来这边工作2个月。一直没有什么大的case做,每天基本都是不知道在做什么,终于有一个Case,就是和mexico对接×××.
这两个月也看了不少的×××方面的书籍,一直等待实践的机会。机会来了。我就小心翼翼完成这case。
这篇文章只是心里总结。
我配置的时候也是分两个阶段配置的,根据×××对接表来操作的,设备是HUAWEI EUDEMON 1000.
有的是默认的配置,用display curr 命令看不到你配置过的命令。
1 配置IKE,其中要配置Ike proposal 和ike peer.
1.1 配置 ike proposal(各种加密算法,验证算法都是在这个里面)
ike proposal 6
encryption-algorithm 3des-cbc
dh group2
sa duration 28800
1.2 配置ike peer
ike peer mexico_morales
pre-shared-key 123456!AaFW
ike-proposal 6
remote-address *.*.*.*
2 配置ipse,其中要配置ipsec proposal ,ACL和ipsec policy
2.1 配置 ipsec proposal(各种加密算法,验证算法都是在这个里面)
ipsec proposal 6
esp authentication-algorithm sha1
esp encryption-algorithm 3des
2.2 配置ACL(双方的ACL要相互对称)
acl number 3600
rule 15 permit ip source *.*.*.* 0 destination *.*.*.* 0
2.3配置ipsec policy (配置这个之前要断了出口×××组)
ipsec policy 1 60 isakmp
security acl 3600
pfs dh-group2
ike-peer mexico_morales
proposal 6
local-address *.*.*.*
sa duration time-based 3600
××× Configuration |
Phase 1 |
Authentication Method |
|
Pre-Shared Key |
Encryption Scheme |
|
IKE |
Diffie-Hellman Group |
|
|
Encryption Algorithm |
|
|
Hashing Algorithm |
|
|
Main or Aggressive Mode |
|
Main |
Lifetime (for renegotiation) |
|
86400 |
Pre-Shared Key |
|
Phase 2 |
Encapsulation (ESP or AH) |
|
ESP |
Encryption Algorithm |
|
|
Authentication Algorithm |
|
|
Perfect Forward Secrecy |
|
|
Lifetime (for renegotiation) |
|
3600 |
Lifesize in KB (for renegotiation) |
|
|
Tunnel Configuration |
Local IP address |
|
|
Peer IP address |
|
|
Expire Date(at most 1 year) |
|
这篇文章,等我忘记的时候,我在做这种case的时候对我要帮组。希望对正在对接IPSEC ×××的同行有帮组。