据流将被加密传输。

yntwu 发表于 2012-6-22 00:53:04

谢谢提供,继续努力!
页: [1]
查看完整版本: 手工方式建立IPSec 安全隧道的方法