目录
功能介绍
一般情况下ipsec隧道是由数据流触发后再协商建立的,配置隧道自动连接功能(autoup)后,隧道由ipsec模块内部自行触发,只要完成IPSEC配置后,不管是否有数据流触发,设备自动发起IPSEC协商。
一、组网需求
分支与总部间通过动态的IPSEC VPN加密交互的业务数据。由于总部需不定时访问分支1中的应用服务器,因此不管分支1是否有访问总部的需求,分支1与总部间的IPSEC VPN都要保持永久在线。
二、组网拓扑
三、配置要点
1、配置基本的IPSEC功能
2、配置分支1的IPSEC隧道自动连接功能
四、配置步骤
1、配置基本的IPSEC功能
根据现场环境及客户需求,选择合适的IPSEC部署方案,详细配置参考IPSEC“基础配置”章节(典型配置--->安全--->IPSEC--->基础配置)
2、配置分支1的IPSEC隧道自动连接功能
R1(config)#crypto map mymap 10 ipsec-isakmp
R1(config-crypto-map)#set autoup //配置IPSEC隧道自动连接功能
注意:在动态map下配置set autoup 是不生效的
五、配置验证
配置完分支1路由器上的IPSEC隧道自动连接功能后,不管分支1是否有访问总部的数据触发,IPSEC隧道都会自动协商建立。
Ruijie#show crypto isakmp sa //查看isakmp sa协商情况
destination source state conn-id lifetime(second)
10.0.0.2 10.0.0.1 IKE_IDLE 0 84129 //isakmp协商成功,状态为IKE_IDLE
Ruijie#show crypto ipsec sa //查看ipsec sa协商情况
Interface: GigabitEthernet 0/0
Crypto map tag:mymap //接口下所应用的加密图名称
local ipv4 addr 10.0.0.1 //进行isakmp/ipsec协商时所使用的IP地址
media mtu 1500
==================================
sub_map type:static, seqno:5, id=0
local ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) //感兴趣流源地址
remote ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) //感兴趣流目的地址
PERMIT
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4 //成功封装、加密、摘要报文个数
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4 //成功解封装,解密、检验报文个数,有数据通过IPSEC加密进行通信时,重复执行show crypto ipsec sa命令可以看到以上统计个数会不断增加。
#send errors 0, #recv errors 0 //发送、接收错误报文个数,正常情况下该统计不增加。
Inbound esp sas:
spi:0x2ecca8e (49072782) //ipsec sa入方向的spi
transform: esp-des esp-md5-hmac //ipsec加密转换集为esp-des esp-md5-hmac
in use settings={Tunnel Encaps,} //采用隧道模式
crypto map mymap 5
sa timing: remaining key lifetime (k/sec): (4606998/1324) //离安全联盟的生命周期到期还有:4606998千字节/1324秒
IV size: 8 bytes //IV向量长度为8
Replay detection support:Y //抗重播处理
Outbound esp sas:
spi:0x5730dd4b (1462820171) //ipsec sa出方向的spi,只有看到了inbound spi和outbound spi才说明ipsec sa已经协商成功。
transform: esp-des esp-md5-hmac
in use settings={Tunnel Encaps,}
crypto map mymap 5
sa timing: remaining key lifetime (k/sec): (4606998/1324)
IV size: 8 bytes
Replay detection support:Y