IPSec VPN配置流程

在这里插入图片描述

图：IPSec VPN配置流程图

先配置IKE安全提议
配置IKE对等体，调用IKE提议
配置需要保护的感兴趣流
配置IPSec 的安全提议
配置IPSec策略
在接口调用IPSec策略

IPSEC VPN各场景配置示例

采用IKEV1-主模式实验：

在这里插入图片描述

图：IPsec VPN拓扑图

配置思路：

第一步： 阶段一
协商IKE SA(ISAKMP SA) 
1. 配置IKE的安全提议
ike proposal 10
 encryption-algorithm aes-256
 authentication-algorithm sha2-256
 integrity-algorithm hmac-sha2-256

2. 配置IKE对等体
ike peer  10
 pre-shared-key Huawei@123
 ike-proposal 1
 undo version 2  ------------关闭V2
 remote-address 202.100.1.11

第二步： 阶段二 
协商IPSEC SA  

1. 配置感兴趣流（互为镜像）
FW1
acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

FW2
acl number 3000
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255  

2. 配置IPSEC安全提议
ipsec proposal  10
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

3. 配置IPSEC策略
ipsec policy  ipsec_vpn  1  isakmp
 security acl 3000
 ike-peer  fw2
 proposal  fw2

4.调用
interface GigabitEthernet0/0/2
 ipsec policy ipsec_vpn  auto-neg
                                      自动协商


第三步：放行安全策略 
自定义isakmp
ip service-set ISAKMP type object
 service 0 protocol udp source-port 0 to 65535 destination-port 500

定义地址集
ip address-set ipsec1 type object
 address 0 202.100.1.10 mask 32
 address 1 202.100.1.11 mask 32
#
ip address-set ipsec2 type object
 address 0 10.1.1.0 mask 24
 address 1 10.1.2.0 mask 24

security-policy
 rule name ipsec1  --------------放行ISAKMP和ESP 
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address address-set ipsec1
  destination-address address-set ipsec1
  service ISAKMP  ------------自定义
  service esp
  action permit

 rule name ipsec2 --------------放行实际通信流量
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address address-set ipsec2
  destination-address address-set ipsec2
  action permit
#

测试检查：

在这里插入图片描述

图：IPsec协商状态

在这里插入图片描述

图：IKE sa状态

display ike sa命令输出信息描述

项目	描述
IKE SA information	安全联盟配置信息。
Conn-ID	安全联盟的连接索引。
Peer	对端的IP地址和UDP端口号。
VPN	应用IPSec安全策略的接口所绑定的VPN实例。说明：虚拟系统不显示此字段。
Flag(s)	安全联盟的状态：RD–READY：表示此SA已建立成功。ST–STAYALIVE：表示此端是通道协商发起方。RL–REPLACED：表示此通道已经被新的通道代替，一段时间后将被删除。FD–FADING：表示此通道已发生过一次软超时，目前还在使用，在硬超时时会删除此通道。TO–TIMEOUT：表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文，如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文，此SA将被删除。HRT–HEARTBEAT：表示本端IKE SA发送heartbeat报文。LKG–LAST KNOWN GOOD SEQ NO.：表示已知的最后的序列号。BCK–BACKED UP：表示备份状态。M–ACTIVE：表示IPSec策略组状态为主状态。S–STANDBY：表示IPSec策略组状态为备状态。A–ALONE：表示IPSec策略组状态为不备份状态。NEG–NEGOTIATING：表示SA正在协商中。字段为空：表示IKE SA正在协商中，是由隧道两端设置的某些参数不一致导致。
Phase	SA所属阶段：v1:1或v2:1：v1和v2表示IKE的版本；1表示建立安全通道进行通信的阶段，此阶段建立IKE SA。v1:2或v2:2：v1和v2表示IKE的版本；2表示协商安全服务的阶段，此阶段建立IPSec SA。
RemoteType	对端ID类型。
RemoteID	对端ID。

在这里插入图片描述

图：IPSec SA状态

在这里插入图片描述

图：IPsec 的加密解密状态

采用IKEv1----野蛮模式实验：

如果采用IP方式，配置思路同主模式。

区别点：

 ike peer  XXX
 exchange-mode aggressive

注：野蛮模式配置

[FW1-ipsec-policy-isakmp-ipsec3311155855-1]ike-peer ike 10
Error: ike peer's remote addresses or domain name should be configed.
[FW1-ipsec-policy-isakmp-ipsec3311155855-1]

