【华为】IPsec VPN 实验配置(地址固定)

【华为】IPsec VPN 实验配置(地址固定)

注意

因为本篇文章,就是IPsec的实验配置的话,它们两端的IP地址是固定

那么就用第一阶段的主模式(Main Mode)

和第二阶段的快速模式(Quick Mode)就好啦

后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。分部子网为202.101.23.0/24,总部子网为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

配置思路

  1. 基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

  2. 第一阶段 IKE SA

    ① 配置IKE安全提议,定义IKE保护数据流方法

    ② 配置IKE对等体,定义对等体间IKE协商时的属性

  3. 第二阶段 IPsec SA

    ① 配置ACL,以定义需要IPSec保护的数据流

    ② 配置IPSec安全提议,定义IPSec的保护方法

    ③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

  4. 在接口上应用安全策略组,使接口具有IPSec的保护功能

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

R1

基础配置

配置R1的基础配置,再用默认路由实现公网可达

c 复制代码
[Huawei]sysn R1
[R1]undo info-center enable    ## 关闭CLI系统提示消息

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0/0]qu

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24    
[R1-GigabitEthernet0/0/1]qu

[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

c 复制代码
## 配置R1的IKE安全提议 ,名字为 1
[R1]ike proposal 1
[R1-ike-proposal-1]encryption-algorithm 3des-cbc  ## 加密算法
[R1-ike-proposal-1]authentication-algorithm md5   ## 认证算法
[R1-ike-proposal-1]dh group5                      ## dh组5
[R1-ike-proposal-1]qu

## 配置IKEv1对等体,名字为 1,配置预共享密钥和对端ID
[R1]ike peer 1 v1                            ## 版本要一致
[R1-ike-peer-1]ike-proposal 1                ## 关联IKE的安全提议
[R1-ike-peer-1]pre-shared-key simple 520     ## 预共享密钥也要一致
[R1-ike-peer-1]remote-address 202.101.23.3   ## 配置对端地址
[R1-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

c 复制代码
##配置高级ACL,匹配子网192.168.10.0/24去子网192.168.20.0/24的数据
[R1]acl 3000
[R1-acl-adv-3000]rule per ip source 192.168.10.0 0.0.0.255 destination 192.168.2
0.0 0.0.0.255
[R1-acl-adv-3000]qu

## 配置IPSec安全提议,命名为 1
[R1]ipsec proposal 1
[R1-ipsec-proposal-1]esp encryption-algorithm 3des        ## 采用ESP加密封装
[R1-ipsec-proposal-1]esp authentication-algorithm md5     ## 采用ESP认证
[R1-ipsec-proposal-1]encapsulation-mode tunnel            ## 传输模式为隧道模式
[R1-ipsec-proposal-1]qu

## 配置IKE协商方式安全策略,命名为 mypolicy  优先级为 1
[R1]ipsec policy mypolicy 1 isakmp 
[R1-ipsec-policy-isakmp-mypolicy-1]ike-peer 1             ## 关联IKE的对等体
[R1-ipsec-policy-isakmp-mypolicy-1]proposal 1             ## 关联IPsec 安全提议
[R1-ipsec-policy-isakmp-mypolicy-1]security acl 3000      ## 匹配需要保护的ACL数据流
[R1-ipsec-policy-isakmp-mypolicy-1]qu
 
## 接口上调用安全策略组
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy mypolicy             ## 调用策略mypolicy
[R1-GigabitEthernet0/0/0]qu

ISP_R2

基础配置

c 复制代码
[Huawei]sysn ISP_R2

[ISP_R2]undo info-center enable
[ISP_R2]int g0/0/0
[ISP_R2-GigabitEthernet0/0/0]ip address 202.101.12.2 24
[ISP_R2-GigabitEthernet0/0/0]qu

[ISP_R2]int g0/0/1
[ISP_R2-GigabitEthernet0/0/1]ip address 202.101.23.2 24
[ISP_R2-GigabitEthernet0/0/1]qu

R3

基础配置

配置R3的基础配置,再用默认路由实现公网可达

c 复制代码
[Huawei]sysn R3

[R3]undo info-center enable
Info: Information center is disabled.

