NetEngine AR600, AR6100, AR6200, AR6300 典型配置案例(命令行)
配置分支机构与总部之间运行OSPF,并通过GRE Over IPSec方式实现互通的示例
组网需求
如图6-51所示,其中RouterA作为总部网络的出口路由器,对2个分支提供GRE Over IPSec的接入,另外两台RouterB和RouterC分别是2个企业分支网络的出口路由器,通过GRE Over IPSec方式接入到总部。总部与各个分支在GRE隧道上启动OSPF路由协议,实现所有总部与分支之间的流量进行加密。
操作步骤
- 配置RouterA
# sysname RouterA # router id 192.168.255.255 //配置OSPF的Router ID # acl number 3000 //配置ACL 3000,精确匹配总部路由器和分支1路由器的出口地址 rule 0 permit ip source 1.0.1.254 0 destination 1.0.2.1 0 # acl number 3001 //配置ACL 3001,精确匹配总部路由器和分支2路由器的出口地址 rule 0 permit ip source 1.0.1.254 0 destination 1.0.3.1 0 # ipsec proposal default encapsulation-mode transport esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 5 //配置IKE提议 encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128 dh group14 authentication-algorithm sha2-256 # ike peer branch1 v1 //配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]。V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },如果对等体IKEv1和IKEv2版本同时启用,设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。自V200R008版本到V200R021版本,缺省情况下,对等体IKEv1和IKEv2同时启用。如果设备需要使用IKEv1协议,则可以执行命令undo version 2;V200R021及之后版本,缺省情况下,启用对等体IKEv2版本。如果设备需要使用IKEv1协议,需要先执行命令version 1,再执行命令undo version 2。 pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //配置预共享密钥认证字为“YsHsjx_202206”,以密文显示,该命令在V2R3C00以前的版本中为“pre-shared-key YsHsjx_202206”,以明文显示 ike-proposal 5 local-address 1.0.1.254 remote-address 1.0.2.1 # ike peer branch2 v1 //配置分支2的IKE Peer pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# //配置预共享密钥认证字为“YsHsjx_202206”,以密文显示,该命令在V2R3C00以前的版本中为“pre-shared-key YsHsjx_202206”,以明文显示 ike-proposal 5 local-address 1.0.1.254 remote-address 1.0.3.1 # ipsec policy branch 10 isakmp //建立IPSec策略branch,序号10,用于与分支1的GRE连接 security acl 3000 ike-peer branch1 proposal default # ipsec policy branch 20 isakmp //建立IPSec策略branch,序号20,用于与分支2的GRE连接 security acl 3001 ike-peer branch2 proposal default # interface Ethernet2/0/1 //配置总部外网出口 ip address 1.0.1.254 255.255.255.0 ipsec policy branch # interface GigabitEthernet0/0/1 //配置公司总部内网接口 ip address 10.0.0.1 255.255.255.0 # interface LoopBack0 //配置用于Router ID的环回地址 ip address 192.168.255.255 255.255.255.255 # interface Tunnel0/0/0 //配置用于与分支1建立GRE连接的隧道接口 ip address 192.168.0.1 255.255.255.252 tunnel-protocol gre source Ethernet2/0/1 destination 1.0.2.1 # interface Tunnel0/0/1 //配置用于与分支2建立GRE连接的隧道接口 ip address 192.168.0.5 255.255.255.252 tunnel-protocol gre source Ethernet2/0/1 destination 1.0.3.1 # ospf 1 //配置启用OSPF路由 area 0.0.0.0 network 10.0.0.0 0.0.0.255 network 192.168.255.255 0.0.0.0 network 192.168.0.0 0.0.0.3 network 192.168.0.4 0.0.0.3 # ip route-static 0.0.0.0 0.0.0.0 1.0.1.253 # return
- 配置RouterB
# sysname RouterB # router id 192.168.255.1 //配置OSPF的Router ID # acl number 3000 //配置ACL 3000,需要与总部路由器的ACL 3000互为镜像 rule 0 permit ip source 1.0.2.1 0 destination 1.0.1.254 0 # ipsec proposal default //配置IPSec提议,也需要与总部配置一致 encapsulation-mode transport esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 5 //配置IKE提议 encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128 dh group14 authentication-algorithm sha2-256 # ike peer center v1 //配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]。V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },如果对等体IKEv1和IKEv2版本同时启用,设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。自V200R008版本到V200R021版本,缺省情况下,对等体IKEv1和IKEv2同时启用。如果设备需要使用IKEv1协议,则可以执行命令undo version 2;V200R021及之后版本,缺省情况下,启用对等体IKEv2版本。如果设备需要使用IKEv1协议,需要先执行命令version 1,再执行命令undo version 2。 pre-shared-key cipher %^%#IRFGEiFPJ1$&a'Qy,L*XQL_+*Grq-=yMb}ULZdS6%^%# //配置预共享密钥认证字为“YsHsjx_202206”,以密文显示,该命令在V2R3C00以前的版本中为“pre-shared-key YsHsjx_202206”,以明文显示 ike-proposal 5 local-address 1.0.2.1 remote-address 1.0.1.254 # ipsec policy center 1 isakmp //配置IPSec策略center,需要1,使用ISAKMP方式 security acl 3000 ike-peer center proposal default # interface GigabitEthernet0/0/1 //配置公司总部内网接口 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 //配置分支1外网出接口 ip address 1.0.2.1 255.255.255.0 ipsec policy center # interface LoopBack0 //配置用于Router ID的环回口 ip address 192.168.255.1 255.255.255.255 # interface Tunnel0/0/0 //配置用于连接总部的GRE隧道接口 ip address 192.168.0.2 255.255.255.252 tunnel-protocol gre source GigabitEthernet0/0/2 destination 1.0.1.254 # # ospf 1 //配置OSPF路由 area 0.0.0.0 network 192.168.255.1 0.0.0.0 network 192.168.0.0 0.0.0.3 network 192.168.1.0 0.0.0.255 # ip route-static 0.0.0.0 0.0.0.0 1.0.2.2 # return
- 配置RouterC
# sysname RouterC # router id 192.168.255.2 //配置OSPF的Router ID # acl number 3001 //配置ACL 3001,需要与总部路由器的ACL 3001互为镜像 rule 0 permit ip source 1.0.3.1 0 destination 1.0.1.254 0 # ipsec proposal default //配置IPSec提议,也需要与总部配置一致 encapsulation-mode transport esp authentication-algorithm sha2-256 esp encryption-algorithm aes-192 # ike proposal 5 //配置IKE提议 encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128 dh group14 authentication-algorithm sha2-256 # ike peer center v1 //配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]。V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },如果对等体IKEv1和IKEv2版本同时启用,设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。自V200R008版本到V200R021版本,缺省情况下,对等体IKEv1和IKEv2同时启用。如果设备需要使用IKEv1协议,则可以执行命令undo version 2;V200R021及之后版本,缺省情况下,启用对等体IKEv2版本。如果设备需要使用IKEv1协议,需要先执行命令version 1,再执行命令undo version 2。 pre-shared-key cipher %^%#(3fr1!&6O=)!GN#~{)n,2fq>4#4+%;lMTs5(]:c)%^%# //配置预共享密钥认证字为“YsHsjx_202206”,以密文显示,该命令在V2R3C00以前的版本中为“pre-shared-key YsHsjx_202206”,以明文显示 ike-proposal 5 local-address 1.0.3.1 remote-address 1.0.1.254 # ipsec policy center 1 isakmp //配置IPSec策略center,需要1,使用ISAKMP方式 security acl 3001 ike-peer center proposal default # interface GigabitEthernet0/0/2 //配置公司总部内网接口 ip address 192.168.2.1 255.255.255.0 # interface GigabitEthernet0/0/1 //配置分支1外网出接口 ip address 1.0.3.1 255.255.255.0 ipsec policy center # interface LoopBack0 //配置用于Router ID的环回口 ip address 192.168.255.2 255.255.255.255 # interface Tunnel0/0/1 //配置用于连接总部的GRE隧道接口 ip address 192.168.0.6 255.255.255.252 tunnel-protocol gre source GigabitEthernet0/0/1 destination 1.0.1.254 # ospf 1 //配置OSPF路由 area 0.0.0.0 network 192.168.255.2 0.0.0.0 network 192.168.0.4 0.0.0.3 network 192.168.2.0 0.0.0.255 # ip route-static 0.0.0.0 0.0.0.0 1.0.3.2 # return
- 验证配置结果
在RouterA或者RouterB上执行命令display ike sa可以查看到安全联盟的相关信息。
在RouterA或者RouterB上执行命令display ip routing-table命令,可以看到经过Tunnel接口去往对端用户侧的路由信息。
分部和总部之间用户可以实现互通。