經過上一篇文章的介紹,相信大家對IPSec VPN有了初步的認識。光說不練,對知識點掌握不夠牢固。今天通過一個IPSec VPN配置來加深理解。
拓撲
說明
Site1和Site2模擬企業的邊界路由,同時Site1和Site2上的ge0/0/0端口上的IP是公網IP,在承載網中是可路由的。分支機構Site1要有通過Site2的路由,同理,Site2也要有通過Site1的路由。這是配置IPSec VPN的前提
基本配置
1、把各個路由端口配置對應的IP。以Site1為例,其他類似。
<huawei>system-view
[Huawei]sysname Site1
[Site1]interface GigabitEthernet 0/0/0
[Site1-GigabitEthernet0/0/0]ip address 61.128.1.1 24
[Site1-GigabitEthernet0/0/0]q
[Site1]interface GigabitEthernet 0/0/2
[Site1-GigabitEthernet0/0/2]ip address 172.16.1.254 24
/<huawei>
2、分別在Site1和Site2上配置默認路由。
[Site1]ip route-static 0.0.0.0 0.0.0.0 61.128.1.254
[Site2]ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
3、驗證分支Site1和Site2連通性。
[Site1]ping 202.100.1.1
PING 202.100.1.1: 56 data bytes, press CTRL_C to break
Request time out
Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=254 time=30 ms
Reply from 202.100.1.1: bytes=56 Sequence=3 ttl=254 time=30 ms
[Site2]ping 61.128.1.1
PING 61.128.1.1: 56 data bytes, press CTRL_C to break
Reply from 61.128.1.1: bytes=56 Sequence=1 ttl=254 time=30 ms
Reply from 61.128.1.1: bytes=56 Sequence=2 ttl=254 time=40 ms
IPSec VPN配置
1、分別在site1和site2配置ACL識別興趣流。
因為部分流量無需滿足完整性和機密性要求,所以需要對流量進行過濾, 選擇出需要進行IPSec處理的興趣流。 可以通過配置ACL來定義和區分不同的數據流。
[Site1]acl number 3000.
[Site1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Site2]acl number 3000
[Site2-acl-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
2、配置IPSec安全提議。
[Site1]ipsec proposal tran1
[Site2]ipsec proposal tran1
缺省情況下, 使用ipsec proposal命令創建的IPSec提議採用ESP協議、 MD5認證算法和隧道封裝模式。
在IPSec提議視圖下執行下列命令可以修改這些參數。
- 執行transform [ah | ah-esp | esp]命令, 可以重新配置隧道採用的安全協議。
- 執行encapsulation-mode {transport | tunnel }命令, 可以配置報文的封裝模式。
- 執行esp authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]命令, 可以配置ESP協議使用的認證算法。
- 執行esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes-256 ]命令, 可以配置ESP加密算法。
- 執行ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384| sha2-512 ]命令, 可以配置AH協議使用的認證算法。
3、配置IPSec安全策略
IPSec策略可分成兩類:手工建立SA的策略和IKE協商建立SA的策略。這裡先採用手工配置模式
[Site1]ipsec policy P1 10 manual
[Site1-ipsec-policy-manual-P1-10]security acl 3000
[Site1-ipsec-policy-manual-P1-10]proposal tran1
[Site1-ipsec-policy-manual-P1-10]tunnel remote 202.100.1.1
[Site1-ipsec-policy-manual-P1-10]tunnel local 61.128.1.1
[Site1-ipsec-policy-manual-P1-10]sa spi outbound esp 54321
[Site1-ipsec-policy-manual-P1-10]sa spi inbound esp 12345
[Site1-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei
[Site1-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei
[Site2]ipsec policy P1 10 manual
[Site2-ipsec-policy-manual-P1-10] security acl 3000
[Site2-ipsec-policy-manual-P1-10] proposal tran1
[Site2-ipsec-policy-manual-P1-10] tunnel local 202.100.1.1
[Site2-ipsec-policy-manual-P1-10] tunnel remote 61.128.1.1
