简介:同学们好,大家都知道VPN技术在公司网络搭建中,是一种非常重要的技术,这其中ipsec VPN这种安全VPN技术应用还是比较广泛的,大家在学习的过程中配置的大多是动态建立SA的技术,也就是我们熟悉的配置IKE,那么大家配 ...
| 同学们好,大家都知道VPN技术在公司网络搭建中,是一种非常重要的技术,这其中ipsec VPN这种安全VPN技术应用还是比较广泛的,大家在学习的过程中配置的大多是动态建立SA的技术,也就是我们熟悉的配置IKE,那么大家配置过手工建立SA的方法吗?今天就为大家介绍一下关于手工建立SA的配置方法。一、需求分析 
如图所示,两边私网PCA和PCB需要通过ipsec vpn实现安全通信,通过手工配置sa的方式。二、配置过程PC及路由设备的IP地址如图所示,基础配置省略。R1中:[R1-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //配置安全数据流[RT1]ipsec transform-set r1[R1-ipsec-transform-set-r1]esp authentication-algorithm md5[R1-ipsec-transform-set-r1]esp encryption-algorithm 3des-cbc//配置安全提议验证和加密,使用ESP协议[R1]ipsec policy r1 10 manual //配置ipsec的策略模式为手工配置sa[R1-ipsec-policy-manual-r1-10]transform-set r1[R1-ipsec-policy-manual-r1-10]security acl 3000 [R1-ipsec-policy-manual-r1-10]remote-address 200.0.0.2以下是手工设置SA的特殊配置,由于不是动态获取,SA的部分信息需要手工指定,如下所示:[R1-ipsec-policy-manual-r1-10]sa spi inbound esp 12345 //配置spi入方向[R1-ipsec-policy-manual-r1-10]sa spi outbound esp 54321 //配置spi出方向[R1-ipsec-policy-manual-r1-10]sa string-key inbound esp simple abc //配置ESP协议的入方向SA的密钥为明文字符串abc[R1-ipsec-policy-manual-r1-10]sa string-key outbound esp simple cba //配置ESP协议的出方向SA的密钥为明文字符串cba[R1-GigabitEthernet0/0]ipsec apply policy r1 //接口调用策略R3的配置和R1类似,不多加介绍三、结果在PCA上ping PCB,如下图所示:
触发IPSEC封装,因为已经手工配置了sa,所以ping的第一个包就是通的,可以通信。Display ipsec sa:
其中No duration limitfor this SA代表手工配置的SA没有老化时间。本文仅代表作者个人观点,不代表巅云官方发声,对观点有疑义请先联系作者本人进行修改,若内容非法请联系平台管理员,邮箱2522407257@qq.com。更多相关资讯,请到巅云www.rzxsoft.cn学习互联网营销技术请到巅云建站www.rzxsoft.cn。 |