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0/0]qu

[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/0/1]qu

[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商,实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

c 复制代码
[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc 
[R3-ike-proposal-1]authentication-algorithm md5 
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu
	
[R3]ike peer 1 v1	 
[R3-ike-peer-1]ike-proposal 1
[R3-ike-peer-1]pre-shared-key simple 520   
[R3-ike-peer-1]remote-address 202.101.12.1
[R3-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

c 复制代码
[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.2
55 
[R3-acl-adv-3000]qu

[R3]ipsec proposal 1
[R3-ipsec-proposal-1]encapsulation-mode tunnel 
[R3-ipsec-proposal-1]esp authentication-algorithm md5 
[R3-ipsec-proposal-1]esp encryption-algorithm 3des 
[R3-ipsec-proposal-1]qu

[R3]ipsec policy mypolicy 1 isakmp 
[R3-ipsec-policy-isakmp-mypolicy-1]ike-peer 1
[R3-ipsec-policy-isakmp-mypolicy-1]proposal 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]qu

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy mypolicy
[R3-GigabitEthernet0/0/0]qu

PC

PC1

PC2

检查

抓包查看(华为的IPsec VPN 是自己触发的,可以不用手动去Ping呀)

建立成功

里面主模式交换六个报文,成功协商IKE SA

而快速模式的三个报文,就成功的协商IPsec SA

这两个出来就成功建立了 IPsec VPN,对流量实施了加密啦~

查看命令

查看IKE SA的基本信息
[R1]display ike sa

查看IPsec SA的基本信息
[R1]display ipsec sa

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效

提醒一下呀,就是先把自己需要改的东西先改好,然后再刷新一下

因为华为的IPsec是自动建立的

reset ike sa all
reset ipsec sa

配置文档

R1

c 复制代码
sys
sysn R1 

undo info-center enable       

int g0/0/0
ip address 202.101.12.1 24
qu
int g0/0/1
ip address 192.168.10.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm md5 
dh group5
qu
	

ike peer 1 v1	 
ike-proposal 1
pre-shared-key simple 520   
remote-address 202.101.23.3
qu

ipsec proposal 1
encapsulation-mode tunnel 
esp authentication-algorithm md5 
esp encryption-algorithm 3des 
qu

acl 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 
qu

ipsec policy mypolicy 1 isakmp 
ike-peer 1
proposal 1
security acl 3000
qu

int g0/0/0
ipsec policy mypolicy
qu

R2

c 复制代码
sys
sysn R2
int g0/0/0
ip address 202.101.12.2 24
qu
int g0/0/1
ip address 202.101.23.2 24
qu

R3

c 复制代码
sys
sysn R3

undo info-center enable

int g0/0/0
ip address 202.101.23.3 24
qu
int g0/0/1
ip address 192.168.20.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

ike proposal 1
encryption-algorithm 3des-cbc 
authentication-algorithm md5 
dh group5
qu
	

ike peer 1 v1	 
ike-proposal 1
pre-shared-key simple 520   
remote-address 202.101.12.1
qu

ipsec proposal 1
encapsulation-mode tunnel 
esp authentication-algorithm md5 
esp encryption-algorithm 3des 
qu

acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
qu

ipsec policy mypolicy 1 isakmp 
ike-peer 1
proposal 1
security acl 3000
qu

int g0/0/0
ipsec policy mypolicy
qu
相关推荐
蜜獾云4 分钟前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
小屁不止是运维5 分钟前
麒麟操作系统服务架构保姆级教程(五)NGINX中间件详解
linux·运维·服务器·nginx·中间件·架构
Hacker_Oldv10 分钟前
WPS 认证机制
运维·服务器·wps
bitcsljl18 分钟前
Linux 命令行快捷键
linux·运维·服务器
ac.char21 分钟前
在 Ubuntu 下使用 Tauri 打包 EXE 应用
linux·运维·ubuntu
Youkiup1 小时前
【linux 常用命令】
linux·运维·服务器
qq_297504611 小时前
【解决】Linux更新系统内核后Nvidia-smi has failed...
linux·运维·服务器
虹科数字化与AR1 小时前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
_oP_i1 小时前
.NET Core 项目配置到 Jenkins
运维·jenkins·.netcore
weixin_437398211 小时前
Linux扩展——shell编程
linux·运维·服务器·bash