:esp-newESPprotocol 　　:AuthenticationMD5-HMAC-96Encryption 　　DES（4）分别在RouterA和RouterB上配置IKE对等体。注意，此时要采用名称作为ID类型，而且分支机构还要明确指定总部网关的IP地址。两端配置的IKEv1SA的协商模式必须为野蛮模式，启用NAT穿越功能，使得ESP报文可以通过NAT网关#在RouterA上配置IKE对等体。[RouterA]ikelocal-namerta　#---配置本端名称为rta[RouterA]quit[RouterA]ikepeerrtav1[RouterA-ike-peer-rta]exchange-modeaggressive#---配置IKEv1第一阶段的协商模式为野蛮模式[RouterA-ike-peer-rta]pre-shared-keysimplehuawei　#---配置共享密钥为huawei[RouterA-ike-peer-rta]local-id-typename　#---配置对等体ID类型为名称[RouterB-ike-peer-rtb]remote-address1.2.0.1　#---标识总部网关的IP地址[RouterA-ike-peer-rta]remote-namertb　#---标识总部网关的名称[RouterA-ike-peer-rta]nattraversal　#---启用NAT穿越功能[RouterA-ike-peer-rta]quit#在RouterB上配置IKE对等体。[RouterB]ikelocal-namertb[RouterB]quit[RouterB]ikepeerrtbv1[RouterB-ike-peer-rtb]exchange-modeaggressive[RouterB-ike-peer-rtb]pre-shared-keysimplehuawei[RouterB-ike-peer-rtb]local-id-typename#---配置对等体ID类型为名称[RouterB-ike-peer-rtb]remote-namerta#---采用名称方式指定分支机构的对等体名称[RouterB-ike-peer-rtb]nattraversal[RouterB-ike-peer-rtb]quit此时分别在RouterA和RouterB上执行displayikepeer操作，会显示所配置的指定IKE对等体信息，以下是在RouterA上执行该命令的输出示例。[RouterA]displayikepeernamertaverbose-----------------------Peername 　　 　　 　　:rtaExchangemode 　　 　　:aggressiveonphase1Pre-shared-key 　　 　　:huaweiLocalIDtype 　　 　　:NameDPD 　　 　　 　　 　　　:DisableDPDmode 　　 　　 　　:PeriodicDPDidletime 　　 　　:30DPDretransmitinterval:15DPDretrylimit 　　　:3Hostname 　　 　　 　　:PeerIPaddress 　　　:1.2.0.1VPNname 　　 　　 　　:LocalIPaddress 　　　:Localname 　　 　　　:rtaRemotename 　　 　　　:rtbNAT-traversal 　　 　　:EnableConfiguredIKEversion:VersiononePKIrealm 　　 　　 　　:NULLInbandOCSP 　　 　　　:Disable-----------------------（5）分别在RouterA和RouterB上创建安全策略，引用前面创建的IKE对等体、用于定义需要保护的数据流的ACL（仅分支机构端需要）和IPSec安全提议。分支机构端采用ISAKMP方式创建，而总部端采用策略模板方式创建。#在RouterA上配置IKE动态协商方式安全策略。[RouterA]ipsecpolicypolicyisakmp[RouterA-ipsec-policy-isakmp-policy1-10]securityacl[RouterA-ipsec-policy-isakmp-policy1-10]ike-peerrta[RouterA-ipsec-policy-isakmp-policy1-10]proposalpro1[RouterA-ipsec-policy-isakmp-policy1-10]quit#在RouterB上以策略模板方式配置IKE动态协商方式安全策略。[RouterB]ipsecpolicy-templatetemp[RouterB-ipsec-policy-templet-temp1-10]ike-peerrta[RouterB-ipsec-policy-templet-temp1-10]proposaltran1[RouterB-ipsec-policy-templet-temp1-10]quit[RouterB]ipsecpolicypolicyisakmptemplatetemp1#---以引用策略模板的方式创建安全策略此时分别在RouterA和RouterB上执行displayipsecpolicy操作，会显示所配置的IPSec安全策略信息，以下是在RouterA上执行该命令的输出示例。[RouterA]displayipsecpolicynamepolicy1===========================================IPSecpolicygroup:"policy1"Usinginterface:===========================================Sequencenumber:10Securitydataflow:Peername 　　:　rtaPerfectforwardsecrecy:NoneProposalname:　tran1IPSecSAlocalduration(timebased):secondsIPSecSAlocalduration(trafficbased):kilobytesSAtriggermode:AutomaticRouteinject:NoneQospre-classify:Disable（6）分别在RouterA和RouterB连接公网侧的接口上应用各自的安全策略组使接口具有IPSec的保护功能。[RouterA]interfacegigabitethernet1/0/0[RouterA-GigabitEthernet1/0/0]ipsecpolicypolicy1[RouterA-GigabitEthernet1/0/0]quit[RouterB]interfacegigabitethernet1/0/0[RouterB-GigabitEthernet1/0/0]ipsecpolicypolicy1[RouterB-GigabitEthernet1/0/0]quit3.配置结果验证配置成功后，在位于分支机构端的主机PCA执行ping操作可以ping通主机PCB，但它们之间的数据传输将被加密，执行命令displayipsecstatisticsesp可以查看ESP数据包的统计信息。在RouterA上执行displayikesa操作，可查看RouterA上协商生成的IKESA信息。[RouterA]displayikesaConn-ID　Peer 　　 　　VPN　Flag(s) 　　 　　 　　　Phase----------------------------------------------15 　　1.2.0.1 　　 　　0 　　RD

ST 　　 　　 　　 　　 　　1.2.0.1 　　 　　0 　　RD

ST 　　 　　 　　 　　1FlagDescription:RD--READY　ST--STAYALIVE　RL--REPLACED　FD--FADING　TO--TIMEOUT分别在RouterA和RouterB上执行displayipsecsa操作，会显示所配置的IPSecSA信息，以RouterB为例。[RouterB]displayipsecsa===============================Interface:GigabitEthernet1/0/0PathMTU:===============================-----------------------IPSecpolicyname:"policy1"Sequencenumber　:10AclGroup 　　　:0Aclrule 　　 　　:0Mode 　　 　　　:Template-----------------------ConnectionID 　　:15Encapsulationmode:TunnelTunnellocal 　　:1.2.0.1Tunnelremote 　　:1.2.0.2Flowsource 　　　:1.0.0.0/...00/0Flowdestination　:2.0.0.0/...00/0Qospre-classify　:Disable[OutboundESPSAs]SPI:(0xcc4f)Proposal:ESP-ENCRYPT-DES-64ESP-AUTH-MD5SAremainingkeyduration(bytesc):/Maxsentsequence-number:0UDPencapsulationusedforNATtraversal:Y[InboundESPSAs]SPI:(0x62f6c89c)Proposal:ESP-ENCRYPT-DES-64ESP-AUTH-MD5SAremainingkeyduration(bytesc):/Maxreceivedsequence-number:0Anti-replaywindowsize:32UDPencapsulationusedforNATtraversal:Y▲-Theend-预览时标签不可点收录于话题#个上一篇下一篇