知

AR28/AR46系列路由器和CISCO设备IPsec互通的典型配置

其他

2007-01-24 发表

0关注
0收藏 602浏览

冷志宇

冷志宇段

粉丝：人关注：人

AR28/AR46系列路由器和CISCO设备

IPSec互通的典型配置

【需求】

AR28-11和cisco2800通过以太网背靠背连接，要求实现相互之间的IPSec功能的互通。

【组网图】

【配置脚本】

AR28-11配置脚本

#

sysname Quidway

#

radius scheme system

#

domain system

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

#

ike peer peer                     //ike的配置

pre-shared-key vpn

remote-address 10.1.1.2

local-address 3.3.3.3

#

ipsec proposal vpn                //使用IPsec proposal的默认配置

#

ipsec policy vpnmap 10 isakmp    //IPsec policy的配置

security acl 3001

ike-peer peer

proposal vpn

#

acl number 3001

rule 0 permit ip

#

interface Aux0

async mode flow

#

interface Ethernet0/0

ip address 10.1.1.1 255.255.255.0

ipsec policy vpnmap              //在端口上应用安全策略

#

interface Ethernet0/1

ip address dhcp-alloc

#

interface Serial0/0

clock DTECLK1

link-protocol ppp

ip address 1.1.1.2 255.255.255.0

#

interface NULL0

#

interface LoopBack1

ip address 3.3.3.3 255.255.255.255

#

FTP server enable

#

ip route-static 0.0.0.0 0.0.0.0 10.1.1.2 preference 60

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

return

Cisco2800配置脚本

Router(config)#do show run

Building configuration...

Current configuration : 1472 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

! card type command needed for slot 1

!

no aaa new-model

!

resource policy

!

ip subnet-zero

!

!

ip cef

!

!

!

!

voice-card 0

no dspfarm

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

crypto isakmp policy 1                      // ike的配置

authentication pre-share

crypto isakmp key vpn address 10.1.1.1

!

!

crypto ipsec transform-set vpn esp-des esp-md5-hmac

!                                           //IPsec proposal的配置

crypto map vpnmap 10 ipsec-isakmp          //IPsec policy的配置

set peer 10.1.1.1

set transform-set vpn

match address 101

!

!

!

!

!

interface Loopback1

ip address 2.2.2.2 255.255.255.255

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 10.1.1.2 255.255.255.0

duplex auto

speed auto

crypto map vpnmap                        //在端口上应用

!

interface FastEthernet0/0/0

!

interface FastEthernet0/0/1

!

interface FastEthernet0/0/2

!

interface FastEthernet0/0/3

!

interface Serial0/1/0

ip address 1.1.1.2 255.255.255.0

encapsulation ppp

no fair-queue

clock rate 2000000

!

interface Serial0/1/1

no ip address

shutdown

clock rate 2000000

!

interface Vlan1

no ip address

!

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.1

!

!

ip http server

no ip http secure-server

!

access-list 101 permit ip any any

!

!

!

!

control-plane

!

!

!

voice-port 0/3/0

!

voice-port 0/3/1

!

!

!

!

!

!

!

!

line con 0

line aux 0

line vty 0 4

login

!

scheduler allocate 20000 1000

!

end

在AR28-11上查看测试结果

[Quidway]ping 10.1.1.2

PING 10.1.1.2: 56 data bytes, press CTRL_C to break

    Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=255 time=4 ms

    Reply from 10.1.1.2: bytes=56 Sequence=2 ttl=255 time=4 ms

    Reply from 10.1.1.2: bytes=56 Sequence=3 ttl=255 time=4 ms

    Reply from 10.1.1.2: bytes=56 Sequence=4 ttl=255 time=4 ms

    Reply from 10.1.1.2: bytes=56 Sequence=5 ttl=255 time=4 ms

--- 10.1.1.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

round-trip min/avg/max = 4/4/4 ms

[Quidway]dis ipsec policy

===========================================

IPsec Policy Group: "1"

Using interface: {}

===========================================

-----------------------------

IPsec policy name: "1"

sequence number: 1

mode: isakmp

-----------------------------

    security data flow : 0

    selector mode: standard

    tunnel remote address: 0.0.0.0

    perfect forward secrecy: None

    proposal name:

    IPsec sa local duration(time based): 3600 seconds

    IPsec sa local duration(traffic based): 1843200 kilobytes

===========================================

IPsec Policy Group: "12"

Using interface: {}

===========================================

-----------------------------

IPsec policy name: "12"

sequence number: 12

mode: manual

-----------------------------

    security data flow : 0

    selector mode: standard

    tunnel local address: 0.0.0.0

    tunnel remote address: 0.0.0.0

    proposal name:

    inbound AH setting:

      AH spi:

      AH string-key:

      AH authentication hex key:

    inbound ESP setting:

      ESP spi:

      ESP string-key:

      ESP encryption hex key:

      ESP authentication hex key:

    outbound AH setting:

      AH spi:

      AH string-key:

      AH authentication hex key:

    outbound ESP setting:

      ESP spi:

      ESP string-key:

      ESP encryption hex key:

      ESP authentication hex key:

===========================================

IPsec Policy Group: "vpnmap"

Using interface: {Ethernet0/0}

===========================================

-----------------------------

IPsec policy name: "vpnmap"

sequence number: 10

mode: isakmp

-----------------------------

    security data flow : 3001

    selector mode: standard

    ike-peer name: peer

    perfect forward secrecy: None

    proposal name: vpn

    IPsec sa local duration(time based): 3600 seconds

    IPsec sa local duration(traffic based): 1843200 kilobytes



[Quidway]dis ipsec tunnel

    ------------------------------------------------

    Connection ID : 9

    Perfect forward secrecy: None

    SA's SPI :

        Inbound : 1663789321 (0x632b6909) [ESP]

        Outbound : 1284132306 (0x4c8a4dd2) [ESP]

    Tunnel :

        Local Address: 10.1.1.1 Remote Address : 10.1.1.2

    Flow :     (68 times matched)

        Sour Addr : 0.0.0.0/0.0.0.0 Port: 0 Protocol : IP

        Dest Addr : 0.0.0.0/0.0.0.0 Port: 0 Protocol : IP



[Quidway]dis ipsec ?

policy           Display IPSec security policy information

policy-template Display IPSec security policy template information

proposal         Display configured IPSec proposal

sa               Display IPSec security association information

statistics       Display statistics information of security packets

tunnel           Display IPSec tunnel information



[Quidway]dis ipsec statistics all

the security packet statistics:

    input/output security packets: 227/266

    input/output security bytes: 18842/22424

    input/output dropped security packets: 0/116

    dropped security packet detail:

      no enough memory: 0

      can't find SA: 116

      queue is full: 0

      authentication is failed: 0

      wrong length: 0

      replay packet: 0

      too long packet: 0

      wrong SA: 0

【提示】

1、在ike视图下配置原地址时，一定要保证原地址的路由可达。如在本例中原地址配置的是loopback 1，所以需配置一条静态路由，下一跳指向对端端口。

若您有关于案例的建议，请反馈：

作者在2007-01-25对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

AR28/AR46系列路由器和CISCO设备IPsec互通的典型配置

编辑评论

提出建议