IPSec有點難需要掌握他的邏輯及框架然后就簡單了
網路攻城獅眼里的煙花!
IPSec VPN
- 配置案例
- 要求
- 拓撲
- 配置
- 基礎配置
- IPSec VPN配置
- 分析原因
- 解決方法
- IPSec VPN
- IPSec 核心功能
- IPSec 技術框架
- IPSec安全協議
- IPSec封裝模式
- 安全聯盟
- IKE
- IPSec配置
- 手工方式
配置案例
要求
- 配置IP地址、DHCP、路由、NAT
- 內網可以訪問公網2.2.2.2
- 配置IPsec VPN
- PC1能直接訪問PC2
- 抓包驗證資料是否加密
拓撲
配置
基礎配置
青海分部IP地址、DHCP、NAT、路由
sys
sys QH
dhcp enable
acl 2000
rule permit so 192.168.10.0 0.0.0.255
int g0/0/0
ip add 192.168.10.254 24
dhcp sel int
int g0/0/1
ip add 12.0.0.1 24
nat outbound 2000
ip route-s 0.0.0.0 0 12.0.0.2
上海總部IP地址、DHCP、NAT、路由
sys
sys SH
dhcp enable
acl 2000
rule permit so 192.168.20.0 0.0.0.255
int g0/0/1
ip add 192.168.20.254 24
dhcp sel int
int g0/0/0
ip add 23.0.0.3 24
nat outbound 2000
ip route-s 0.0.0.0 0 23.0.0.2
ISP公網
sys
sys ISP
int g0/0/0
ip add 12.0.0.2 24
int g0/0/1
ip add 23.0.0.2 24
int lo 2
ip add 2.2.2.2 32
PC1
PC2
IPSec VPN配置
青海分部
感興趣流
acl 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
提議:
ipsec proposal QH2SH
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
策略:
ipsec policy QH2SH 1 manual
security acl 3000
proposal QH2SH
tunnel local 12.0.0.1
tunnel remote 23.0.0.3
sa spi inbound esp 12345
sa string-key inbound esp cipher huawei123
sa spi outbound esp 12345
sa string-key outbound esp cipher huawei123
呼叫:
ipsec policy QH2SH
上海總部
感興趣流:
acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
提議:
ipsec proposal SH2QH
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
策略:
ipsec policy SH2QH 1 manual
security acl 3000
proposal SH2QH
tunnel local 23.0.0.3
tunnel remote 12.0.0.1
sa spi inbound esp 12345
sa string-key inbound esp cipher huawei123
sa spi outbound esp 12345
sa string-key outbound esp cipher huawei123
呼叫:
ipsec policy SH2QH
配置完成后發現PC1、PC2ping公網能通,PC1與PC2之間ping不通,
分析原因
原因:公網出口的NAT策略與IPSec的感興趣流沖突
關閉公網介面上的NAT策略
發現兩PCping不通公網,IPSec VPN 沒有一點問題,
解決方法
1、改IPSec上的感興趣流
2、更改出口上的NAT策略
方案一:改IPSec上的感興趣流
青海分部
acl number 3000
rule 5 permit ip source 12.0.0.1 0.0.0.255 destination192.168.20.0 0.0.0.255
上海分部
acl number 3000
rule 5 permit ip source 23.0.0.0 0.0.0.255 destination192.168.10.0 0.0.0.255
ESP加密了資料包
方案一:更改出口上的NAT策略
青海分部
acl 3001
rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule permit ip source any
上海分部
acl 3001
rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule permit ip source any
重新建ACL3001應用在公網出口上
IPSec VPN
IPSec:Internet Protocol Security
? 源于IPv6
? IETF制定的一套安全保密性能框架
? 建立在網路層的安全保障機制
? 引入多種加密演算法、驗證演算法和密鑰管理機制
? 也具有配置復雜、消耗運算資源較多、增加延遲、不支持組播等缺點
? IPSec VPN是利用IPSec隧道建立的VPN技術
IPSec 核心功能
IPSec 技術框架
IPSec安全協議
IPSec封裝模式
傳輸模式封裝結構
隧道模式封裝結構
安全聯盟
SA(Security Association)
? 顧名思義,通信雙方結成盟友,相互信任親密無間,即達成約定
? 由一個(SPI,IP目的地址,安全協議號)三元組唯一標識
? 決定了對報文進行何種處理:模式、協議、演算法、密鑰、生存周期等
? 每個IPSec SA都是單向的
? 可以手工建立或通過IKE協商生成
? SPD(Security Policy Database)
? SAD(Security Association Database)
IKE
IKE:Internet Key Exchange,因特網密鑰交換
? 基于UDP(埠號500)的應用層協議,可為資料加密提供所需的密鑰
? 使用DH演算法,在不安全的網路上安全地分發密鑰,驗證身份
? 定時更新SA和密鑰,實作完善的前向安全性
? 允許IPSec提供抗重播服務
? 簡化IPSec的使用和管理,大大簡化了IPSec的配置和維護作業
IPSec配置
ipsec proposal shanghai
encapsulation-mode tunnel
transform esp
創建并配置IPSec提議,
配置報文的封裝模式,
配置隧道采用的安全協議,
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
display ipsec proposal
配置ESP協議使用的認證演算法,
配置ESP加密演算法,
驗證IPSec提議配置,
ipsec policy P1 10 manual
security acl 3000
創建并配置IPSec策略(手動),
配置參考的ACL,
proposal shanghai
配置參考的提議,
tunnel local 12.0.0.2
tunnel remote 13.0.0.3
配置安全隧道的本端地址,
配置安全隧道的對端地址,
配置SA的SPI,
sa spi inbound/outbound esp 12345
入方向和出方向都必須設定,并且雙方的必須相互對應,
sa string-key
配置SA的認證密鑰,
inbound/outbound esp cipher wakin
入方向和出方向都必須設定,并且
雙方的必須相互對應,
display ipsec policy
驗證IPSec手動策略配置,
ike proposal 10
創建并配置IKE提議,
authentication-method pre-share
authentication-algorithm sha2-256
encryption-algorithm aes-cbc-256
配置身份認證方式,
配置資料認證演算法,
配置加密演算法,
dh group14
配置密鑰交換演算法,
display ike proposal
驗證IKE提議,
ike peer shanghai v1
創建并配置IKE對等體,
exchange-mode main/aggressive
pre-shared-key cipher huawei
ike-proposal 10
配置PSK,
配置參考的IKE提議,
local-address 12.0.0.1
remote-address 23.0.0.3
配置本地IP地址,
配置對端IP地址,
ipsec policy P2 10 isakmp
security acl 3000
proposal 10
創建并配置IPSec策略(自動),
配置參考的ACL,
配置參考的IPSec提議,
ike-peer shanghai
配置參考的IKE對等體,
ipsec policy P1/P2
display ike/ipsec sa
在介面上應用指定的安全策略組,
驗證安全聯盟,
手工方式
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/274440.html
標籤:其他