Nessuna risorsa pertinente trovata nella lingua selezionata.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
Esempio per la configurazione di tunnel crittografati per un accesso internazionale dalle filiali di un'impresa finanziaria

Esempio per la configurazione di tunnel crittografati per un accesso internazionale dalle filiali di un'impresa finanziaria

Questa sezione fornisce un esempio di come configurare i tunnel crittografati (OSPF over GRE over IPsec) sulla rete di accesso internazionale di un'azienda finanziaria. I tunnel crittografati possono trasportare pacchetti OSPF trasmessi tra le filiali internazionali e la rete nazionale sede centrale. Ciò migliora l'affidabilità e la sicurezza della trasmissione dei dati tra filiali e sede centrale.

Prodotti e versioni applicabili

Questa configurazione si applica ai prodotti della serie NE40E che eseguono V800R010C00 o versioni successive.

Requisiti di rete

Un'impresa finanziaria in questo esempio vuole che venga implementata una rete di accesso internazionale per connettere le filiali internazionali dell'azienda alla rete nazionale HQ. Questa rete è mostrata in Figura 1-6. Per soddisfare i requisiti degli utenti per l'alta affidabilità e sicurezza, la funzione OSPF over GRE over IPsec può essere distribuita tra i due gruppi di router:
  • Router di uscita (dispositivo A, dispositivo B, dispositivo C e dispositivo D) della rete in cui risiedono le filiali internazionali
  • Router di aggregazione (AGG A, AGG B, AGG C e AGG D) della rete nazionale HQ
Il processo di distribuzione è il seguente:
  • IPSec viene distribuito tra i router di uscita e i router di aggregazione per crittografare i pacchetti di comunicazione. Tuttavia, alcuni pacchetti OSPF vengono inviati utilizzando indirizzi multicast e IPsec non è in grado di proteggere i pacchetti multicast. Pertanto, è necessario configurare due tunnel GRE tra un router di uscita e un router di aggregazione, con un'interfaccia tunnel configurata su ciascun router. Inoltre, OSPF deve essere implementato sui tunnel GRE, formando OSPF su GRE su tunnel IPsec. Questo consente a IPsec di crittografare i pacchetti OSPF incapsulati nei tunnel GRE.

  • OSPF viene distribuito sui router di uscita e sui router di aggregazione. Dopo che i costi degli instradamenti specifici sono impostati per percorsi diversi, il traffico può essere rapidamente trasferito su un percorso non ideale se il percorso principale non riesce. Questo garantisce l'affidabilità della rete. I percorsi in ordine decrescente di priorità sono i seguenti:
    1. AGG A-Device A GRE over IPsec tunnel o AGG B-Device C GRE over IPsec tunnel

    2. AGG A-Device A un semplice collegamento di testo o AGG B-Device C un semplice collegamento di testo

    3. AGG C-Device B GRE su tunnel IPsec

    4. AGG C-Device B semplice collegamento di testo

    5. GRE over IPsec tunnel tra AGG D e Device D di diverse VPN

Figura 1-6  Accesso internazionale alle filiali

Tabella 1-2  Preparazione dei dati

Nomi del dispositivo

Parametri

Dati

AGG A

Indirizzo IP di Loopback 1 192.168.1.1/32
Indirizzo IP del Tunnel 1 (GRE) 10.1.1.1/24
Indirizzo IP del Tunnel 2 (IPsec) 192.168.11.1/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.1.2.1/24

AGG B

Indirizzo IP di Loopback 1 192.168.2.2/32
Indirizzo IP del Tunnel 1 (GRE) 10.2.1.1/24
Indirizzo IP di Tunnel 2 (IPsec) 192.168.22.2/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.2.2.1/24

AGG C

Indirizzo IP di Loopback 1 192.168.3.3/32
Indirizzo IP del Tunnel 1 (GRE) 10.3.1.1/24
Indirizzo IP di Tunnel 2 (IPsec) 192.168.33.3/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.3.2.1/24

AGG D

Indirizzo IP di Loopback 1 192.168.4.4/32
Indirizzo IP del Tunnel 1 (GRE) 10.4.1.1/24
Indirizzo IP di Tunnel 2 (IPsec) 192.168.44.4/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.4.2.1/24

