组网需求
当进行IPSec协商的两个对端设备之间存在NAT网关时,建立IPSec隧道的两端需要进行NAT穿越能力协商,因此两端设备都必须具备NAT穿越的能力。
如图1所示,分支网络出口网关RouterA、总部网络出口网关RouterB之间通过NATER进行地址转换,RouterA、RouterB之间建立支持NAT穿越的野蛮模式IPSec。
图1 IPSec穿越NAT功能组网图
操作步骤
1. RouterA的配置
#
sysname RouterA //设置设备的主机名
#
ike local-name RouterA //设置IKE协商时本设备的ID
#
ipsec proposalrta //创建一个IPSec提议
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //配置IKE提议
encryption-algorithm aes-cbc-128
dh group14
authentication-algorithm sha2-256
#
ike peer rta v1 //配置IKE对等体及其使用的协议
exchange-modeaggressive //配置IKE的协商模式为野蛮模式
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //配置预共享密钥认证字为“huawei”,以密文显示,“pre-shared-key huawei”,以明文显示
ike-proposal 5
local-id-type name //配置IKE协商时本端的ID类型。
remote-name RouterB //配置对端IKE peer名称,//配置对端IKE peer名称。、
nat traversal //使能NAT穿越功能。
#
ipsecpolicy-template rta_temp 1 //建一个安全策略模板
ike-peer rta
proposal rta
#
ipsec policy rta 1isakmp template rta_temp //指定采用策略模板创建安全联盟
#
interfaceEthernet1/0/0
ip address 1.2.0.1 255.255.255.0
ipsec policy rta
#
interfaceEthernet2/0/0
ip address 10.1.0.1 255.255.255.0
#
ip route-static10.2.0.0 255.255.255.0 1.2.0.2 //配置到10.2.0.0网段的静态路由
#
return
2. RouterB的配置
#
sysname RouterB //设置设备的主机名
#
ike local-name RouterB //设置IKE协商时本设备的ID
#
acl number3000 //配置ACL
rule 0 permit ip source 10.2.0.0 0.255.255.255destination 10.1.0.0 0.255.255.255
#
ipsec proposal rtb //创建一个IPSec提议
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192
#
ike proposal 5 //配置IKE提议
encryption-algorithm aes-cbc-128
dh group14
authentication-algorithm sha2-256
#
ike peer rtbv1 //配置IKE对等体及其使用的协议
exchange-mode aggressive //配置IKE的协商模式为野蛮模式
pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# //配置预共享密钥认证字为“huawei”,
ike-proposal 5
local-id-type name //配置IKE协商时本端的ID类型。
remote-name RouterA //配置对端IKE peer名称。
remote-address 1.2.0.1 //配置对端IKE peer地址
nat traversal //使能NAT穿越功能。
#
ipsec policy rtb 1isakmp //配置IPSec策略
security acl 3000
ike-peer rtb
proposal rtb
#
interfaceEthernet1/0/0
ip address 192.168.0.2 255.255.255.0
ipsec policy rtb
#
interfaceEthernet2/0/0
ip address 10.2.0.1 255.255.255.0
#
ip route-static0.0.0.0 0.0.0.0 192.168.0.1 //配置静态路由
#
return
3. NATER的配置
#
sysname NATER //设置设备的主机名
#
acl number3000 //配置ACL
rule 0 permit ip source 192.168.0.0 0.0.0.255destination 1.2.0.0 0.0.0.255
#
interfaceEthernet1/0/0
ip address 1.2.0.2 255.255.255.0
nat outbound 3000 //接口下配置nat outbound
#
interfaceEthernet2/0/0
ip address 192.168.0.1 255.255.255.0
#
return
4. 验证配置结果
通过Ping触发建立IPSec会话,在RouterA上执行display ike saverbose和display ipsec sa命令,可以查看IPSec隧道上配置的信息。