Nessuna risorsa pertinente trovata nella lingua selezionata.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
IPSec

IPSec

Esempio di impostazione di un tunnel IPsec nella modalità di negoziazione IKE (senza rilevamento peer Keepalive)

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S che eseguono V800R010C00 o versioni successive, con supporto NSP-A/NSP-B

Requisiti di rete

Sulla rete mostrata in Figura 1-43, è necessario impostare un tunnel IPsec tra il dispositivo A e il dispositivo B per proteggere i flussi di dati tra la sottorete 10.1.1.x dove risiede il PC A e la sottorete 10.1.2.x dove risiede il PC B. Il protocollo di sicurezza, l'algoritmo di crittografia e l'algoritmo di autenticazione adottati durante la configurazione del tunnel sono, rispettivamente, ESP (Encapsulating Security Payload), DES (Data Encryption Standard), e SHA-1 (Secure Hash Algorithm-1).

Figura 1-43  Impostazione di un tunnel IPsec nella modalità di negoziazione IKE
NOTA:

Interface1 e interface2 in questo esempio sono rispettivamente per GE0/1/0 e GE0/2/0.



Procedura

  1. Configurare dispositivo A.

    #                                                                                
    service-location 1
     location slot 3
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3101  //Configurare un ACL.                                                               
     rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255      
    #                                                        
    ipsec proposal tran1  //Configurare una proposta IPsec.                                                          
     esp authentication-algorithm sha2-256
    #                                                                               
    ike proposal 1  //Configurare una proposta IKE.                                                                
     encryption-algorithm aes-cbc 256   
     authentication-algorithm sha2-256
    # 
     ike local-name huawei01                                                  
    #                                                                               
    ike peer spub  //Configurare un peer IKE.                                               
     version 1                                                                 
     exchange-mode aggressive                                                       
     pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#  //Configure the PSK as huawei in ciphertext.
     ike-proposal 1                                                                 
     remote-id huawei02    //Configurare il nome del peer IKE                                                    
     remote-address 5.5.5.2                                                    
    #                                                                               
    ipsec policy map1 10 isakmp  //Configurare un criterio IPsec.                                                   
     security acl 3101                                                              
     ike-peer spub                                                                  
     proposal tran1                                                                 
    #               
    interface Tunnel 0/1/3                                                  
     ip address 5.5.5.1 255.255.255.0
     tunnel-protocol ipsec
     ipsec policy map1 service-instance-group 1                                          
    #                                                                                                        
     ip route-static 10.1.2.0 255.255.255.0 Tunnel0/1/3  5.5.5.2   
     ip route-static 5.5.5.2 255.255.255.255 192.168.163.2
    #
    interface GigabitEthernet0/1/0  //Configurare un'interfaccia di rete pubblica.                                                 
     ip address 192.168.163.1 255.255.255.0
    #                                                                               
    interface GigabitEthernet0/2/0  //Configurare un'interfaccia di rete privata.                                                
     ip address 10.1.1.1 255.255.255.0
    #                                                                               
    return                                                                               

  2. Configurare Device B.

    #
    service-location 1
     location slot 3
    #
    service-instance-group 1
     service-location 1                                                                               
    #
    acl number 3101  //Configurare un ACL.                                                               
      rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255        
    #                                                                               
    ipsec proposal tran1  //Configurare una proposta IPsec.                                                          
     esp authentication-algorithm sha2-256
    #                                                                               
    ike proposal 1  //Configurare una proposta IKE.                                                                
     encryption-algorithm aes-cbc 256   
     authentication-algorithm sha2-256
    # 
     ike local-name huawei02                                                   
    #                                                                               
    ike peer spua
     version 1  //Configurare un IKE peer.                                                              
     exchange-mode aggressive                                                       
     pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%#  //Configurare il PSK come huawei nel testo cifrato.
     ike-proposal 1                                                                 
     remote-id huawei01   
     remote-address 5.5.5.1                                                    
    #                                                                               
    ipsec policy use1 10 isakmp  //Configurare un criterio IPsec.                                                   
     security acl 3101                                                              
     ike-peer spua                                                                 
     proposal tran1                                                                 
    #              
    interface Tunnel0/1/3
    ip address 5.5.5.2 24
    tunnel-protocol ipsec
    ipsec policy use1 service-instance-group 1
                                                                                               
     ip route-static 10.1.1.0 255.255.255.0 Tunnel0/1/3 5.5.5.1   
     ip route-static 5.5.5.1 255.255.255.255 192.168.162.2 
    #                                                                                
    interface GigabitEthernet0/1/0  //Configurare un'interfaccia di rete pubblica.          
     ip address 192.168.162.1 255.255.255.0                                          
    #                                                                                
    interface GigabitEthernet0/2/0  //Configurare un'interfaccia di rete privata.         
     ip address 10.1.2.1 255.255.255.0 
    #                                                                                
    return   

