【新华三】IPsec VPN 实验配置(动态地址接入)

2024-01-09 11:33:52

在这里插入图片描述

注意

本篇文章,它是关于新华三IPsec VPN的动态地址接入的实验配置,它与地址固定的不同,不同点在于,把第一阶段IKE的协商从主模式,改为了野蛮模式,从中R1(地址固定)的配置也有一些小改动
fqdn :用于识别和验证用户身份
改动:

  1. fqdn:远端的IP地址更换为远端的fqdn
  2. 野蛮模式:把IKE协商从主模式改为野蛮模式
  3. 配置策略模板:这个时候使用Dynamic-map接入的,就需要实现配置策略模板,再用安全策略调用模板

细心的小伙伴就会看出来,R1这样子配置,IPsec VPN还能建立起来吗?
R1即不清楚对面的IP地址,这根本建立不起来吧
想的很细致,R1是知道对端的身份的,因为有对端的 fqdn,但R1 是找不到R3的,不清楚R3的IP地址

所以我们就需要转变一下思路,让R3去找R1,R3的配置是和地址固定的一样,知道对端IP地址,又知道哪些流量能通过,然后当R3单方面去找R1的时候,R1就会生成IPsec SA的信息,这里面就会产生对端的IP地址和需要保护的流量,就成功建立啦~

细节再下面的查看命令那边哦,往下翻啦~

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。
分部子网不固定,而总部子网固定为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

在这里插入图片描述

配置思路

R1(地址固定端):

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 第一阶段 IKE SA
    ① 配置IKE安全提议,定义IKE保护数据流方法
    ② 配置IKE对等体,定义对等体间IKE协商时的属性
    ③ 配置IKE profile,把前面两个关联在一起,再匹配到对端fqdn,然后在ike profile 把主模式改为野蛮模式,记住两边都需要改

  3. 第二阶段 IPsec SA
    ① 配置ACL,以定义需要IPSec保护的数据流
    ② 配置IPSec安全提议,定义IPSec的保护方法
    配置策略模板,包含IPSec安全提议和IKE profile,确定对何种数据流采取何种保护方法
    ④ 安全策略中引用该策略模板

  4. 在接口上应用安全策略组,使接口具有IPSec的保护功能

R3(动态地址接入端):

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 设置fqdn的名字

  3. 第一阶段 IKE SA
    ① 配置IKE安全提议,定义IKE保护数据流方法
    ② 配置IKE对等体,定义对等体间IKE协商时的属性
    ③ 配置IKE profile,把前面两个关联在一起,然后在ike profile中 把主模式改为野蛮模式,记住两边都需要改

  4. 第二阶段 IPsec SA
    ① 配置ACL,以定义需要IPSec保护的数据流
    ② 配置IPSec安全提议,定义IPSec的保护方法
    ③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

  5. 在接口上应用安全策略组,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

在这里插入图片描述

R1

此时R3是动态地址接入,导致R1并不知道R3的IP地址,就会导致无法从R1发起IPsec 的建立,R1也需要把主模式改为野蛮模式,然后对端就用fqdn来标记,创建策略模板等

基础配置

配置R1的基础配置,再用默认路由实现公网可达

[H3C]sysn R1
[R1]undo info-center enable 

[R1]int g0/0
[R1-GigabitEthernet0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0]qu

[R1]int g0/1
[R1-GigabitEthernet0/1]ip address 192.168.10.254 24
[R1-GigabitEthernet0/1]qu

[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 配置R1的IKE安全提议
[R1]ike proposal 1   ## ike的提案(需要用什么)
[R1-ike-proposal-1]encryption-algorithm 3des-cbc        ## 用3des加密IKE
[R1-ike-proposal-1]authentication-algorithm sha256      ## IKE用sha256 认证
[R1-ike-proposal-1]dh group5                            ## IKE 处于group5
[R1-ike-proposal-1]qu

## 采用PSK,配置与对等体的信息
[R1]ike keychain 1
[R1-ike-keychain-1]pre-shared-key hostname R3 key simple 520   
## 两边都要是 520 呀,而且这边是hostname R3哦
[R1-ike-keychain-1]qu

## ## 将上面两个整合在ike profile里面,匹配对等体,profile 名字为 1
[R1]ike profile 1
[R1-ike-profile-1]exchange-mode aggressive              ## 将主模式改为野蛮模式
[R1-ike-profile-1]proposal 1                            ## 引用安全提议 1
[R1-ike-profile-1]keychain 1                            ## 引用钥匙串 1
[R1-ike-profile-1]match remote identity fqdn R3         ## 对端的fqdn 为 R3  
[R1-ike-profile-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## IPSec SA的创建,转换集
[R1]ipsec transform-set myset
[R1-ipsec-transform-set-myset]encapsulation-mode tunnel           ## 流量以隧道的方式传输
[R1-ipsec-transform-set-myset]esp encryption-algorithm 3des-cbc   ## 数据加密算法
[R1-ipsec-transform-set-myset]esp authentication-algorithm sha256 ## 身份认证算法
[R1-ipsec-transform-set-myset]qu

## 配置高级ACL,匹配子网192.168.10.0/24去子网192.168.20.0/24的数据
[R1]acl advanced 3000 
[R1-acl-ipv4-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[R1-acl-ipv4-adv-3000]qu

## 配置策略模板,名字为 tem,优先级为 1,并在安全策略中引用该策略模板
[R1]ipsec policy-template tem 1 
[R1-ipsec-policy-template-tem-1]ike-profile 1                     ## 引用ike-profile 1    
[R1-ipsec-policy-template-tem-1]transform-set myset               ## 引用IPsec转换集 myset
[R1-ipsec-policy-template-tem-1]security acl 3000                 ## 引用ACL
[R1-ipsec-policy-template-tem-1]qu

## 安全策略名字为 mypolicy,引用策略模板 tem
[R1]ipsec policy mypolicy 1 isakmp template tem 

## 出接口上调用安全策略组
[R1]int g0/0
[R1-GigabitEthernet1/0]ipsec apply policy mypolicy 
[R1-GigabitEthernet1/0]qu

ISP_R2

基础配置

[H3C]sysn ISP_R2

[ISP_R2]interface GigabitEthernet1/0
[ISP_R2-GigabitEthernet1/0]ip address 202.101.12.100 255.255.255.0
[ISP_R2-GigabitEthernet1/0]qu

[ISP_R2]int g2/0
[ISP_R2-GigabitEthernet2/0]ip address 202.101.23.100 255.255.255.0
[ISP_R2-GigabitEthernet2/0]qu

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达

[H3C]sysn R3

[R3]int g0/0
[R3-GigabitEthernet0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0]qu

[R3]int g0/1
[R3-GigabitEthernet0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/1]qu

[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

## 需要标记fqdn的名字
[R3]ike identity fqdn R3          ## 重点,千万别忘了

[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]authentication-algorithm sha256
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu

[R3]ike keychain 1
[R3-ike-keychain-1]pre-shared-key address 202.101.12.1 key simple 520
[R3-ike-keychain-1]qu

[R3]ike profile 1
[R3-ike-profile-1]proposal 1
[R3-ike-profile-1]keychain 1
[R3-ike-profile-1]exchange-mode aggressive         
[R3-ike-profile-1]match remote identity address 202.101.12.1
[R3-ike-profile-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

[R3]ipsec transform-set myset 
[R3-ipsec-transform-set-myset]encapsulation-mode tunnel 
[R3-ipsec-transform-set-myset]esp encryption-algorithm 3des-cbc 
[R3-ipsec-transform-set-myset]esp authentication-algorithm sha256
[R3-ipsec-transform-set-myset]qu

[R3]acl advanced 3000
[R3-acl-ipv4-adv-3000]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[R3-acl-ipv4-adv-3000]qu

## 这边就不用策略模板了,直接用安全策略组就好啦
[R3]ipsec policy mypolicy 1 isakmp 
[R3-ipsec-policy-isakmp-mypolicy-1]ike-profile 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]transform-set myset
[R3-ipsec-policy-isakmp-mypolicy-1]remote-address 202.101.12.1 
[R3-ipsec-policy-isakmp-mypolicy-1]qu

[R3]int g0/0
[R3-GigabitEthernet1/0]ipsec apply policy mypolicy
[R3-GigabitEthernet1/0]qu

PC

PC1

在这里插入图片描述

PC2

在这里插入图片描述

检查

抓包查看(此时,因为是一端是动态接入,地址不固定,R1没有对端的IP地址,没办法自动建立IPsec VPN,这个时候就需要用PC2,也就是动态地址接入那边发起Ping 包,使IPsec VPN通道建立!不然PC1 是 Ping 不通的)
在这里插入图片描述

建立成功

在动态地址接入的情况下,是用野蛮模式来替代主模式来进行IKE的协商,只需要交换三次就能够完成IKE的协商工程,产生IKE SA
然后就是快速模式的三个报文,就成功的协商IPsec SA
最后这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~
在这里插入图片描述

查看命令

查看IKE SA的基本信息
[R1]display ike sa
在这里插入图片描述

查看IPsec SA的基本信息

[R1]display ipsec sa
刚才,我在上面
在这里插入图片描述

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效,对了,两边都要清除掉呀

可以看到,当我去清除掉IKE SA的时候,再查看已经被清除掉了,还有IPsec SA,说明清除成功啦
reset ike sa
reset ipsec sa

在这里插入图片描述

配置文档

R1

sys
sysn R1

int g0/0 
ip address 202.101.12.1 24
qu

int g0/1
ip address 192.168.10.254 24
qu

ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm sha256
dh group5
qu

ike keychain 1
pre-shared-key hostname R3 key simple 520
qu

ike profile 1
exchange-mode aggressive      
proposal 1
keychain 1
match remote identity fqdn R3      
qu

ipsec transform-set myset 
encapsulation-mode tunnel 
protocol esp 
esp encryption-algorithm 3des-cbc 
esp authentication-algorithm md5 
qu

acl advanced 3000
rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
qu

ipsec policy-template tem 1 
ike-profile 1
transform-set myset
security acl 3000
qu

ipsec policy mypolicy 1 isakmp template tem 

int g0/0
ipsec apply policy mypolicy
qu


ISP_R2

sys
sysn ISP_R2

int g0/0
ip address 202.101.12.2 24
qu

int g0/1
ip address 202.101.23.2 24
qu

R3

sys
sysn R3

int g0/0 
ip address 202.101.23.3 24
qu

int g0/1
ip address 192.168.20.254 24
qu

ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

ike identity fqdn R3 

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm sha256
dh group5
qu
      
ike keychain 1
pre-shared-key address 202.101.12.1 key simple 520
qu

ike profile 1
proposal 1
keychain 1
exchange-mode aggressive         
match remote identity address 202.101.12.1
qu

ipsec transform-set myset
encapsulation-mode tunnel
protocol esp 
esp encryption-algorithm 3des-cbc 
esp authentication-algorithm md5 
quit 

acl advanced 3000
rule per ip so 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
qu

ipsec policy mypolicy 1 isakmp 
security acl 3000
ike-profile 1
transform-set myset
remote-address 202.101.12.1
qu

int g0/0
ipsec apply policy mypolicy
qu

文章来源:https://blog.csdn.net/2301_77161465/article/details/135464660
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。