Device A

Indirizzo IP di Loopback 1 192.168.1.9/32
Indirizzo IP del Tunnel 1 (GRE) 10.1.1.2/24
Indirizzo IP di Tunnel 2 (IPsec) 192.168.11.9/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.1.2.2/24

Device B

Indirizzo IP di Loopback 1 192.168.2.9/32
Indirizzo IP del Tunnel 1 (GRE) 10.3.1.2/24
Indirizzo IP di Tunnel 2 (IPsec) 192.168.22.9/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.3.2.2/24

Device C

Indirizzo IP di Loopback 1 192.168.3.9/32
Indirizzo IP del Tunnel 1 (GRE) 10.2.1.2/24
Indirizzo IP di Tunnel 2 (IPsec) 192.168.33.9/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.2.2.2/24

Device D

Indirizzo IP di Loopback 1 192.168.4.9/32
Indirizzo IP del Tunnel 1 (GRE) 10.4.1.2/24
Indirizzo IP di Tunnel 2 (IPsec) 192.168.44.9/32
Indirizzo IP di GE 0/1/0 collegato a Device C 10.4.2.2/24

Roadmap di configurazione

  1. Configurare gli indirizzi IP e OSPF sui router di uscita e sui router di aggregazione.

  2. Configurare i tunnel GRE tra i router di uscita e i router di aggregazione, abilitare OSPF sul segmento di rete in cui risiedono le interfacce del tunnel e impostare i costi specifici.

  3. Configurare IPsec sui router di uscita e sui router di aggregazione.

Procedura

  1. Configurare gli indirizzi IP e OSPF sui router di uscita e sui router di aggregazione.

    # Configurare AGG A.

    #
    sysname AGG A
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.1.2.1 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.1.1 255.255.255.255
    #
    ospf 100      //Configurare OSPF.
     area 0.0.0.1
      network 192.168.1.1 0.0.0.0
      network 10.1.2.0 0.0.0.255
    #
    return
    

    # Configurare AGG B.

    #
    sysname AGG B
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.2.2.1 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.2.2 255.255.255.255
    #
    ospf 100
     area 0.0.0.2
      network 192.168.2.2 0.0.0.0
      network 10.2.2.0 0.0.0.255
    #
    return
    

    # Configurare AGG C.

    #
    sysname AGG C
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.3.2.1 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.3.3 255.255.255.255
    #
    ospf 100
     area 0.0.0.3
      network 192.168.3.3 0.0.0.0
      network 10.3.2.0 0.0.0.255
    #
    return
    

    # Configurare AGG D.

    #
    sysname AGG D
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.4.2.1 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.4.4 255.255.255.255
    #
    ospf 100
     area 0.0.0.4
      network 192.168.4.4 0.0.0.0
      network 10.4.2.0 0.0.0.255
    #
    return
    

    # Configurare Device A.

    #
    sysname Device A
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.1.2.2 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.1.9 255.255.255.255
    #
    ospf 100
     area 0.0.0.1
      network 192.168.1.9 0.0.0.0
      network 10.1.2.0 0.0.0.255
    #
    return
    

    # Configurare Device B.

    #
    sysname Device B
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.3.2.2 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.2.9 255.255.255.255
    #
    ospf 100
     area 0.0.0.1
      network 192.168.2.9 0.0.0.0
      network 10.3.2.0 0.0.0.255
    #
    return
    

    # Configurare Device C.

    #
    sysname Device C
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.2.2.2 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.3.9 255.255.255.255
    #
    ospf 100
     area 0.0.0.1
      network 192.168.3.9 0.0.0.0
      network 10.2.2.0 0.0.0.255
    #
    return
    

    # Configurare Device D.

    #
    sysname Device D
    #
    interface GigabitEthernet 0/1/0
     undo shutdown
     ip address 10.4.2.2 255.255.255.0
    #
    interface LoopBack1
     ip address 192.168.4.9 255.255.255.255
    #
    ospf 100
     area 0.0.0.1
      network 192.168.4.9 0.0.0.0
      network 10.4.2.0 0.0.0.255
    #
    return
    

  2. Configurare i tunnel GRE tra i router di uscita e i router di aggregazione, abilitare OSPF sul segmento di rete in cui risiedono le interfacce del tunnel e impostare i costi specifici.

