1. 组网需求
在 Router A 和Router B 之间建立一个安全隧道,对Host A 所在的子网 (10.1.1.0/24)与Host B 所在的子网(10.1.2.0/24)之间的数据流进行安全保护。
安全协议采用 ESP 协议,加密算法采用DES,认证算法采用SHA1-HMAC-96
2. 组网图
3. 配置步骤
(1) 配置Router A
# 配置一个访问控制列表,定义由子网10.1.1.0/24 去子网10.1.2.0/24 的数据流。
[RouterA] acl number 3101
[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination
10.1.2.0 0.0.0.255
[RouterA-acl-adv-3101] rule deny ip source any destination any
[RouterA-acl-adv-3101] quit
# 配置到Host B 的静态路由。
[RouterA] ip route-static 10.1.2.0 255.255.255.0 serial 2/1
# 创建名为tran1 的安全提议。
[RouterA] ipsec proposal tran1
# 报文封装形式采用隧道模式。
[RouterA-ipsec-proposal-tran1] encapsulation-mode tunnel
# 安全协议采用ESP 协议。
[RouterA-ipsec-proposal-tran1] transform esp
# 选择算法。
[RouterA-ipsec-proposal-tran1] esp encryption-algorithm des
[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RouterA-ipsec-proposal-tran1] quit
# 创建一条安全策略,协商方式为manual。
[RouterA] ipsec policy map1 10 manual
# 引用访问控制列表。
[RouterA-ipsec-policy-manual-map1-10] security acl 3101
# 引用安全提议。
[RouterA-ipsec-policy-manual-map1-10] proposal tran1
# 配置对端地址。
[RouterA-ipsec-policy-manual-map1-10] tunnel remote 2.2.3.1
# 配置本端地址。
[RouterA-ipsec-policy-manual-map1-10] tunnel local 2.2.2.1
# 配置SPI。
[RouterA-ipsec-policy-manual-map1-10] sa spi outbound esp 12345
[RouterA-ipsec-policy-manual-map1-10] sa spi inbound esp 54321
# 配置密钥。
[RouterA-ipsec-policy-manual-map1-10] sa string-key outbound esp abcdefg
[RouterA-ipsec-policy-manual-map1-10] sa string-key inbound esp gfedcba
[RouterA-ipsec-policy-manual-map1-10] quit
# 配置串口的IP 地址。
[RouterA] interface serial 2/1
[RouterA-Serial2/1] ip address 2.2.2.1 255.255.255.0
# 在串口上应用安全策略组。
[RouterA-Serial2/1] ipsec policy map1
(2) 配置Router B
# 配置一个访问控制列表,定义由子网10.1.2.0/24 去子网10.1.1.0/24 的数据流。
[RouterB] acl number 3101
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[RouterB-acl-adv-3101] rule deny ip source any destination any
[RouterB-acl-adv-3101] quit
# 配置到HostA 的静态路由。
[RouterB] ip route-static 10.1.1.0 255.255.255.0 serial 2/2
# 创建名为tran1 的安全提议。
[RouterB] ipsec proposal tran1
# 报文封装形式采用隧道模式。
[RouterB-ipsec-proposal-tran1] encapsulation-mode tunnel
# 安全协议采用ESP 协议。
[RouterB-ipsec-proposal-tran1] transform esp
# 选择算法。
[RouterB-ipsec-proposal-tran1] esp encryption-algorithm des
[RouterB-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RouterB-ipsec-proposal-tran1] quit
# 创建一条安全策略,协商方式为manual。
[RouterB] ipsec policy use1 10 manual
# 引用访问控制列表。
[RouterB-ipsec-policy-manual-use1-10] security acl 3101
# 引用安全提议。
[RouterB-ipsec-policy-manual-use1-10] proposal tran1
# 配置对端地址。
[RouterB-ipsec-policy-manual-use1-10] tunnel remote 2.2.2.1
# 配置本端地址。
[RouterB-ipsec-policy-manual-use1-10] tunnel local 2.2.3.1
# 配置SPI。
[RouterB-ipsec-policy-manual-use1-10] sa spi outbound esp 54321
[RouterB-ipsec-policy-manual-use1-10] sa spi inbound esp 12345
# 配置密钥。
[RouterB-ipsec-policy-manual-use1-10] sa string-key outbound esp gfedcba
[RouterB-ipsec-policy-manual-use1-10] sa string-key inbound esp abcdefg
[RouterB-ipsec-policy-manual-use1-10] quit
# 配置串口的IP 地址。
[RouterB] interface serial 2/2
[RouterB-Serial2/2] ip address 2.2.3.1 255.255.255.0
# 在串口上应用安全策略组。
[RouterB-Serial2/2] ipsec policy use1
以上配置完成后,Router A 和Router B 之间的安全隧道就建立好了,子网
10.1.1.0/24 与子网10.1.2.0/24 之间的数据流将被加密传输。
|
|
||
|
|
||
|
|
| 开班时间 | 班级类型 | 报名情况 |
|---|
7月15日 |
H3CTE认证 |
热报中 |
7月8日 |
H3CSE培训 |
热报中 |
7月1日 |
H3CNE认证 |
热报中 |
8月19日 |
H3CTE认证 |
热报中 |
8月12日 |
H3CSE培训 |
热报中 |
8月5日 |
H3CNE培训 |
热报中 |
9月9日 |
H3CTE认证 |
热报中 |
9月2日 |
H3CSE认证 |
热报中 |
9月9日 |
H3CNE培训 |
热报中 |
7月22日 |
H3CIMC培训 |
热报中 |
7月15日 |
H3C无线培训 |
热报中 |
7月8日 |
H3CEAD培训 |
热报中 |
7月29日 |
H3CPME认证 |
热报中 |
7月22日 |
H3C安全认证 |
热报中 |
8月26日 |
H3CIMC培训 |
热报中 |
7月15日 |
H3C无线培训 |
热报中 |
7月8日 |
H3CEAD培训 |
热报中 |
8月26日 |
H3CPME认证 |
热报中 |
8月19日 |
H3C安全认证 |
热报中 |
9月23日 |
H3CIMC培训 |
热报中 |
9月23日 |
H3C无线培训 |
热报中 |
9月9日 |
H3CEAD培训 |
热报中 |
9月16日 |
H3CPME认证 |
热报中 |
9月23日 |
H3C安全认证 |
热报中 |
H3C培训 | H3C认证 | 西安金桥世纪 | H3C认证培训总代理 |
西安金桥世纪科技有限公司
版权所有 @ 2004-2011 西安金桥世纪科技有限公司 ICP备案号:京ICP备09013186号 网站备案号:京ICP备19057537号-1
地址:西安市锦业路都市之门D座1209室
邮编:710075
电话:029-89280300、87818627
