SecPath系列:IPSEC配置主模式

[Secpath1-beijing]

ike peer 1

配置IKE参数

 pre-shared-key 12345                          

配置预共享字。两端必须一致。

有些路由器版本需要加”extrange main”启动主模式。一般，默认即为主模式。

remote-address 202.38.1.2

配置隧道对端地址。

#

ipsec proposal p1

创建安全提议，可采用默认安全提议内容。默认为：ESP隧道封装，DES加密，MD5验证。

通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改，则在安全提议模式下更改

#

ipsec policy policy1 1 isakmp

创建ipsec策略，其安全内容采用IKE自动协商。

security acl 3000

指定哪些数据流需要加密

ike-peer 1

引用IKE对等体

proposal p1

引用安全提议

#

interface Ethernet0/0/0

ip address 202.38.1.1 255.255.255.0

ipsec policy policy1

在外网接口上启用IPSEC策略，加密相关私网数据

#

acl number 3000

rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

指定去往对端私网的数据流

rule 1 deny ip

#

ip route-static 0.0.0.0 0.0.0.0 202.38.2.2 preference 60

注意：一定要有去往对端的路由，包括公网和私网地址。也就是说，设备需要知道去往10.1.2.0的路径，通过路由发到公网口上。

#

[Secpath2-wuhan]

ike peer 1

配置IKE参数

 pre-shared-key 12345                          

配置预共享字。两端必须一致。

有些路由器版本需要加”extrange main”启动主模式。

remote-address 202.38.1.1

配置隧道对端地址。

#

ipsec proposal p1

创建安全提议，可采用默认安全提议内容。通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改，则在安全提议模式下更改

#

ipsec policy policy1 1 isakmp

创建ipsec策略，其安全内容采用IKE自动协商。

security acl 3000

指定哪些数据需要加密

ike-peer 1

引用IKE对等体

proposal p1

引用安全提议

#

interface Ethernet0/0/0

ip address 202.38.1.2 255.255.255.0

ipsec policy policy1

在外网接口上启用IPSEC策略，加密相关私网数据

#

acl number 3000

rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

指定去往对端私网的数据流，注意与对端的ACL应为镜像，这样双方才能互相对数据加解密。

rule 1 deny ip

#

ip route-static 0.0.0.0 0.0.0.0 202.38.2.1 preference 60

注意：一定要有去往对端的路由