路由器ipsec|vpn实验分析

华为网络设计 Ensp2023-11-18 8:01

AR1 和 AR2代表两个公司的出口,R2模拟互联,两个公司通信,通过ipsec vpn 加密隧道进行业务通信

切记:ipsec 路由器一定用AR系列,千万别用R,否则会给你惊喜

R2只有接口配ip,无任何配置(略)

复制代码 
[Huawei]sys R1
路由器接口配置
[R1]inte g0/0/0
[R1-GigabitEthernet0/0/0]ip ad 192.168.1.254 24 
[R1-GigabitEthernet0/0/0]inte g0/0/1
[R1-GigabitEthernet0/0/1]ip ad 100.1.1.1 24
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]q

路由配置
[R1]ip route-static 0.0.0.0 0 100.1.1.2

配置ipsec的感兴趣流
[R1]acl number 3000  
[R1-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.
168.2.0 0.0.0.255 
[R1-acl-adv-3000]q

配置ipsec提议
[R1]ipsec proposal ipsec_test  \\ 配置IPsec安全提议名称
[R1-ipsec-proposal-ipsec_test] esp authentication-algorithm sha2-256   \\ 设置ESP(封装安全有效载荷)的认证算法为SHA2-256
[R1-ipsec-proposal-ipsec_test] esp encryption-algorithm aes-256  \\ 设置ESP的加密算法为AES-256
[R1-ipsec-proposal-ipsec_test]

配置ike提议
[R1-ipsec-proposal-ipsec_test]ike proposal 10  \\ 配置ike安全提议名称
[R1-ike-proposal-10] encryption-algorithm aes-cbc-256 \\ 设置加密算法 AES-CBC-256
[R1-ike-proposal-10] dh group2  \\dh组2
[R1-ike-proposal-10]

配置ike对等体
[R1-ike-proposal-10]ike peer SH v1  设置IKE对等体 SH v1
[R1-ike-peer-SH] pre-shared-key simple test@123  \\ 设置预共享密钥 简单 test@123
[R1-ike-peer-SH] ike-proposal 10  \\ 绑定IKE提议 10
[R1-ike-peer-SH] local-address 100.1.1.1  \\ 设置本地地址 100.1.1.1
[R1-ike-peer-SH] remote-address 200.1.1.1 \\ 设置远程地址 200.1.1.1
[R1-ike-peer-SH]

配置ipsec策略
[R1-ike-peer-SH]ipsec policy ipsec_test 10 isakmp \\设置IPsec策略 ipsec_test 10 ISAKMP
[R1-ipsec-policy-isakmp-ipsec_test-10] security acl 3000 \\绑定感兴趣流 
[R1-ipsec-policy-isakmp-ipsec_test-10] ike-peer SH  \\绑定ike对等体
[R1-ipsec-policy-isakmp-ipsec_test-10] proposal ipsec_test \\绑定安全提议
[R1-ipsec-policy-isakmp-ipsec_test-10]q

接口调用ipsec策略
[R1]inte g0/0/1
[R1-GigabitEthernet0/0/1]ipsec policy ipsec_test 

R3 同理
[Huawei]un in en 
Info: Information center is disabled.
[Huawei]sys R3
[R3]inte g0/0/1
[R3-GigabitEthernet0/0/1]ip ad 192.168.2.254 24 
[R3-GigabitEthernet0/0/1]inte g0/0/0
[R3-GigabitEthernet0/0/0]ip ad 200.1.1.1 24
[R3-GigabitEthernet0/0/0]
[R3-GigabitEthernet0/0/0]q
[R3]ip route-static 0.0.0.0 0 200.1.1.2
[R3]acl number 3000  
[R3-acl-adv-3000] rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.
168.1.0 0.0.0.255 
[R3-acl-adv-3000]q
[R3]ipsec proposal ipsec_test2
[R3-ipsec-proposal-ipsec_test2] esp authentication-algorithm sha2-256 
[R3-ipsec-proposal-ipsec_test2] esp encryption-algorithm aes-256
[R3-ipsec-proposal-ipsec_test2]
[R3-ipsec-proposal-ipsec_test2]ike proposal 10
[R3-ike-proposal-10] encryption-algorithm aes-cbc-256
[R3-ike-proposal-10] dh group2
[R3-ike-proposal-10]
[R3-ike-proposal-10]ike peer DH v1
[R3-ike-peer-DH] pre-shared-key simple test@123
[R3-ike-peer-DH] ike-proposal 10
[R3-ike-peer-DH] local-address 200.1.1.1
[R3-ike-peer-DH] remote-address 100.1.1.1
[R3-ike-peer-DH]
[R3-ike-peer-DH]ipsec policy ipsec_test2 20 isakmp
[R3-ipsec-policy-isakmp-ipsec_test2-20] security acl 3000
[R3-ipsec-policy-isakmp-ipsec_test2-20] ike-peer DH
[R3-ipsec-policy-isakmp-ipsec_test2-20] proposal ipsec_test2
[R3-ipsec-policy-isakmp-ipsec_test2-20]q
[R3]inte g0/0/0
[R3-GigabitEthernet0/0/0] ipsec policy ipsec_test2

验证测试

相关推荐
国科安芯4 分钟前
抗辐照MCU在卫星载荷电机控制器中的实践探索
网络·嵌入式硬件·硬件工程·智能硬件·空间计算
EasyDSS1 小时前
国标GB28181设备管理软件EasyGBS远程视频监控方案助力高效安全运营
网络·人工智能
玩转4G物联网1 小时前
零基础玩转物联网-串口转以太网模块如何快速实现与TCP服务器通信
服务器·网络·物联网·网络协议·tcp/ip·http·fs100p
派阿喵搞电子2 小时前
Ubuntu下有关UDP网络通信的指令
linux·服务器·网络
搬码临时工3 小时前
外网访问内网服务器常用的三种简单操作步骤方法,本地搭建网址轻松让公网连接
服务器·网络·智能路由器
Fortinet_CHINA3 小时前
引领AI安全新时代 Accelerate 2025北亚巡展·北京站成功举办
网络·安全
dustcell.4 小时前
Cisco Packer Tracer 综合实验
网络
量子-Alex5 小时前
【反无人机检测】C2FDrone:基于视觉Transformer网络的无人机间由粗到细检测
网络·transformer·无人机
三掌柜6666 小时前
HarmonyOS开发:显示图片功能详解
华为·harmonyos
二蛋和他的大花6 小时前
HarmonyOS运动语音开发:如何让运动开始时的语音播报更温暖
华为·harmonyos
热门推荐
01海康Visionmaster-常见问题排查方法-启动阶段02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04Coze扣子平台完整体验和实践(附国内和国际版对比)05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07R-tree详解08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10CCF CSP 认证考试历年真题满分题解(所有前四题)