ipsec手工配置sa,了解一下?
同學們好,大家都知道VPN技術在公司網路搭建中,是一種非常重要的技術,這其中ipsec VPN這種安全VPN技術應用還是比較廣泛的,大家在學習的過程中配置的大多是動態建立SA的技術,也就是我們熟悉的配置IKE,那麼大家配置過手工建立SA的方法嗎?今天就為大家介紹一下關於手工建立SA的配置方法。
一、需求分析
如圖所示,兩邊私網PCA和PCB需要通過ipsec vpn實現安全通信,通過手工配置sa的方式。
二、配置過程
PC及路由設備的IP地址如圖所示,基礎配置省略。
R1中:
[R1-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination
192.168.2.0 0.0.0.255 //配置安全數據流
[RT1]ipsec transform-set r1
[R1-ipsec-transform-set-r1]esp authentication-algorithm md5
[R1-ipsec-transform-set-r1]esp encryption-algorithm 3des-cbc
//配置安全提議驗證和加密,使用ESP協議
[R1]ipsec policy r1 10 manual //配置ipsec的策略模式為手工配置sa
[R1-ipsec-policy-manual-r1-10]transform-set r1
[R1-ipsec-policy-manual-r1-10]security acl 3000
[R1-ipsec-policy-manual-r1-10]remote-address 200.0.0.2
以下是手工設置SA的特殊配置,由於不是動態獲取,SA的部分信息需要手工指定,如下所示:
[R1-ipsec-policy-manual-r1-10]sa spi inbound esp 12345 //配置spi入方向
[R1-ipsec-policy-manual-r1-10]sa spi outbound esp 54321 //配置spi出方向
[R1-ipsec-policy-manual-r1-10]sa string-key inbound esp simple abc //配置ESP協議的入方向SA的密鑰為明文字元串abc
[R1-ipsec-policy-manual-r1-10]sa string-key outbound esp simple cba //配置ESP協議的出方向SA的密鑰為明文字元串cba
[R1-GigabitEthernet0/0]ipsec apply policy r1 //介面調用策略
R3的配置和R1類似,不多加介紹
三、結果
在PCA上ping PCB,如下圖所示:
觸發IPSEC封裝,因為已經手工配置了sa,所以ping的第一個包就是通的,可以通信。
Display ipsec sa:
其中No duration limitfor this SA代表手工配置的SA沒有老化時間。
※H3C的CAS雲平台虛擬機網卡無法與外網通信的排錯
※華為CE交換機配置策略路由重定向到防火牆
TAG:王海軍老師 |