Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:ES PIC IKE 动态 SA 配置

图 1:ES PIC IKE 动态 SA 拓扑图 ES PIC IKE Dynamic SA Topology Diagram

图 1 显示了与 ES PIC 手动 SA 示例中相同的 IPSec 拓扑。但是,这次的配置要求路由器 2 和 3 使用 IKE 动态 SA、增强型身份验证和更强加密来建立 IPSec 隧道。路由器 1 和 4 继续提供基本连接,并用于验证 IPSec 隧道是否正常运行。

在路由器 1 上,提供与路由器 2 的基本 OSPF 连接。

路由器 1

在路由器 2 上,启用 OSPF 作为连接到路由器 1 和 3 的底层路由协议。在[edit security ipsec security-association]层次结构级别配置称为 sa-dynamic 的双向 IKE 动态 SA。对于您的 IKE 策略和建议,请使用预共享密钥作为身份验证方法,使用 SHA-1 表示身份验证算法,使用 3DES-CBC 进行加密,将组 2 用于 Diffie-Hellman 组,主模式,3600 秒用于生存期,并使用瞻博网络的预共享密钥进行初始 IKE 协商。对于 IPSec 策略和建议,请使用 ESP 作为协议,HMAC-SHA1-96 用于身份验证,3DES-CBC 用于加密,28800 秒用于生存期,组 2 用于 PFS 组。

要将流量定向到 ES PIC 和 IPSec 隧道,请创建两个防火墙过滤器。 es-traffic 过滤器匹配来自路由器 1 发往路由器 4 的入站流量,而 es-return 过滤器匹配从路由器 4 到路由器 1 的返回路径。将 es-traffic 过滤器应用于 so-0/0/0 接口,然后将 es-return 过滤器和 sa-dynamic SA 应用于 es-0/3/0 接口。

路由器 2

在路由器 3 上,启用 OSPF 作为基础路由协议以连接到路由器 2 和 4。在[edit security ipsec security-association]层次结构级别配置称为 sa-dynamic 的双向 IKE 动态 SA。使用您在路由器 2 上使用的相同策略和建议。

对于您的 IKE 策略和建议,请使用预共享密钥作为身份验证方法,使用 SHA-1 表示身份验证算法,使用 3DES-CBC 进行加密,将组 2 用于 Diffie-Hellman 组,主模式,3600 秒用于生存期,并使用瞻 博网络的 预共享密钥进行初始 IKE 协商。对于 IPSec 策略和建议,请使用 ESP 作为协议,HMAC-SHA1-96 用于身份验证,3DES-CBC 用于加密,28800 秒用于生存期,组 2 用于 PFS 组。

要将流量定向到 ES PIC 和 IPSec 隧道,请创建两个防火墙过滤器。 es-traffic 过滤器匹配来自路由器 4 发往路由器 1 的入站流量,而 es-return 过滤器匹配从路由器 1 到路由器 4 的返回路径。将 es-流量 过滤器应用于 so-0/0/0 接口;然后将 ES 返回 滤波器和 SA 动态 SA 应用于 es-0/3/0 接口。

路由器 3

在路由器 4 上,提供与路由器 3 的基本 OSPF 连接。

路由器 4

验证您的工作

要验证基于 IKE 的动态 SA 在 ES PIC 上的操作是否正确,请使用以下命令:

  • show ike security-associations (detail)

  • show ipsec security-associations (detail)

  • 路由跟踪

以下部分显示了与配置示例一起使用的这些命令的输出:

路由器 1

在路由器 1 上,向路由器 4 的 so-0/0/0 接口发出ping命令,以通过 IPsec 隧道发送流量。

您还可以发出命令来 traceroute 验证发往 10.1.56.2 的流量是否通过路由器 2 和路由器 3 之间的 IPsec 隧道传输。请注意,第二个跃点不引用 10.1.15.2 — 路由器 3 上的物理接口。相反,路由器 3 上的环路地址 10.0.0.3 显示为第二跃点。这表示 IPSec 隧道运行正常。

3 10.1.56.2 (10.1.56.2) 0.808 毫秒 0.741 毫秒 0.716 毫秒

路由器 2

验证匹配的流量是否正在转移到双向 IPsec 隧道的另一种方法是查看防火墙过滤器计数器。从路由器 1(七个数据包)发出 ping 命令后, es-traffic 防火墙过滤器计数器如下所示:

ping从路由器 1(7 个数据包)和路由器 4(5 个数据包)发出命令后,es-traffic 防火墙过滤器计数器如下所示:

要验证路由器 2 和 3 之间的 IKE SA 协商是否成功,请发出 show ike security-associations detail 命令。请注意,SA 包含您指定的设置,例如 SHA-1 用于身份验证算法,3DES-CBC 用于加密算法。

要验证 IPsec 安全关联是否处于活动状态,请发出 show ipsec security-associations detail 命令。请注意,SA 包含您指定的设置,例如协议的 ESP、身份验证算法的 HMAC-SHA1-96 以及加密算法的 3DES-CBC。

路由器 3

查看防火墙过滤器计数器以继续验证匹配的流量是否正在转移到双向 IPsec 隧道。从路由器 1(七个数据包)发出 ping 命令后, es-traffic 防火墙过滤器计数器如下所示:

ping从路由器 1(7 个数据包)和路由器 4(5 个数据包)发出命令后,es-traffic 防火墙过滤器计数器如下所示:

要验证 IKE 安全关联是否成功,请发出 show ike security-associations detail 命令。请注意,路由器 3 上的 SA 包含您在路由器 2 上指定的相同设置。

要验证 IPsec 安全关联是否处于活动状态,请发出 show ipsec security-associations detail 命令。请注意,路由器 3 上的 SA 包含您在路由器 2 上指定的相同设置。

路由器 4

在路由器 4 上,向路由器 1 的 so-0/0/0 接口发出ping命令,以通过 IPsec 隧道发送流量。

您还可以发出命令来 traceroute 验证发往 10.1.12.2 的流量是否通过路由器 3 和路由器 2 之间的 IPsec 隧道传输。请注意,第二个跃点不引用 10.1.15.1 — 路由器 2 上的物理接口。相反,路由器 2 上的环路地址 10.0.0.2 显示为第二个跃点。这表示 IPSec 隧道运行正常。