ipsec
- 0关注
- 0收藏,588浏览
问题描述:
一端固定地址,一端拨号上网,我配置野蛮模式发现只能分支主动建立隧道,现在我想了解有没有一种配置可以实现两端都可以建立隧道,思科的可以使用API接口来建立,不知道h3c需要怎么配置,p2mp吗,用虚接口去建立
组网及组网描述:
- 2022-12-12提问
- 举报
-
(0)
最佳答案
您好,请知:
可以使用gre over ipsec来实现。
以下是配置案例,请参考:
一、组网需求:
RTA和RTB之间建立GRE隧道,RTA和RTB下挂网段间流量走GRE,在GRE中对流量进行加密
设备清单:SR6600路由器2台
二、组网图:
三、配置步骤:
RTA配置 |
# //定义IKE提议,使用IKE必配 ike proposal 1 # //定义IKE对等体,IKE必配 ike peer rtb //使用预设口令身份验证 pre-shared-key 123 //对等体的IP地址,注意是GRE Tunnel的地址 remote-address 1.2.1.2 # //定义IPSec提议 ipsec proposal rtb # //定义IPSec策略,协商方式为isakmp,即使用IKE协商 ipsec policy rtb 1 isakmp //定义需要加密传送的ACL security acl 3000 //选择使用的IKE对等体 ike-peer rtb //选择安全策略 proposal rtb # //安全ACL acl number 3000 rule 0 permit ip source 1.0.0.0 0.0.0.255 destination 2.0.0.0 0.0.0.255 # interface Ethernet0/0 port link-mode route description connects to RTB ip address 1.2.0.1 255.255.255.252 # interface Ethernet0/1 port link-mode route description connects to 1.0.0.0/24 subnet ip address 1.0.0.1 255.255.255.0 # //定义GRE隧道 interface Tunnel0 //隧道口地址,用于IKE协商和GRE封装 ip address 1.2.1.1 255.255.255.252 source 1.2.0.1 destination 1.2.0.2 //蒋IPSec策略绑定到GRE隧道 ipsec policy rtb # //定义静态路由,可以使用动态路由代替 ip route-static 2.0.0.0 255.255.255.0 Tunnel0 # |
RTB配置 |
# //定义IKE提议,使用IKE必配 ike proposal 1 # //定义IKE对等体,IKE必配 ike peer rta //使用预设口令身份验证 pre-shared-key 123 //对等体的IP地址 remote-address 1.2.1.1 # //定义IPSec提议 ipsec proposal rta # //定义IPSec策略,协商方式为isakmp,即使用IKE协商 ipsec policy rta 1 isakmp //定义需要加密传送的ACL security acl 3000 //选择使用的IKE对等体 ike-peer rta //选择安全策略 proposal rta # //安全ACL acl number 3000 rule 0 permit ip source 2.0.0.0 0.0.0.255 destination 1.0.0.0 0.0.0.255 # interface Ethernet0/0 port link-mode route description connects to RTA ip address 1.2.0.2 255.255.255.252 //将安全策略绑定在端口下 ipsec policy rta # interface Ethernet0/1 port link-mode route description connects to 2.0.0.0/24 subnet ip address 2.0.0.1 255.255.255.0 # //定义GRE隧道 interface Tunnel0 //隧道口地址,用于IKE协商和GRE封装 ip address 1.2.1.2 255.255.255.252 source 1.2.0.2 destination 1.2.0.1 将IPSec策略绑定到GRE隧道上 ipsec policy rta # //定义静态路由,可以使用动态路由代替 ip route-static 1.0.0.0 255.255.255.0 Tunnel0 # |
四、配置关键点:
1) 和基本IPSec配置较为相似;
2) IKE Peer的Remote address是对方的GRE隧道口IP地址,不是物理接口地址;
3) IPSec策略绑定到GRE隧道上;
4) 定义静态路由或策略路由将需要加密的流量引入到GRE隧道上。
- 2022-12-23回答
- 评论(0)
- 举报
-
(0)
可以用Tunnel口,或者GRE
- 2022-12-12回答
- 评论(2)
- 举报
-
(0)
就你找的官网ipsec这一手册,应该有ipsec与tunnel口建立隧道,或者gre over ipsec这种案例
分支公网地址不固定的,此时需要由分支触发ipsec隧道建立,你想要两边都可以触发隧道建立的话,不如实现两端ipsec sa一直存在,此时也就不需要考虑哪边触发ipsec隧道建立了。可以在分支做一个NQA,NQA不用调用,也不用做惩罚,就是一直ping就好了
- 2022-12-12回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明