知识库与软件

IPSec手动配置实例(HiPER ReOS 2008 VPN配置手册)

文档编号:191
浏览:9843 评分:50
最后更新于:2008-08-15

 

   以下我们将给出HiPER VPN网关作为IPSec隧道网关的典型配置。所有的配置例子均包含了网络拓扑,相关设备的IP地址,提供了基于WEB页面的配置以及IPSec隧道的配置及状态信息。对于非HiPER设备,也根据相关情况给出配置及相关信息做参考。
 
一、  HiPER和HiPER手动方式
6-8 方案——HiPER和HiPER手动方式
 
  在本例中,如图6-8所示,通过使用以3DES 加密并经SHA-1 认证的ESP,采用“手动”密钥方式在上海和北京办公室之间建立IPSec隧道,上海和北京的网关都使用HiPER VPN网关。地址如下:
上海的HiPER:
WAN口: 218.82.51.172/24
静态网关:218.82.51.1/24
LAN口: 192.168.1.1/24
北京的HiPER:
WAN口: 135.252.52.240/24
静态网关:135.252.52.1/24
LAN口: 192.168.2.1/24
 
1.        配置上海的HiPER VPN网关
在VPN配置—>IPSec中,选择“添加”选项,然后在配置参数项中依次输入以下内容(没有列出的参数项无需配置),再单击“保存”按钮。
       “设置名”: sh_bj_m
       “设置方式”:手动
       “远端网关地址(名)”:135.252.52.240
       “远端内网地址”:192.168.2.0
       “远端内网掩码”:255.255.255.0
       “本地绑定”:WAN1(eth2)
       “本地内网地址”:192.168.1.0
       “本地内网掩码”:255.255.255.0
“ESP加密算法”:3DES
“ESP加密密钥”:1234567890abcdef1234567890abcdef1234567890abcdef
“ESP认证算法”:SHA
“ESP认证密钥”:1234567890abcdef1234567890abcdef12345678
“AH认证算法”:NONE
“ESP外出SPI”:1111
“ESP进入SPI”:2222
 
2.        配置北京的HiPER VPN网关
在VPN配置—>IPSec中,选择“添加”选项,然后在配置参数项中依次输入以下内容(没有列出的参数项无需配置),再单击“保存”按钮。
       “设置名”:bj_sh_m
       “设置方式”:手动
       “远端网关地址(名)”:218.82.51.172
       “远端内网地址”:192.168.1.0
       “远端内网掩码”:255.255.255.0
       “本地绑定”:WAN1(eth2)
       “本地内网地址”:192.168.2.0
       “本地内网掩码”:255.255.255.0
“ESP加密算法”:3DES
“ESP加密密钥”:1234567890abcdef1234567890abcdef1234567890abcdef
“ESP认证算法”:SHA
“ESP认证密钥”:1234567890abcdef1234567890abcdef12345678
“AH认证算法”:NONE
“ESP外出SPI”:2222
“ESP进入SPI”:1111
 
3.        查看状态
当双方配置完成,隧道建立连接并开始传输数据后,可以在VPN配置—>IPSec中,查看“IPSec信息列表”,得到IPSec隧道的相关配置及状态信息,如表6-5、表6-6、表6-7所示(此处以上海的HiPER为例进行说明,北京的HiPER类似)。
6-5 手动(HiPER和HiPER)—IPSec信息列表
 
6-6手动(HiPER和HiPER)—IPSec信息列表(续表6-5)
 
6-7 手动(HiPER和HiPER)—IPSec信息列表(续表6-6)
 
从表6-5中,可以看到“设置方式”显示为“手动”,“SA状态”显示为“已建立”,“外出加密包个数”和“进入解密包个数”均有数值显示。
从表6-6中,可以看到“本地绑定”显示为“eth2”,“加密认证算法”显示为“esp-3des-sha”,“ESP外出SPI”显示为“0x457(1111)”,“ESP进入SPI”显示为“0x8ae(2222)”。
从表6-7中,可以看到“生存时间(剩余)”显示为“永久”,表示该SA一直有效。
 
* 提示:
由于手动密钥方式不检查对方网关的存在和配置,因此,只要在IPSec页面上配置正确,查看“IPSec信息列表”(在VPN配置—>IPSec中),就能看到SA状态显示“已建立”。


 

二、 HiPER和Cisco路由器手动方式
6-9 方案——HiPER和Cisco手动方式
 
  在本例中,如图6-9所示,通过使用以DES 加密并经MD5 认证的ESP,采用“手动”密钥方式在上海和北京办公室之间建立IPSec隧道,上海使用HiPER VPN网关,北京使用Cisco 2611。地址如下:
上海的HiPER:
WAN口: 218.82.51.172/24
静态网关:218.82.51.1/24
LAN口: 192.168.1.1/24
北京的Cisco 2611:
WAN口: 135.252.52.240/24
静态网关:135.252.52.1/24
LAN口: 192.168.2.1/24
 