    # Configurare AGG A.

    #
    interface GigabitEthernet 0/1/0
     ospf cost 1000      //Impostare un valore di costo OSPF per il collegamento fisico.
    #
    interface LoopBack1      // Configurare l'indirizzo IP dell'interfaccia di loopback come indirizzo di origine del tunnel GRE, configurare la mappatura dall'interfaccia di origine del tunnel alla scheda di servizio del tunnel e associare GRE all'interfaccia di origine.
     binding tunnel gre
    #
    interface Tunnel1      //Configurare l'interfaccia del tunnel GRE, l'indirizzo del protocollo e gli indirizzi di origine e destinazione del tunnel GRE. Abilitare la funzione keepalive per il tunnel GRE. Per impostazione predefinita, i pacchetti keepalive vengono inviati a un intervallo di 5 secondi e vengono ritrasmessi tre volte.
     ip address 10.1.1.1 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.1.1
     destination 192.168.1.9
     ospf cost 990      //Impostare un costo OSPF per l'interfaccia tunnel.
    #
    ospf 100
     area 0.0.0.1
      network 10.1.1.0 0.0.0.255      //Abilitare OSPF sul segmento di rete in cui risiede l'interfaccia GRE tunnel.
    #
    return
    

    # Configurare AGG B.

    #
    interface GigabitEthernet 0/1/0
     ospf cost 1000
    #
    interface LoopBack1
     binding tunnel gre
    #
    interface Tunnel1
     ip address 10.2.1.1 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.2.2
     destination 192.168.3.9
     ospf cost 990 
    #
    ospf 100
     area 0.0.0.2
      network 10.2.1.0 0.0.0.255
    #
    return
    

    # Configurare AGG C.

    #
    interface GigabitEthernet 0/1/0
     ospf cost 1020
    #
    interface LoopBack1
     binding tunnel gre
    #
    interface Tunnel1
     ip address 10.3.1.1 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.3.3
     destination 192.168.2.9
     ospf cost 1010 
    #
    ospf 100
     area 0.0.0.3
      network 10.3.1.0 0.0.0.255
    #
    return
    

    # Configurare AGG D.

    #
    interface LoopBack1
     binding tunnel gre
    #
    interface Tunnel1
     ip address 10.4.1.1 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.4.4
     destination 192.168.4.9
     ospf cost 1030 
    #
    ospf 100
     area 0.0.0.4
      network 10.4.1.0 0.0.0.255
    #
    return
    

    # Configurare Device A.

    #
    interface GigabitEthernet 0/1/0
     ospf cost 550
    #
    interface LoopBack1
     binding tunnel gre
    #
    interface Tunnel1
     ip address 10.1.1.2 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.1.9
     destination 192.168.1.1
     ospf cost 500 
    #
    ospf 100
     area 0.0.0.1
      network 10.1.1.0 0.0.0.255
    #
    return
    

    # Configurare Device B.

    #
    interface GigabitEthernet 0/1/0
     ospf cost 650
    #
    interface LoopBack1
     binding tunnel gre
    #
    interface Tunnel1
     ip address 10.3.1.2 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.2.9
     destination 192.168.3.3
     ospf cost 600 
    #
    ospf 100
     area 0.0.0.3
      network 10.3.1.0 0.0.0.255
    #
    return
    

    # Configurare Device C.

    #
    interface GigabitEthernet 0/1/0
     ospf cost 550
    #
    interface LoopBack1
     binding tunnel gre
    #
    interface Tunnel1
     ip address 10.2.1.2 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.3.9
     destination 192.168.2.2
     ospf cost 500 
    #
    ospf 100
     area 0.0.0.2
      network 10.1.1.0 0.0.0.255
    #
    return
    

    # Configurare Device D.

    #
    interface LoopBack1
     binding tunnel gre
    #
    interface Tunnel1
     ip address 10.4.1.2 255.255.255.0
     tunnel-protocol gre
     keepalive
     source 192.168.4.9
     destination 192.168.4.4
     ospf cost 700 
    #
    ospf 100
     area 0.0.0.4
      network 10.4.1.0 0.0.0.255
    #
    return
    