[Site2-ipsec-policy-manual-P1-10] sa spi inbound esp 54321
[Site2-ipsec-policy-manual-P1-10] sa string-key inbound esp simple huawei
[Site2-ipsec-policy-manual-P1-10] sa spi outbound esp 12345
[Site2-ipsec-policy-manual-P1-10] sa string-key outbound esp simple huawei
ipsec policy policy-name seq-number命令用來創建一條IPSec策略, 並進入IPSec策略視圖。 安全策略是由policy-name和seq-number共同來確定的, 多個具有相同policy-name的安全策略組成一個安全策略組。 在一個安全策略組中最多可以設置16條安全策略, 而seq-number越小的安全策略, 優先級越高。 在一個接口上應用了一個安全策略組, 實際上是同時應用了安全策略組中所有的安全策略, 這樣能夠對不同的數據流採用不同的安全策略進行保護。IPSec策略除了指定策略的名稱和序號外, 還需要指定SA的建立方式。 如果使用的是IKE協商, 需要執行ipsec-policy-template命令配置指定參數。 如果使用的是手工建立方式, 所有參數都需要手工配置。 本示例採用的是手工建立方式。
security acl acl-number命令用來指定IPSec策略所引用的訪問控制列表。
proposal proposal-name命令用來指定IPSec策略所引用的提議。
tunnel local { ip-address | binding-interface }命令用來配置安全隧道的本端地址。
tunnel remote ip-address命令用來設置安全隧道的對端地址。
sa spi { inbound | outbound } { ah | esp } spi-number命令用來設置安全聯盟的安全參數索引SPI。 在配置安全聯盟時, 入方向和出方向安全聯盟的安全參數索引都必須設置, 並且本端的入方向安全聯盟的SPI值必須和對端的出方向安全聯盟的SPI值相同, 而本端的出方向安全聯盟的SPI值必須和對端的入方向安全聯盟的SPI值相同。
sa string-key { inbound | outbound } { ah | esp } { simple | cipher } stringkey命令用來設置安全聯盟的認證密鑰。 入方向和出方向安全聯盟的認證密鑰都必須設置, 並且本端的入方向安全聯盟的密鑰必須和對端的出方向安全聯盟的密鑰相同;同時, 本端的出方向安全聯盟密鑰必須和對端的入方向安全聯盟的密鑰相同。
4、在一個接口上應用IPSec安全策略。
[Site1]interface GigabitEthernet 0/0/0
[Site1-GigabitEthernet0/0/0]ipsec policy P1
[Site2]interface GigabitEthernet 0/0/0
[Site2-GigabitEthernet0/0/0]ipsec policy P1
5、驗證site1和site2兩個分支連通性
IKE協商建立SA的策略配置
1、清空以上手工創建的建立SA的策略
[Site1]undo ipsec policy P1 10
[Site2]undo ipsec policy P1 10
2、分別在site1和site2創建IKE proposal
[Site1]ike proposal 10
[Site2]ike proposal 10
ike proposal 裡的認證算法保持默認
3、分別在site1和site2上創建peer
[Site1]ike peer Site2 v2
[Site1-ike-peer-Site2]pre-shared-key simple huawei
[Site1-ike-peer-Site2]ike-proposal 10
[Site1-ike-peer-Site2]remote-address 202.100.1.1
[Site2]ike peer Site1 v2
[Site2-ike-peer-Site1]pre-shared-key simple huawei
[Site2-ike-peer-Site1]ike-proposal 10
[Site2-ike-peer-Site1]remote-address 61.128.1.1
3、分別在site1和site2上創建ipsec policy
[Site1]ipsec policy P1 10 isakmp
[Site1-ipsec-policy-isakmp-P1-10]security a
[Site1-ipsec-policy-isakmp-P1-10]security acl 3000
[Site1-ipsec-policy-isakmp-P1-10]ike-peer Site2
[Site1-ipsec-policy-isakmp-P1-10]proposal tran1
[Site1-ipsec-policy-isakmp-P1-10]q
[Site2]ipsec policy P1 10 isakmp
[Site2-ipsec-policy-isakmp-P1-10]security acl 3000
[Site2-ipsec-policy-isakmp-P1-10]ike-peer Site1
[Site2-ipsec-policy-isakmp-P1-10]proposal tran1
[Site2-ipsec-policy-isakmp-P1-10]q
4、在一個接口上應用IPSec安全策略。
[Site1]interface GigabitEthernet 0/0/0
[Site1-GigabitEthernet0/0/0]ipsec policy P1
[Site2]interface GigabitEthernet 0/0/0
[Site2-GigabitEthernet0/0/0]ipsec policy P1
總結:在生產環境中通常採用IKE協商建立SA的策略配置。
閱讀更多 攻城獅成長之路 的文章
