IPsec VPN配置实验(固定地址)

目录

实验需求

基础配置

[配置第一阶段 IKE SA](#配置第一阶段 IKE SA)

[配置第二阶段 IPsec SA](#配置第二阶段 IPsec SA)

测试结果

[清除IKE / IPsec SA命令](#清除IKE / IPsec SA命令)


注意

就是IPsec的实验配置的话,它们两端的IP地址是固定

那么就用第一阶段的主模式(Main Mode)

和第二阶段的快速模式(Quick Mode)

后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段模式会改变

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。总部子网为100.1.12.0/24,分部子网为100.1.23.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

实验拓扑图:

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置思路

基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

1)第一阶段 IKE SA

① 配置IKE安全提议,定义IKE保护数据流方法

② 配置IKE对等体,定义对等体间IKE协商时的属性

2)第二阶段 IPsec SA

① 配置ACL,以定义需要IPSec保护的数据流

② 配置IPSec安全提议,定义IPSec的保护方法

③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

3)在接口上应用安全策略组,使接口具有IPSec的保护功能

基础配置

R1

R1int g0/0/0
R1-GigabitEthernet0/0/0ip add 100.1.12.1 24
R1-GigabitEthernet0/0/0int g0/0/1
R1-GigabitEthernet0/0/1ip add 192.168.1.254 24

R1ip route-static 0.0.0.0 0.0.0.0 100.1.12.2##配置默认路由指向ISP_R2运营商,实现公网可达

R2_ISP

R2_ISPint g0/0/0
R2_ISP-GigabitEthernet0/0/0ip add 100.1.12.2 24
R2_ISP-GigabitEthernet0/0/0int g0/0/1
R2_ISP-GigabitEthernet0/0/1ip add 100.1.23.2 24

R3

R3]int g0/0/0

R3-GigabitEthernet0/0/0ip add 100.1.23.1 24

R3-GigabitEthernet0/0/0int g0/0/1

R3-GigabitEthernet0/0/1ip add 192.168.2.254 24

R3-GigabitEthernet0/0/1q

R3ip route-static 0.0.0.0 0.0.0.0 100.1.23.2

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

R1ike proposal 1 ## 配置R1的IKE安全提议 ,名字为 1

R1-ike-proposal-1encryption-algorithm 3des-cbc ## 加密算法

R1-ike-proposal-1authentication-algorithm md5 ## 认证算法

R1-ike-proposal-1dh group5 ## dh组5

R1-ike-proposal-1q

配置IKEv1对等体,名字为 1,配置预共享密钥和对端ID

R1ike peer 1 v1 ## 版本要一致

R1-ike-peer-1ike-proposal 1 ## 关联IKE的安全提议

R1-ike-peer-1pre-shared-key simple 110 ## 预共享密钥也要一致

R1-ike-peer-1remote-address 100.1.23.1 ## 配置对端地址
R3ike proposal 1

R3-ike-proposal-1encryption-algorithm 3d

R3-ike-proposal-1encryption-algorithm 3des-cbc

R3-ike-proposal-1authentication-algorithm md5

R3-ike-proposal-1dh group5

R3-ike-proposal-1q

R3ike peer 1 v1

R3-ike-peer-1ike-proposal 1

R3-ike-peer-1pre-shared-key simple 110

R3-ike-peer-1remote-address 100.1.12.1

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

##配置高级ACL,匹配子网192.168.1.0/24去子网192.168.2.0/24的数据

R1acl 3000

R1-acl-adv-3000rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.1

68.2.0 0.0.0.255

R1-acl-adv-3000q

配置IPSec安全提议,命名为 1

R1ipsec proposal 1

R1-ipsec-proposal-1esp encryption-algorithm 3des ## 采用ESP加密封装

R1-ipsec-proposal-1esp authentication-algorithm md5 ## 采用ESP认证

R1-ipsec-proposal-1encapsulation-mode tunnel ## 传输模式为隧道模式

R1-ipsec-proposal-1q

配置IKE协商方式安全策略,命名为 aaa 优先级为 1

R1ipsec policy aaa 1 isakmp

R1-ipsec-policy-isakmp-aaa-1ike-peer 1 ## 关联IKE的对等体

R1-ipsec-policy-isakmp-aaa-1proposal 1 ## 关联IPsec 安全提议

R1-ipsec-policy-isakmp-aaa-1security acl 3000 ## 匹配需要保护的ACL数据流

R1-ipsec-policy-isakmp-aaa-1q

接口上调用安全策略组

R1int g0/0/0

R1-GigabitEthernet0/0/0ipsec policy aaa ## 调用策略aaa
R3acl 3000

R3-acl-adv-3000rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.

168.1.0 0.0.0.255

R3-acl-adv-3000q

R3ipsec proposal 1

R3-ipsec-proposal-1encapsulation-mode tunnel

R3-ipsec-proposal-1esp authentication-algorithm md5

R3-ipsec-proposal-1esp encryption-algorithm 3des

R3-ipsec-proposal-1q

R3ipsec policy aaa 1 isakmp

R3-ipsec-policy-isakmp-aaa-1ike-peer 1

R3-ipsec-policy-isakmp-aaa-1proposal 1

R3-ipsec-policy-isakmp-aaa-1security acl 3000

R3-ipsec-policy-isakmp-aaa-1q

R3int g0/0/0

R3-GigabitEthernet0/0/0ipsec policy aaa

测试结果

查看基本命令

查看IKE SA 的基本信息

查看IPSEC SA 的基本信息

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效

相关推荐
DianSan_ERP20 分钟前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
阿成学长_Cain37 分钟前
Linux ipcs 命令超全详解:查看共享内存 / 消息队列 / 信号量,IPC 运维必备
linux·运维·服务器·网络·数据库
青瓦梦滋1 小时前
协议定制/序列化-反序列化(Linux视角)
linux·服务器·网络·c++
驭渊的小故事5 小时前
网络原理01(两千字解析)
网络
KaMeidebaby7 小时前
卡梅德生物技术快报|小 RNA 适配体合成 + 多方法亲和力表征全流程标准化操作手册
前端·网络·数据库·人工智能·算法
阿成学长_Cain9 小时前
Linux telinit 命令详解:运行级别切换|关机重启|系统维护一站式掌握
linux·运维·前端·网络
skd89999 小时前
万能查任意网络设备IP工具
服务器·网络·tcp/ip
NiceCloud喜云10 小时前
Anthropic 一周三连发:Cowork 多端、Fable 5 按需付费、J-space 论文的技术解读
java·服务器·网络·人工智能·ai
门思科技10 小时前
TKL + EB:重新定义 LoRaWAN 在存量设备改造中的价值,让传统设备快速接入物联网
网络·物联网
hai31524754311 小时前
九章芯片电路集成体系:密度矩阵逆向·全域均衡网络计算总框架
网络·线性代数·矩阵