Precauzioni
  • Gli ACL della sede centrale e gli ACL dei rami devono essere configurati per rispecchiarsi a vicenda.
  • Gli instradamenti esterni tra la sede centrale e i rami devono essere raggiungibili

Impostazione di un tunnel IPsec nella modalità di negoziazione IKE (con rilevamento Peer Keepalive)

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S che eseguono V800R010C00 o versioni successive, con supporto NSP-A/NSP-B

Requisiti di rete

Una connessione IPsec viene configurata tra la sede centrale e la filiale e DPD è configurato per rilevare se il peer IPsec è attivo tra la sede centrale e la filiale. Se IPsec SA corrispondente alla filiale viene cancellato in modo anormale nella sede centrale e la filiale continua a inviare i dati crittografati alla sede centrale, la sede centrale non riesce a decodificare correttamente i dati, portando a un'interruzione delle comunicazioni.

Figura 1-44  Impostazione di un tunnel IPsec nella modalità di negoziazione IKE
NOTA:

Interface1 e interface2 in questo esempio sono rispettivamente per GE0/1/0 e GE0/2/0.



Procedura

  1. Configurare la sede centrale.

    # 
     sysname Headquarters   
    # 
    
    service-location 1
     location slot 3
    #
    service-instance-group 1
     service-location 1
    #
    ike dpd on-demand 100 //Configurare la modalità DPD.
    #
    acl number 3000  //Configurare ACL 3000.
     rule 0 permit ip source 10.1.0.0 0.0.0.255 destination 10.2.0.0 0.0.0.255 
    # 
    ipsec proposal def  //Configurare una proposta IPsec.
     esp authentication-algorithm sha2-256 
     esp encryption-algorithm aes 192 
    # 
    ike peer Center
     version 1  // Configurare un peer IKE.
     pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#  //Configurare il PSK come huawei nel testo cifrato.
     remote-address 5.5.5.2  //Configurare un indirizzo IP peer.
    # 
    ipsec policy center 1 isakmp  //Configurare un criterio IPsec.
     security acl 3000 
     ike-peer Center 
     proposal def 
    
    # 
    interface Tunnel0/1/3
    ip address 5.5.5.1 24
    tunnel-protocol ipsec
    ipsec policy center service-instance-group 1
    
    #
    interface GigabitEthernet0/1/0
     ip address 192.168.1.1 255.255.255.0 
    # 
    interface GigabitEthernet0/2/0
     ip address 10.1.0.1 255.255.255.0 
    # 
    ip route-static 5.5.5.2 255.255.255.255 192.168.1.2  //Configurare un'instradamento statico destinato all'uscita esterna del ramo.
    ip route-static 10.2.0.0 255.255.255.0 Tunnel0/1/3 5.5.5.2  //Configurare un instradamento statico destinato alla rete interna del ramo.
    # 
    return

  2. Configurare la filiale.

    # 
     sysname Branch   
    # 
    ike dpd on-demand 100 //Configurare la modalità DPD.
    acl number 3000  //Configurare ACL 3000.
     rule 0 permit ip source 10.2.0.0 0.0.0.255 destination 10.1.0.0 0.0.0.255 
    # 
    ipsec proposal def  //Configurare una proposta IPsec.
     esp authentication-algorithm sha2-256 
     esp encryption-algorithm aes 192 
    # 
    ike peer Center 
     version 1         //Configurare un IKE peer.
     pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%#   //Configurare il PSK come huawei nel testo cifrato.
     remote-address 5.5.5.1  //Configurare l'indirizzo IP peer.
    # 
    ipsec policy branch 1 isakmp  //Configurare un criterio IPsec.
     security acl 3000 
     ike-peer Branch 
     proposal def 
    
    # 
    interface GigabitEthernet0/1/0
     ip address 192.168.2.1 255.255.255.0 
    # 
    
    interface Tunnel0/1/3
    ip address 5.5.5.2 24
    tunnel-protocol ipsec
    ipsec policy branch service-instance-group 1
    
    interface GigabitEthernet0/2/0
     ip address 10.2.0.1 255.255.255.0 
    # 
    ip route-static 5.5.5.1 255.255.255.255 192.168.2.2  //Configurare un'instradamneto statico destinato all'uscita esterna della sede centrale.
    ip route-static 10.1.0.0 255.255.255.0 Tunnel0/1/3 5.5.5.1  //Configurare un'instradamneto statico destinato alla rete interna della sede centrale.
    # 
    return 

  3. Verificare la configurazione.

    1. Eseguire il comando display ipsec sa nella sede centrale. L'output del comando visualizza le configurazioni del tunnel IPsec.
    2. Se il collegamento sulla filiale è scollegato, eseguire l'operazione di ping nella sede centrale. La sede può quindi inviare le richieste DPD.

Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:782

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti