AI赋能,重塑校园服务新范式,锐捷AI校园百事通应用发布会
预约直播
锐捷睿易 锐捷官方商城

中文

产品
< 返回主菜单
产品中心
产品

交换机

交换机所有产品
< 返回产品
交换机主页
交换机

园区网交换机

园区网交换机所有产品

数据中心与云计算交换机

数据中心与云计算交换机所有产品

行业精选交换系列

行业精选交换系列所有产品

工业交换机

工业交换机所有产品

意图网络指挥官

意图网络指挥官所有产品

SDN

SDN所有产品

配件

配件所有产品

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器主页
路由器

核心路由器

核心路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有技术解决方案

无线

无线所有产品
< 返回产品
无线主页
无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面主页
云桌面

云终端系列

云终端系列所有产品
查看云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

所有技术解决方案

安全

安全所有产品
< 返回产品
安全主页
安全

大数据安全平台

大数据安全平台所有产品

下一代防火墙

下一代防火墙所有产品

安全网关

安全网关所有产品

检测管理安全

检测管理安全所有产品

安全服务

安全服务所有产品

安全云

安全云所有产品

所有技术解决方案

软件

软件所有产品
< 返回产品
软件主页
软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理主页
身份管理

安全管理系列

安全管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

服务产品

服务产品所有产品
< 返回产品
服务产品主页
服务产品

基础实施服务

基础实施服务 所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

安全服务

安全服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

锐捷睿易

体验中心

布尔实验室

网络研讨会
服务支持
< 返回主菜单
服务与支持中心
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
合作伙伴
< 返回主菜单
合作伙伴中心
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
关于锐捷
< 返回主菜单
关于锐捷首页
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
投资者关系
个人中心 个人中心 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
  • Global / English
  • Japan / 日本語
  • Türkiye / Türkçe
  • Vietnam / Việt Nam
  • Indonesia / Indonesian
  • Thailand / ภาษาไทย
  • Spain / Español (España)
  • Portugal / Português
  • France / Français
  • Poland / Polski
  • Kazakhstan / Pусский
  • Germany / Deutsch
  • Italy / Italiano
  • Brazil / Português(Brazil)
  • LATAM / Español (América Latina))

    首页 >服务与支持 >常见问题 >【RSR】RSR如何配置使用动态隧道(主模式)的IPSEC

    【RSR】RSR如何配置使用动态隧道(主模式)的IPSEC

    发布时间:2013-09-12
    点击量:8730

    功能介绍

    IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSEC VPN拨入。中心点配置简单、易于维护、可扩展性强。

    应用场景

    若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它即能实现总公司和分公司之间能够直接互相访问资源,也能对数据传输进行加密,保证了数据的安全性。若总部的IP地址固定,而分公司是采用拨号方式上网的(IP地址不固定),那么可以采用动态IPSec VPN。 

    一、组网需求

    某企业使由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器,同时需要对分支与总部间通信的数据进行加密,保证业务安全。

    该场景通过在总部出口路由器上布署动态的IPSEC VPN来接受各分支机构的拨入,满足分支与总部间的业务互访和数据加密需求。

    二、组网拓扑

    三、配置要点

    1、配置总部路由器和各分支路由器,使其能够正常访问互联网

    2、在总部出口路由器上配置动态态IPSEC VPN隧道

    (1)配置isakmp策略

    (2)配置预共享密钥

    (3)配置ipsec加密转换集

    (4)配置动态ipsec加密图

    (5)将动态ipsec加密图映射到静态的ipsec加密图中

    (6)将加密图应用到接口

    3、在总部路由器上配置路由,将各分支网段路由指向出口

    4、在分支路由器上配置静态IPSEC VPN隧道

    (1)配置ipsec感兴趣流

    (2)配置isakmp策略

    (3)配置预共享密钥

    (4)配置ipsec加密转换集

    (5)配置ipsec加密图

    (6)将加密图应用到接口

    5、在分支路由器上配置路由,将总部网段路由指向出口

    注意:

    • 内网1和内网2需要互访的IP网段不能重叠。
    • RSR50/RSR50E涉及IPSEC功能必须配备AIM-VPN加密卡(如何查看RSR50/RSR50E是否已经配备AIM-VPN加密卡,请查看本文最后的附录部分)

    四、配置步骤

    1、配置总部路由器和各分支路由器,使其能够正常访问互联网

           保证在分支路由器上能够ping通总部路由器外网口公网IP地址。

    2、在总部出口路由器上配置动态态IPSEC VPN隧道

    (1)配置isakmp策略

    crypto isakmp policy 1                //创建新的isakmp策略

     encryption 3des                         //指定使用3DES进行加密

     authentication pre-share            //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。

    (2)配置预共享密钥

    crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0                 //配置预共享密钥为“ruijie”,IPSEC客户端也必须配置相同的密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端

    (3)配置ipsec加密转换集

    crypto ipsec transform-set myset esp-des esp-md5-hmac    //指定ipsec使用esp封装des加密、MD5检验

    (4)配置动态ipsec加密图

    crypto dynamic-map dymymap 5             //新建名为“dymymap”的动态ipsec加密图

     set transform-set myset                           //指定加密转换集为“myset”

    (5)将动态ipsec加密图映射到静态的ipsec加密图中

    crypto map mymap 10 ipsec-isakmp dynamic dymymap   //将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中

    (6)将加密图应用到接口

    interface GigabitEthernet 0/0

     crypto map mymap

    3、在总部路由器上配置路由,将各分支网段路由指向出口

           ip route 192.168.1.0 255.255.255.0 10.0.0.2

    ip route 192.168.2.0 255.255.255.0 10.0.0.2

    ip route 192.168.3.0 255.255.255.0 10.0.0.2

    ......

    4、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)

    (1)配置ipsec感兴趣流

    access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255  //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。

    (2)配置isakmp策略

    crypto isakmp keepalive 5 periodic  //配置IPSEC DPD探测功能

    crypto isakmp policy 1            //创建新的isakmp策略

    authentication pre-share         //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。

    encryption 3des                      //指定使用3DES进行加密

    (3)配置预共享密钥

    crypto isakmp key 0 ruijie address 10.0.0.1  //指定peer 10.0.0.1的预共享密钥为“ruijie”,与总部出口路由器上配置的一致。如使用数字证书/信封认证则无需配置。

    (4)配置ipsec加密转换集

    crypto ipsec transform-set myset  esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验

    (5)配置ipsec加密图

    crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图

    set peer 10.0.0.1                              //指定peer地址

    set transform-set myset                  //指定加密转换集为“myset”

    match address 101                         //指定感兴趣流为ACL 101

    (6)将加密图应用到接口

    interface dialer 0

    crypto map mymap

    5、在分支路由器上配置路由,将总部网段路由指向出口

    ip route 192.168.0.0 255.255.255.0 dialer 0

    五、配置验证

    1、在分支1路由器上以源地址192.168.1.1 ping 192.168.0.1,能够正常通信

    R1#ping 192.168.0.1 source 192.168.1.1

    Sending 5, 100-byte ICMP Echoes to 192.168.1.1, timeout is 2 seconds:

      < press Ctrl+C to break >

    .!!!!

    2、在分支1路由器上查看isakmpipsec sa是否已经协商成功

    Ruijie#show crypto isakmp sa                                     //查看isakmp sa协商情况

     destination       source            state                    conn-id           lifetime(second)

     10.0.0.2          10.0.0.1          IKE_IDLE                 0                 84129                //isakmp协商成功,状态为IKE_IDLE

    Ruijie#show crypto ipsec sa                                             //查看ipsec sa协商情况

    Interface: GigabitEthernet 0/0

             Crypto map tag:mymap                 //接口下所应用的加密图名称                                

             local ipv4 addr 10.0.0.1                  //进行isakmp/ipsec协商时所使用的IP地址

             media mtu 1500

             ==================================

             sub_map type:static, seqno:5, id=0

             local  ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))          //感兴趣流源地址

             remote  ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))      //感兴趣流目的地址

             PERMIT

             #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4         //成功封装、加密、摘要报文个数

             #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4          //成功解封装,解密、检验报文个数,有数据通过IPSEC加密进行通信时,重复执行show crypto ipsec sa命令可以看到以上统计个数会不断增加。

             #send errors 0, #recv errors 0                                     //发送、接收错误报文个数,正常情况下该统计不增加。

             Inbound esp sas:

                  spi:0x2ecca8e (49072782)                   //ipsec sa入方向的spi

                   transform: esp-des esp-md5-hmac    //ipsec加密转换集为esp-des esp-md5-hmac

                   in use settings={Tunnel Encaps,}         //采用隧道模式

                   crypto map mymap 5

                   sa timing: remaining key lifetime (k/sec): (4606998/1324)  //离安全联盟的生命周期到期还有:4606998千字节/1324秒

                   IV size: 8 bytes   //IV向量长度为8

                   Replay detection support:Y   //抗重播处理

             Outbound esp sas:

                  spi:0x5730dd4b (1462820171)          //ipsec sa出方向的spi,只有看到了inbound spi和outbound spi才说明ipsec sa已经协商成功。

                   transform: esp-des esp-md5-hmac

                   in use settings={Tunnel Encaps,}

                   crypto map mymap 5

                   sa timing: remaining key lifetime (k/sec): (4606998/1324)

                   IV size: 8 bytes

                   Replay detection support:Y

     

    六、附录

    1、如何确认RSR50/RSR50E是否已经配备了AIM-VPN加密卡?

    RSR50/RSR50E没有内置VPN加密卡,IPSEC需全部通过进程处理,性能非常低:打500pps 60Byte小包丢50个包,丢包率10%;打2Kpps以上,100%丢包;

    在没有插AIM-VPN加密卡的情况下,使用IPSEC功能,可能导致和IPSEC相关的功能异常,比如:在小流量加密数据流情况下CPU即接近100%;ping大包不通等情况。

    AIM-VPN卡是一个类似于内存条大小的卡,该卡插在管理板内部,可拔插。

    可以通过如下形式确认管理板是否配备AIM-VPN卡:

    RSR50#debug su

    RSR50(support)#pci show

    RSR50(support)#

    *Jan 29 13:41:23: %7: =================BEGIN====================

    *Jan 29 13:41:23: %7: PCI Bus 0 slot 1/0: PCI device 0x166D:0x0002

    *Jan 29 13:41:23: %7: PCI Bus 0 slot 6/0: PCI device 0x104C:0xAC28

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 2/0: PCI device 0x14D9:0x0020

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 2/1: PCI device 0x1142:0x9001

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 3/0: PCI device 0x14D9:0x9000

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 3/1: PCI device 0x1142:0x9001

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 4/0: PCI device 0x14D9:0x9000

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 4/1: PCI device 0x1142:0x9001

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 5/0: PCI device 0x14D9:0x9000

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 5/1: PCI device 0x1142:0x9001

    *Jan 29 13:41:23: %7: PCI Bus 14 slot 1/0: PCI device 0x1131:0x1561

    *Jan 29 13:41:23: %7: PCI Bus 14 slot 1/1: PCI device 0x1131:0x1562

    *Jan 29 13:41:23: %7: =================_^_====================

    只要看到后面有:0x0020的就是有加密卡

    *Jan 29 13:41:23: %7: PCI Bus 1 slot 2/0: PCI device 0x14D9:0x0020

     

     

     

     

     

    相关产品
    RG-MF2920系列,2口千兆电,千兆上行,一机双网

    RG-MF2920系列,2口千兆电,千兆上行,一机双网
    RG-S5310-E系列,24口千兆电,万兆上行,接入层

    RG-S5310-E系列,24口千兆电,万兆上行,接入层
    RG-S5310-E系列,24口千兆光,万兆上行,接入层

    RG-S5310-E系列,24口千兆光,万兆上行,接入层
    RG-S5310-E系列,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,48口千兆电,万兆上行,接入层
    RG-S5310-E系列,48口千兆光,万兆上行,接入层

    RG-S5310-E系列,48口千兆光,万兆上行,接入层
    RG-S5310-E系列新一代千兆交换机

    RG-S5310-E系列新一代千兆交换机
    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层
    RG-S7800C系列融合核心交换机

    RG-S7800C系列融合核心交换机
    RG-S7800C-X系列新一代融合核心交换机

    RG-S7800C-X系列新一代融合核心交换机
    RG-N18006-X,6槽机箱,核心层,零背板

    RG-N18006-X,6槽机箱,核心层,零背板
    RG-S6120系列,24口万兆光,25G上行,汇聚层

    RG-S6120系列,24口万兆光,25G上行,汇聚层
    RG-S6120系列,48口万兆光,100G上行,汇聚层

    RG-S6120系列,48口万兆光,100G上行,汇聚层
    RG-S6120系列融合万兆交换机

    RG-S6120系列融合万兆交换机
    RG-EG3250新一代多业务安全网关

    RG-EG3250新一代多业务安全网关
    RG-EG3230新一代多业务安全网关

    RG-EG3230新一代多业务安全网关
    RG-EG3220新一代多业务安全网关

    RG-EG3220新一代多业务安全网关
    RG-EG3210 V2新一代多业务安全网关

    RG-EG3210 V2新一代多业务安全网关
    RG-EG3210新一代多业务安全网关

    RG-EG3210新一代多业务安全网关
    RG-AP820-L(V3)双射频Wi-Fi 6无线AP

    RG-AP820-L(V3)双射频Wi-Fi 6无线AP
    RG-WS7005-A多业务无线AC

    RG-WS7005-A多业务无线AC
    RG-ESS 1000易安全系统

    RG-ESS 1000易安全系统
    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP
    RG-AP180-L双射频Wi-Fi 6无线AP

    RG-AP180-L双射频Wi-Fi 6无线AP
    RG-AP880(TR)三射频Wi-Fi 6无线AP

    RG-AP880(TR)三射频Wi-Fi 6无线AP
    RG-WS7208-A多业务无线AC

    RG-WS7208-A多业务无线AC
    RG-AP880-I双射频Wi-Fi 6无线AP

    RG-AP880-I双射频Wi-Fi 6无线AP
    RG-WS7880高性能无线AC

    RG-WS7880高性能无线AC
    RG-EG2100-P V2全能PoE网关

    RG-EG2100-P V2全能PoE网关
    RG-N18000-X系列

    RG-N18000-X系列
    RG-N18010-X,10槽机箱,核心层,零背板

    RG-N18010-X,10槽机箱,核心层,零背板
    RG-EG3000XE新一代高性能综合网关

    RG-EG3000XE新一代高性能综合网关
    RG-EG3000UE新一代高性能综合网关

    RG-EG3000UE新一代高性能综合网关
    RG-WS6816高性能无线AC

    RG-WS6816高性能无线AC
    RG-WS6108高性能无线AC

    RG-WS6108高性能无线AC
    RG-EG3000GE新一代高性能综合网关

    RG-EG3000GE新一代高性能综合网关
    RG-EG3000ME新一代高性能综合网关

    RG-EG3000ME新一代高性能综合网关
    RG-EG3000SE新一代高性能综合网关

    RG-EG3000SE新一代高性能综合网关
    RG-EG3000CE新一代高性能综合网关

    RG-EG3000CE新一代高性能综合网关
    RG-EG2000F

    RG-EG2000F
    RG-S2900G-E V3系列千兆交换机

    RG-S2900G-E V3系列千兆交换机
    RG-S2952G-E V3,48口千兆电,千兆上行,接入层

    RG-S2952G-E V3,48口千兆电,千兆上行,接入层
    RG-SMP安全管理平台

    RG-SMP安全管理平台
    RG-SMP+安全管理平台

    RG-SMP+安全管理平台
    您可能还关注的问题

    返回顶部

    收起
    请选择服务项目
    关闭咨询页
    售前咨询 售前咨询
    售前咨询
    售后服务 售后服务
    售后服务
    意见反馈 意见反馈
    意见反馈
    更多联系方式
    是否找到您想要的内容?
    您遇到了什么问题?
    找不到想要的信息
    筛选功能不好用
    加载速度太慢
    页面体验差
    提交
    您是否找到了与产品相关的文档
    筛选功能是否帮助您更快找到所需的文档?
    有帮助
    一般
    没有帮助
    没用过
    请问您遇到了什么问题?
    需要填写的内容太多
    有些信息不懂怎么填
    页面有问题/错误
    其他
    确定
    这些客户案例是否对您有帮助?
    非常有帮助
    比较有帮助
    没有帮助
    请您对这个客户案例进行评价
    兴趣度
    相关性
    可信度
    确定
    感谢您的反馈!
    感谢您的反馈!