IPSec VPN配置流程
- 先配置IKE安全提议
- 配置IKE对等体,调用IKE提议
- 配置需要保护的感兴趣流
- 配置IPSec 的安全提议
- 配置IPSec策略
- 在接口调用IPSec策略
IPSEC VPN各场景配置示例
采用IKEV1-主模式实验 :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 |
第一步: 阶段一 协商IKE SA(ISAKMP SA) 1. 配置IKE的安全提议 ike proposal 10 encryption-algorithm aes-256 authentication-algorithm sha2-256 integrity-algorithm hmac-sha2-256 2. 配置IKE对等体 ike peer 10 pre-shared-key Huawei@123 ike-proposal 1 undo version 2 ------------关闭V2 remote-address 202.100.1.11 第二步: 阶段二 协商IPSEC SA 1. 配置感兴趣流(互为镜像) FW1 acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 FW2 acl number 3000 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 2. 配置IPSEC安全提议 ipsec proposal 10 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 3. 配置IPSEC策略 ipsec policy ipsec_vpn 1 isakmp security acl 3000 ike-peer fw2 proposal fw2 4.调用 interface GigabitEthernet0/0/2 ipsec policy ipsec_vpn auto-neg 自动协商 第三步:放行安全策略 自定义isakmp ip service-set ISAKMP type object service 0 protocol udp source-port 0 to 65535 destination-port 500 定义地址集 ip address-set ipsec1 type object address 0 202.100.1.10 mask 32 address 1 202.100.1.11 mask 32 # ip address-set ipsec2 type object address 0 10.1.1.0 mask 24 address 1 10.1.2.0 mask 24 security-policy rule name ipsec1 --------------放行ISAKMP和ESP source-zone local source-zone untrust destination-zone local destination-zone untrust source-address address-set ipsec1 destination-address address-set ipsec1 service ISAKMP ------------自定义 service esp action permit rule name ipsec2 --------------放行实际通信流量 source-zone trust source-zone untrust destination-zone trust destination-zone untrust source-address address-set ipsec2 destination-address address-set ipsec2 action permit # |
测试检查:
| 项目 | 描述 |
|---|---|
| IKE SA information | 安全联盟配置信息。 |
| Conn-ID | 安全联盟的连接索引。 |
| Peer | 对端的IP地址和UDP端口号。 |
| VPN | 应用IPSec安全策略的接口所绑定的VPN实例。说明:虚拟系统不显示此字段。 |
| Flag(s) | 安全联盟的状态:RD–READY:表示此SA已建立成功。ST–STAYALIVE:表示此端是通道协商发起方。RL–REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。FD–FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。TO–TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。HRT–HEARTBEAT:表示本端IKE SA发送heartbeat报文。LKG–LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。BCK–BACKED UP:表示备份状态。M–ACTIVE:表示IPSec策略组状态为主状态。S–STANDBY:表示IPSec策略组状态为备状态。A–ALONE:表示IPSec策略组状态为不备份状态。NEG–NEGOTIATING:表示SA正在协商中。字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。 |
| Phase | SA所属阶段:v1:1或v2:1:v1和v2表示IKE的版本;1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。v1:2或v2:2:v1和v2表示IKE的版本;2表示协商安全服务的阶段,此阶段建立IPSec SA。 |
| RemoteType | 对端ID类型。 |
| RemoteID | 对端ID。 |
采用IKEv1—-野蛮模式实验:
如果采用IP方式,配置思路同主模式。
区别点:
1 2 |
ike peer XXX exchange-mode aggressive |
注:野蛮模式配置
1 2 3 |
[FW1-ipsec-policy-isakmp-ipsec3311155855-1]ike-peer ike 10 Error: ike peer's remote addresses or domain name should be configed. [FW1-ipsec-policy-isakmp-ipsec3311155855-1] |
华为不推荐野蛮模式解决非固定IP地址,建议采用模板方式
华为配置野蛮模式时,只能配置Domain Name(FQDN,USER-FQDN,域名),不能配置name。配name还需要配置remote-Address。
模板方式:
策略模板适用于中心站点规定地址,分支站点较多且使用动态地址的工程环境。
优点:可以不用配置IP地址。
缺点:不能主动发起连接,只能等待对端发起连接。
模板配置流程图:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
第一步:阶段一 1. IKE安全提议 2. IKE对等体(变化) ike peer spoke pre-shared-key Huawei@123 ike-proposal 10 undo version 2 第二步:阶段二 1.IPSEC安全提议 2.策略模板(模板方式) ipsec policy-template ipsec_temp 1 security acl 3000 ike-peer spoke proposal 10 3.策略调用模板 ipsec policy ipsec_policy 1000 isakmp template ipsec_temp |
Hub Spoke IPsec VPN组网(预共享密钥):
Spoke1和Spoke2的配置思路同站点到站点的IPSec VPN配置思路。
唯一不同的是,Hub端因为不知道对方的IP地址,需要配置为策略模板方式。
在放行感兴趣流时,Hub需要放行与Spoke1和Spoke2通信的流量。
为了使Spoke1和Spoke2也能通信,需要多配置感兴趣流。
在Hub端配置10.1.2.0/24 —> 10.1.3.0/24,10.1.3.0/24 —> 10.1.2.0/24
在Spoke1配置:10.1.3.0/24 –> 10.1.2.0/24
在Spoke2配置:10.1.2.0/24 –> 10.1.3.0/24
最后协商状态如下:
通过测试,PC1与PC2,PC3之间可以互相通信。
Site to Site IPSec VPN(证书认证):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
阶段一: ike proposal 10 authentication-method rsa-sig ----------变化,认证方式默认是预共享密钥,改成数字证书 authentication-algorithm sha2-256 integrity-algorithm aes-xcbc-96 hmac-sha2-256 # ike peer ike 10 exchange-mode auto certificate local-filename fw11.cer -------调用本地证书 ike-proposal 10 remote-address 202.100.1.11 阶段二: acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 ipsec proposal 10 encapsulation-mode auto esp authentication-algorithm sha2-256 # ipsec policy ipsec_policy 10 isakmp security acl 3000 ike-peer 10 alias ipsec_vpn proposal 10 interface GigabitEthernet0/0/2 ipsec policy ipsec_policy |
检查测试:
本文转载至:https://cshihong.github.io/2019/04/09/IPsec-VPN各种场景配置示例/
iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue!