1.        配置上海的HiPER VPN网关
在VPN配置—>IPSec中,选择“添加”选项,然后在配置参数项中依次输入以下内容(没有列出的参数项无需配置),再单击“保存”按钮。
       “设置名”: to_bj_m
       “设置方式”:手动
       “远端网关地址(名)”:135.252.52.240
       “远端内网地址”:192.168.2.0
       “远端内网掩码”:255.255.255.0
       “本地绑定”:WAN(eth2)
       “本地内网地址”:192.168.1.0
       “本地内网掩码”:255.255.255.0
“ESP加密算法”:DES
“ESP加密密钥”:31323334353637383931323334353637
“ESP认证算法”:MD5
“ESP认证密钥”:
3132333435363738393132333435363738393132333435363738393132333435
“AH认证算法”:NONE
“ESP外出SPI”:1111
“ESP进入SPI”:1112
 
2.        配置北京的Cisco 2611路由器
Cisco 2611只支持CLI配置方式,配置如下:
//禁止使用自动IKE,让路由器工作在手动模式
no crypto isakmp enable
//配置加密认证算法
crypto ipsec transform-set testtrans esp-des esp-md5-hmac
//配置加密认证策略,包含对端地址、SPI、加密和认证算法及密钥、需要加密的地址
crypto map manualcase 8 ipsec-manual  
 set peer 218.82.51.172
 set session-key inbound esp 1111 cipher 31323334353637383931323334353637 authenticator 3132333435363738393132333435363738393132333435363738393132333435
 set session-key outbound esp 1112 cipher 31323334353637383931323334353637 authenticator 3132333435363738393132333435363738393132333435363738393132333435
 set transform-set testtrans
 match address 101
//配置Cisco外网的接口地址
interface FastEthernet0/0
 ip address 135.252.52.240 255.255.255.0
 no keepalive
 duplex auto
 speed auto
//将加密策略应用到外网接口
 crypto map manualcase
//配置Cisco内网的接口地址
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
ip classless
//配置路由
ip route 0.0.0.0 0.0.0.0 135.252.52.1
//配置ACL表,在加密策略中引用
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 
3.        查看状态
当双方配置完成,隧道建立连接并开始传输数据后,可以查看IPSec隧道的相关配置及状态信息。
1)       查看上海的HiPER
对于HiPER来说,可以在VPN配置—>IPSec中,查看“IPSec信息列表”,得到IPSec隧道的相关配置及状态信息,如表6-8、表6-9、表6-10所示。
6-8 手动(HiPER和Cisco)—IPSec信息列表
 
6-9 手动(HiPER和Cisco)—IPSec信息列表(续表6-8)
 
6-10 手动(HiPER和Cisco)—IPSec信息列表(续表6-9)
 
从表6-8中,可以看到“设置方式”显示为“手动”,“SA状态”显示为“已建立”,“外出加密包个数”和“进入解密包个数”均有数值显示。
从表6-9中,可以看到“本地绑定”显示为“eth2”,“加密认证算法”显示为“esp-des-md5”,“ESP外出SPI”显示为“0x457(1111)”,“ESP进入SPI”显示为“0x458(1112)”。
从表6-10中,可以看到“生存时间(剩余)”显示为“永久”,表示该SA一直有效。
 
2)       查看北京的Cisco 2611
对于北京的Cisco 2611路由器来说,可以通过命令show crypto ipsec sa查看到隧道相关配置及状态信息,具体监控结果如下:
Router#show crypto ipsec sa
interface: FastEthernet0/0
    Crypto map tag: manualcase, local addr. 135.252.52.240
   local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer: 218.82.51.172
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 428, #pkts encrypt: 428, #pkts digest 428
    #pkts decaps: 636, #pkts decrypt: 636, #pkts verify 636
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 135.252.52.240, remote crypto endpt.: 218.82.51.172
     path mtu 1500, ip mtu 1500
     current outbound spi: 458
     inbound esp sas:
      spi: 0x457(1111)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2001, flow_id: 1, crypto map: manualcase
        no sa timing
        IV size: 8 bytes
        replay detection support: Y
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x458(1112)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2000, flow_id: 2, crypto map: manualcase
        no sa timing
        IV size: 8 bytes
        replay detection support: Y
     outbound ah sas:
     outbound pcp sas:

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号