  3. Configurare IPsec sui router di uscita e sui router di aggregazione.

    # Configurare AGG A.

    #
    ike dpd interval 30 15      //Abilitare il rilevamento periodico di DPD sia a livello locale che remoto. Il tempo di inattività predefinito è 30 secondi. I pacchetti DPD vengono inviati a intervalli di 15 secondi e vengono eseguiti tre rilevamenti consecutivi entro un periodo.
    #
    ipsec sa global anti-replay disable      //Disabilitare la funzione anti-replay IPsec.
    ipsec global df-bit clear      //Cancellare il flag di non frammentazione per impedire che i pacchetti UDP con il flag di non frammentazione vengano scartati a causa dell'incapsulamento GRE over IPsec. Questo incapsulamento aggiunge circa 100 byte ai pacchetti originali e fa sì che la lunghezza del pacchetto superi la MTU dell'interfaccia.
    #
    service-location 1      //Configurare un motore di servizio IPsec ed eseguire la crittografia sul motore specificato.
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000       //Impostare le caratteristiche del flusso di protezione IPsec nella regola ACL. Impostare la sorgente sull'indirizzo di origine del tunnel GRE e la destinazione all'indirizzo di destinazione del tunnel GRE, che sono rispettivamente gli indirizzi di loopback di AGG A e Device A.
     rule 10 permit ip source 192.168.1.1 0 destination 192.168.1.9 0
    #
    ike proposal 1      //Configurare una proposta IKE, l'algoritmo di autenticazione SM3 e l'algoritmo di crittografia SM4. La modalità di autenticazione predefinita è la chiave condivisa.
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1      //Configurare un peer IKE e configura la chiave condivisa. Vincolare la proposta IKE.
     pre-shared-key cipher %^%#9<6Gkk6%LpCr0\.>+.ya+\LUTGeZZBxW!-Aw0>DY%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.1.1.2      // L'indirizzo peer è l'indirizzo IP dell'interfaccia tunnel GRE tra il dispositivo A e AGG A.
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1      //Configurare una proposta IPsec, l'algoritmo di autenticazione SM3 e l'algoritmo di crittografia SM4.
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1      //Abilitare la funzione IPsec sulla scheda di servizio nello slot 1.
    #
    ipsec policy 1 10 isakmp      //Configurare un criterio IPsec. Associare il flusso di protezione IPsec, il peer IKE e la proposta IPsec.
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2      //Applicare il criterio IPsec all'interfaccia IPsec.
     ip address 192.168.11.1 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.1.9 255.255.255.255 Tunnel2 10.1.1.2
    #
    return

    # Configurare AGG B.

    #
    ike dpd interval 30 15
    #
    ipsec sa global anti-replay disable
    ipsec global df-bit clear
    #
    service-location 1
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000
     rule 10 permit ip source 192.168.2.2 0 destination 192.168.3.9 0
    #
    ike proposal 1
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1
     pre-shared-key cipher %^%#ZZBxW!-Aw0>9<6GkkY6%LpCr0\.>+.ya+\LUTDGe%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.2.1.2
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1
    #
    ipsec policy 1 10 isakmp
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2
     ip address 192.168.22.2 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.3.9 255.255.255.255 Tunnel2 10.2.1.2
    #
    return

    # Configurare AGG C.

    #
    ike dpd interval 30 15
    #
    ipsec sa global anti-replay disable
    ipsec global df-bit clear
    #
    service-location 1
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000
     rule 10 permit ip source 192.168.3.3 0 destination 192.168.2.9 0
    #
    ike proposal 1
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1
     pre-shared-key cipher %^%#W!-Aw0>9<6GkkYZZBx6%LpCr0\.>+.ya+\LUTDGe%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.3.1.2
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1
    #
    ipsec policy 1 10 isakmp
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2
     ip address 192.168.33.3 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.2.9 255.255.255.255 Tunnel2 10.3.1.2
    #
    return

    # Configurare AGG D.

    #
    ike dpd interval 30 15
    #
    ipsec sa global anti-replay disable
    ipsec global df-bit clear
    #
    service-location 1
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000
     rule 10 permit ip source 192.168.4.4 0 destination 192.168.4.9 0
    #
    ike proposal 1
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1
     pre-shared-key cipher %^%#W!-Aw0>9<6GkkYZZBx6%LpCr0\.>+.ya+\LUTDGe%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.4.1.2
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1
    #
    ipsec policy 1 10 isakmp
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2
     ip address 192.168.44.4 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.4.9 255.255.255.255 Tunnel2 10.4.1.2
    #
    return

    # Configurare Device A.

    #
    ike dpd interval 30 15
    #
    ipsec sa global anti-replay disable
    ipsec global df-bit clear
    #
    service-location 1
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000
     rule 5 permit ip source 192.168.1.9 0 destination 192.168.1.1 0
    #
    ike proposal 1
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1
     pre-shared-key cipher %^%#+Nh`gy]AG+3#',z0d(SCIE*Ia{9(j1HTY%x9{.G-%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.1.1.1
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1
    #
    ipsec policy 1 10 isakmp
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2
     ip address 192.168.11.9 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.1.1 255.255.255.255 Tunnel2 10.1.1.1
    #
    return

    # Configurare Device B.

    #
    ike dpd interval 30 15
    #
    ipsec sa global anti-replay disable
    ipsec global df-bit clear
    #
    service-location 1
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000
     rule 5 permit ip source 192.168.2.9 0 destination 192.168.3.3 0
    #
    ike proposal 1
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1
     pre-shared-key cipher %^%#+Nh`gy]AG+3#',z0d(SCIE*Ia{9(j1HTY%x9{.G-%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.3.1.1
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1
    #
    ipsec policy 1 10 isakmp
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2
     ip address 192.168.22.9 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.3.3 255.255.255.255 Tunnel2 10.3.1.1
    #
    return

    # Configurare Device C.

    #
    ike dpd interval 30 15
    #
    ipsec sa global anti-replay disable
    ipsec global df-bit clear
    #
    service-location 1
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000
     rule 5 permit ip source 192.168.3.9 0 destination 192.168.2.2 0
    #
    ike proposal 1
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1
     pre-shared-key cipher %^%#+Nh`gy]AG+3#',z0d(SCIE*Ia{9(j1HTY%x9{.G-%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.2.1.1
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1
    #
    ipsec policy 1 10 isakmp
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2
     ip address 192.168.33.9 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.2.2 255.255.255.255 Tunnel2 10.2.1.1
    #
    return

    # Configurare Device D.

    #
    ike dpd interval 30 15
    #
    ipsec sa global anti-replay disable
    ipsec global df-bit clear
    #
    service-location 1
     location slot 1 engine 0
    #
    service-instance-group 1
     service-location 1
    #
    acl number 3000
     rule 5 permit ip source 192.168.4.9 0 destination 192.168.4.4 0
    #
    ike proposal 1
     encryption-algorithm sm4-cbc
     dh group14
     authentication-algorithm sm3
     integrity-algorithm hmac-sha2-256
    #
    ike peer 1
     pre-shared-key cipher %^%#0d(SCIE*Ia{9+Nh`gy]AG+3#',z(j1HTY%x9{.G-%^%#
     ike-proposal 1
     undo version 2
     remote-address 10.4.1.1
     ipsec sm4 version draft-standard
    #
    ipsec proposal 1
     esp authentication-algorithm sm3
     esp encryption-algorithm sm4
    #
    license
     active ipsec slot 1
    #
    ipsec policy 1 10 isakmp
     security acl 3000
     ike-peer 1
     proposal 1
    #
    interface Tunnel2
     ip address 192.168.44.9 255.255.255.255
     tunnel-protocol ipsec
     ipsec policy 1 service-instance-group 1
    #
    ip route-static 192.168.4.4 255.255.255.255 Tunnel2 10.4.1.1
    #
    return

  4. Verificare la configurazione.

    Eseguire il comando display ip routing-table su un router di uscita o un router di aggregazione. L'output del comando mostra gli instradamenti OSPF al dispositivo peer sull'interfaccia del tunnel.

    Eseguire il comando ping sul dispositivo per eseguire il ping del dispositivo remoto. Eseguire il comando display interface tunnel per verificare lo stato di funzionamento dell'interfaccia tunnel. L'output del comando mostra le informazioni sui pacchetti inviati e ricevuti dall'interfaccia del tunnel.

    Eseguire il comando display ipsec statistics sul dispositivo per verificare le modifiche nei dati crittografati. L'output del comando indica se la trasmissione dei dati è crittografata. A causa della crittografia, la dimensione dei pacchetti di output è maggiore di quella dei pacchetti di input.

Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:849

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti