收藏
下载资源

2022年AR路由器与CISCO路由器野蛮IPSec互通的典型配置 .pdf

上传人:Che****ry 文档编号:27248913 上传时间:2022-07-23 格式:PDF 页数:9 大小:227.19KB
返回 下载 相关 举报
2022年AR路由器与CISCO路由器野蛮IPSec互通的典型配置 .pdf_第1页
第1页 / 共9页
2022年AR路由器与CISCO路由器野蛮IPSec互通的典型配置 .pdf_第2页
第2页 / 共9页
点击查看更多>>
资源描述

《2022年AR路由器与CISCO路由器野蛮IPSec互通的典型配置 .pdf》由会员分享,可在线阅读,更多相关《2022年AR路由器与CISCO路由器野蛮IPSec互通的典型配置 .pdf(9页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。

1、AR 路由器与 CISCO 路由器野蛮 IPSec互通的典型配置1.1Cisco1721作为野蛮 IPSec隧道发起方【组网图】【需求】Cisco1721通过ADSL 拨号访问 Internet,ip 地址不固定; AR28-11则通过固定 ip地址接入 Internet。IPSec隧道保护的数据流:中 心 AR28-11局 域 网 段 为 10.46.0.0/24; 分 支 Cisco1721 局 域 网 段 为192.168.1.0/24。【配置脚本】AR28-11配置脚本#sysname Quidway#radius scheme system#domain system#名师资料总结

2、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 9 页 - - - - - - - - - ike proposal 2 / 创建 ike安全提议authentication-algorithm md5#ike peer hnnytset / 创建 ike对等体exchange-mode aggressivepre-shared-key hnnytgoodstartid-type nameremote-name dingannyj#ipsec proposal p1 / 创建 IPSe

3、c安全提议esp encryption-algorithm 3des#ipsec policy policy1 1 isakmp / 创建 IPSec策略security acl 3000ike-peer hnnytsetproposal p1#acl number 3000 / 建立匹配被保护数据流的ACL规则rule 0 permit ip source 10.46.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 1 deny ip#interface Aux0async mode flow#interface Ethernet0/0

4、ip address 10.46.0.5 255.255.255.0#interface Ethernet0/1ip address 1.1.1.1 255.255.255.248ipsec policy policy1 / 在接口上应用IPSec 策略#名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 9 页 - - - - - - - - - interface NULL0#FTP server enable#ip route-static 0.0.0.0 0.0.0.

5、0 1.1.1.2 preference 60Cisco1721 配置脚本!version 12.3!hostname dingannyj!enable password cisco!crypto isakmp policy 100hash md5authentication pre-share / 配置 isakmp 策略!crypto isakmp peer address 1.1.1.1 /cisco 作为发起方必须配置set aggressive-mode password hnnytgoodstartset aggressive-mode client-endpoint fqdn d

6、ingannyj / 配置 isakmp 对等体属性!crypto ipsec transform-set hnnytset esp-3des esp-md5-hmac / 创建 IPSec安全提议!crypto map hnnyttrans 10 ipsec-isakmpset peer 1.1.1.1set transform-set hnnytsetmatch address 115 / 创建 IPSec策略!interface FastEthernet0名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

7、 - - - - - 第 3 页,共 9 页 - - - - - - - - - ip address 192.168.1.1 255.255.255.0ip tcp adjust-mss 1452speed auto!interface Dialer1mtu 1492ip address negotiatedencapsulation pppdialer pool 1ppp chap hostname adsl36801864ppp chap password 0 nongyejuppp pap sent-username adsla6531333 password 0 667078cryp

8、to map hnnyttrans / 在接口上应用IPSec 策略!ip route 0.0.0.0 0.0.0.0 Dialer1ip route 192.168.0.0 255.255.0.0 FastEthernet0!access-list 115 permit ip 192.168.1.0 0.0.0.255 10.46.0.0 0.0.0.255access-list 115 deny ip any any /建立匹配被保护数据流的访问列表【验证】dis ike satotal phase-1 SAs: 1 connection-id peer flag phase doi -4

9、10 2.2.2.1 RD 2 IPSEC 409 2.2.2.1 RD 1 IPSEC dingannyj#show crypto engine connections active名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 9 页 - - - - - - - - - ID Interface IP-Address State Algorithm Encrypt De crypt1 Dialer1 2.2.2.1 set HMAC_MD5+DES_56_CB 0 0

10、200 Dialer1 2.2.2.1 set HMAC_MD5+3DES_56_C 0 9201 Dialer1 2.2.2.1 set HMAC_MD5+3DES_56_C 9 dingannyj#show crypto isakmp sadst src state conn-id slot 1.1.1.1 2.2.2.1 QM_IDLE 1 0 1.2AR28-11作为野蛮 IPSec隧道发起方【组网图】【需求】AR28-11通过ADSL 拨号访问 Internet,ip 地址不固定; Cisco1721则通过固定 ip地址接入 Internet。IPSec隧道保护的数据流:中 心 AR

11、28-11局 域 网 段 为 10.46.0.0/24; 分 支 Cisco1721 局 域 网 段 为192.168.1.0/24。【配置脚本】AR28-11配置脚本名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 9 页 - - - - - - - - - #sysname Quidway#ike local-name hnnytgoodstart / 创建 ike协商本端网关的名字#radius scheme system#domain system#ike prop

12、osal 2 / 创建 ike安全提议authentication-algorithm md5#ike peer hnnytset / 创建 ike对等体exchange-mode aggressivepre-shared-key hnnytgoodstartid-type nameremote-name dingannyjremote-address 2.2.2.1 #ipsec proposal p1 / 创建 IPSec安全提议esp encryption-algorithm 3des#ipsec policy policy1 1 isakmp / 创建 IPSec策略security

13、acl 3000ike-peer hnnytsetproposal p1#acl number 3000 / 建立匹配被保护数据流的ACL 规则rule 0 permit ip source 10.46.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 1 deny ip#名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 9 页 - - - - - - - - - interface Aux0async mode flo

14、w#interface Ethernet0/0ip address 10.46.0.5 255.255.255.0#interface Dialer0link-protocol pppip address ppp-negotiatemtu 1450dialer enable-circulardialer-group 1ipsec policy policy1 / 在接口上应用IPSec 策略#interface NULL0#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 dialer0 preference 60Cisco1721 配置脚本!

15、version 12.3!hostname dingannyj!enable password cisco!crypto isakmp policy 100hash md5名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 9 页 - - - - - - - - - authentication pre-share / 配置 isakmp策略!crypto isakmp key huawei hostname hnnytgoodstart / Cisco作响应方必须配置cry

16、pto isakmp identity hostname!crypto ipsec transform-set hnnytset esp-3des esp-md5-hmac / 创建 IPSec安全提议!crypto dynamic-map dyna 1set transform-set hnnytsetmatch address 115crypto map hnnyttrans 10 ipsec-isakmp dynamic dyna / 创建 IPSec策略!interface FastEthernet0ip address 192.168.1.1 255.255.255.0ip tcp

17、adjust-mss 1452speed auto!interface FastEthernet1ip address 2.2.2.1 255.255.255.248ip tcp adjust-mss 1452speed autocrypto map hnnyttrans / 在接口上应用IPSec 策略!ip route 0.0.0.0 0.0.0.0 FastEthernet1ip route 192.168.0.0 255.255.0.0 FastEthernet0!access-list 115 permit ip 192.168.1.0 0.0.0.255 10.46.0.0 0.0

18、.0.255access-list 115 deny ip any any /建立匹配被保护数据流的访问列表名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 9 页 - - - - - - - - - 【配置关键点】采用野蛮模式和 Cisco互通时, Cisco 作为隧道发起方和响应方的配置是有区别的。Cisco作为隧道发起方:crypto isakmp peer address 1.1.1.1 /Cisco作为发起方必须配置set aggressive-mode pass

19、word hnnytgoodstartset aggressive-mode client-endpoint fqdn dingannyjCisco作为隧道响应方:crypto isakmp key huawei hostname hnnytgoodstart /Cisco作为响应方必须配置crypto isakmp identity hostname【提示】1、cisco 不区分 aggressive 模式和 main模式。2、cisco isakmp policy提供多种验证策略( pre-share 、rsa-encr 、rsa-sig )Quidway的ike 仅支持 pre-shar

20、ed-key 方式。3、cisco 路由器上 isakmp policy 必须配置,由于需要指定 pre-share 验证策略,两者必须匹配。Quidway的ike proposal可以不配,默认方式也能满足协商的要求。4、在cisco 的isakmp policy环境下和 Quidway的ike proposal环境下,支持的加密算法会有一定的区别。5、ike sa keepalive不是 RFC 标准,因此各厂商关于其的实现程度不同,难以配合。Cisco不支持此功能。6、cisco 的“show crypto isakmp sa”只显示 ike 阶段的 sa信息。Quidway的“display ike sa”显示两个 ike 和ipsec 两个阶段的 sa信息。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 9 页 - - - - - - - - -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 高考资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知得利文库网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号-8 |  经营许可证:黑B2-20190332号 |   黑公网安备:91230400333293403D

© 2020-2023 www.deliwenku.com 得利文库. All Rights Reserved 黑龙江转换宝科技有限公司 

黑龙江省互联网违法和不良信息举报
举报电话:0468-3380021 邮箱:hgswwxb@163.com