华为不推荐野蛮模式解决非固定IP地址，建议采用模板方式

华为配置野蛮模式时，只能配置Domain Name（FQDN，USER-FQDN，域名），不能配置name。配name还需要配置remote-Address。

模板方式：

策略模板适用于中心站点规定地址，分支站点较多且使用动态地址的工程环境。

优点：可以不用配置IP地址。

缺点：不能主动发起连接，只能等待对端发起连接。

模板配置流程图：

在这里插入图片描述

图：策略模板配置流程图

策略模板配置思路：

第一步：阶段一
1. IKE安全提议
2. IKE对等体（变化）
ike peer spoke
 pre-shared-key Huawei@123
 ike-proposal 10
 undo version 2

第二步：阶段二 
1.IPSEC安全提议
2.策略模板（模板方式）
ipsec policy-template ipsec_temp 1
 security acl 3000
 ike-peer spoke
 proposal 10

3.策略调用模板
ipsec policy ipsec_policy 1000 isakmp template ipsec_temp

Hub Spoke IPsec VPN组网（预共享密钥）：

在这里插入图片描述

图：Hub Spoke IPsec VPN组网拓扑

配置思路：

Spoke1和Spoke2的配置思路同站点到站点的IPSec VPN配置思路。

唯一不同的是，Hub端因为不知道对方的IP地址，需要配置为策略模板方式。

在这里插入图片描述

图：策略模板配置

在放行感兴趣流时，Hub需要放行与Spoke1和Spoke2通信的流量。

为了使Spoke1和Spoke2也能通信，需要多配置感兴趣流。

在Hub端配置10.1.2.0/24 —> 10.1.3.0/24,10.1.3.0/24 —> 10.1.2.0/24

在Spoke1配置：10.1.3.0/24 --> 10.1.2.0/24

在Spoke2配置：10.1.2.0/24 --> 10.1.3.0/24

最后协商状态如下：

在这里插入图片描述

图：点到多点IPsec协商状态

通过测试，PC1与PC2，PC3之间可以互相通信。

在这里插入图片描述

图：IKE sa摘要

在这里插入图片描述

图：IPsec SA摘要

Site to Site IPSec VPN（证书认证）：

在这里插入图片描述

图：站点到站点IPSec VPN组网，证书认证拓扑图

配置思路：

阶段一：
ike proposal 10
 authentication-method rsa-sig ----------变化，认证方式默认是预共享密钥，改成数字证书
 authentication-algorithm sha2-256
 integrity-algorithm aes-xcbc-96 hmac-sha2-256
#                                         
ike peer ike 10
 exchange-mode auto
 certificate local-filename fw11.cer  -------调用本地证书
 ike-proposal 10
 remote-address 202.100.1.11

阶段二：
acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

ipsec proposal 10
 encapsulation-mode auto
 esp authentication-algorithm sha2-256
#
ipsec policy ipsec_policy 10 isakmp
 security acl 3000
 ike-peer 10
 alias ipsec_vpn
 proposal 10

interface GigabitEthernet0/0/2
 ipsec policy ipsec_policy

在这里插入图片描述

图：IPsec 证书配置

在这里插入图片描述

图：安全策略配置

检查测试：

在这里插入图片描述

图：IKE peer状态

IPsec各种场景配置示例

IPSec VPN配置流程

IPSEC VPN各场景配置示例

采用IKEV1-主模式实验：

采用IKEv1----野蛮模式实验：

模板方式：

Hub Spoke IPsec VPN组网（预共享密钥）：

Site to Site IPSec VPN（证书认证）：

猜你喜欢

IPsec各种场景配置示例

IPSec VPN配置流程

IPSEC VPN各场景配置示例

采用IKEV1-主模式实验 ：

采用IKEv1----野蛮模式实验：

模板方式：

Hub Spoke IPsec VPN组网（预共享密钥）：

Site to Site IPSec VPN（证书认证）：

猜你喜欢

采用IKEV1-主模式实验：