产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【RSR】RSR如何配置IPSEC隧道自动连接(autoup)

发布时间:2013-09-12
点击量:3833

功能介绍

一般情况下ipsec隧道是由数据流触发后再协商建立的,配置隧道自动连接功能(autoup)后,隧道由ipsec模块内部自行触发,只要完成IPSEC配置后,不管是否有数据流触发,设备自动发起IPSEC协商。

一、组网需求:

分支与总部间通过动态的IPSEC VPN加密交互的业务数据。由于总部需不定时访问分支1中的应用服务器,因此不管分支1是否有访问总部的需求,分支1与总部间的IPSEC VPN都要保持永久在线。

二、组网拓扑:

三、配置要点:

1、配置基本的IPSEC功能

2、配置分支1的IPSEC隧道自动连接功能

四、配置步骤

1、配置基本的IPSEC功能

根据现场环境及客户需求,选择合适的IPSEC部署方案,详细配置参考IPSEC“基础配置”章节(典型配置--->安全--->IPSEC--->基础配置)

2、配置分支1的IPSEC隧道自动连接功能

crypto dynamic-map dymymap 5

    set autoup                                      //配置IPSEC隧道自动连接功能

 

五、配置验证

       配置完分支1路由器上的IPSEC隧道自动连接功能后,不管分支1是否有访问总部的数据触发,IPSEC隧道都会自动协商建立。

Ruijie#show crypto isakmp sa                                     //查看isakmp sa协商情况

 destination       source            state                    conn-id           lifetime(second)

 10.0.0.2          10.0.0.1          IKE_IDLE                 0                 84129                //isakmp协商成功,状态为IKE_IDLE

Ruijie#show crypto ipsec sa                                             //查看ipsec sa协商情况

Interface: GigabitEthernet 0/0

         Crypto map tag:mymap                 //接口下所应用的加密图名称                                

         local ipv4 addr 10.0.0.1                  //进行isakmp/ipsec协商时所使用的IP地址

         media mtu 1500

         ==================================

         sub_map type:static, seqno:5, id=0

         local  ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))          //感兴趣流源地址

         remote  ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))      //感兴趣流目的地址

         PERMIT

         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4         //成功封装、加密、摘要报文个数

         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4          //成功解封装,解密、检验报文个数,有数据通过IPSEC加密进行通信时,重复执行show crypto ipsec sa命令可以看到以上统计个数会不断增加。

         #send errors 0, #recv errors 0                                     //发送、接收错误报文个数,正常情况下该统计不增加。

         Inbound esp sas:

              spi:0x2ecca8e (49072782)                   //ipsec sa入方向的spi

               transform: esp-des esp-md5-hmac    //ipsec加密转换集为esp-des esp-md5-hmac

               in use settings={Tunnel Encaps,}         //采用隧道模式

               crypto map mymap 5

               sa timing: remaining key lifetime (k/sec): (4606998/1324)  //离安全联盟的生命周期到期还有:4606998千字节/1324秒

               IV size: 8 bytes   //IV向量长度为8

               Replay detection support:Y   //抗重播处理

         Outbound esp sas:

              spi:0x5730dd4b (1462820171)          //ipsec sa出方向的spi,只有看到了inbound spi和outbound spi才说明ipsec sa已经协商成功。

               transform: esp-des esp-md5-hmac

               in use settings={Tunnel Encaps,}

               crypto map mymap 5

               sa timing: remaining key lifetime (k/sec): (4606998/1324)

               IV size: 8 bytes

               Replay detection support:Y

 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式