IPsec VPN配置实验(固定地址)

目录

实验需求

基础配置

[配置第一阶段 IKE SA](#配置第一阶段 IKE SA)

[配置第二阶段 IPsec SA](#配置第二阶段 IPsec SA)

测试结果

[清除IKE / IPsec SA命令](#清除IKE / IPsec SA命令)


注意

就是IPsec的实验配置的话,它们两端的IP地址是固定

那么就用第一阶段的主模式(Main Mode)

和第二阶段的快速模式(Quick Mode)

后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段模式会改变

实验需求

R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。总部子网为100.1.12.0/24,分部子网为100.1.23.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

实验拓扑图:

IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据

配置思路

基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。

1)第一阶段 IKE SA

① 配置IKE安全提议,定义IKE保护数据流方法

② 配置IKE对等体,定义对等体间IKE协商时的属性

2)第二阶段 IPsec SA

① 配置ACL,以定义需要IPSec保护的数据流

② 配置IPSec安全提议,定义IPSec的保护方法

③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法

3)在接口上应用安全策略组,使接口具有IPSec的保护功能

基础配置

R1

**[R1]int g0/0/0

R1-GigabitEthernet0/0/0\]ip add 100.1.12.1 24 \[R1-GigabitEthernet0/0/0\]int g0/0/1 \[R1-GigabitEthernet0/0/1\]ip add 192.168.1.254 24** **\[R1\]ip route-static 0.0.0.0 0.0.0.0 100.1.12.2**##配置默认路由指向ISP_R2运营商,实现公网可达

R2_ISP

**[R2_ISP]int g0/0/0

R2_ISP-GigabitEthernet0/0/0\]ip add 100.1.12.2 24 \[R2_ISP-GigabitEthernet0/0/0\]int g0/0/1 \[R2_ISP-GigabitEthernet0/0/1\]ip add 100.1.23.2 24**

R3

R3]int g0/0/0

R3-GigabitEthernet0/0/0\]ip add 100.1.23.1 24 \[R3-GigabitEthernet0/0/0\]int g0/0/1 \[R3-GigabitEthernet0/0/1\]ip add 192.168.2.254 24 \[R3-GigabitEthernet0/0/1\]q \[R3\]ip route-static 0.0.0.0 0.0.0.0 100.1.23.2

配置第一阶段 IKE SA

协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护

R1\]ike proposal 1 ## 配置R1的IKE安全提议 ,名字为 1 \[R1-ike-proposal-1\]encryption-algorithm 3des-cbc ## 加密算法 \[R1-ike-proposal-1\]authentication-algorithm md5 ## 认证算法 \[R1-ike-proposal-1\]dh group5 ## dh组5 \[R1-ike-proposal-1\]q ## 配置IKEv1对等体,名字为 1,配置预共享密钥和对端ID \[R1\]ike peer 1 v1 ## 版本要一致 \[R1-ike-peer-1\]ike-proposal 1 ## 关联IKE的安全提议 \[R1-ike-peer-1\]pre-shared-key simple 110 ## 预共享密钥也要一致 \[R1-ike-peer-1\]remote-address 100.1.23.1 ## 配置对端地址 \[R3\]ike proposal 1 \[R3-ike-proposal-1\]encryption-algorithm 3d \[R3-ike-proposal-1\]encryption-algorithm 3des-cbc \[R3-ike-proposal-1\]authentication-algorithm md5 \[R3-ike-proposal-1\]dh group5 \[R3-ike-proposal-1\]q \[R3\]ike peer 1 v1 \[R3-ike-peer-1\]ike-proposal 1 \[R3-ike-peer-1\]pre-shared-key simple 110 \[R3-ike-peer-1\]remote-address 100.1.12.1

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

##配置高级ACL,匹配子网192.168.1.0/24去子网192.168.2.0/24的数据

R1\]acl 3000 \[R1-acl-adv-3000\]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.1 68.2.0 0.0.0.255 \[R1-acl-adv-3000\]q ## 配置IPSec安全提议,命名为 1 \[R1\]ipsec proposal 1 \[R1-ipsec-proposal-1\]esp encryption-algorithm 3des ## 采用ESP加密封装 \[R1-ipsec-proposal-1\]esp authentication-algorithm md5 ## 采用ESP认证 \[R1-ipsec-proposal-1\]encapsulation-mode tunnel ## 传输模式为隧道模式 \[R1-ipsec-proposal-1\]q ## 配置IKE协商方式安全策略,命名为 aaa 优先级为 1 \[R1\]ipsec policy aaa 1 isakmp \[R1-ipsec-policy-isakmp-aaa-1\]ike-peer 1 ## 关联IKE的对等体 \[R1-ipsec-policy-isakmp-aaa-1\]proposal 1 ## 关联IPsec 安全提议 \[R1-ipsec-policy-isakmp-aaa-1\]security acl 3000 ## 匹配需要保护的ACL数据流 \[R1-ipsec-policy-isakmp-aaa-1\]q ## 接口上调用安全策略组 \[R1\]int g0/0/0 \[R1-GigabitEthernet0/0/0\]ipsec policy aaa ## 调用策略aaa \[R3\]acl 3000 \[R3-acl-adv-3000\]rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192. 168.1.0 0.0.0.255 \[R3-acl-adv-3000\]q \[R3\]ipsec proposal 1 \[R3-ipsec-proposal-1\]encapsulation-mode tunnel \[R3-ipsec-proposal-1\]esp authentication-algorithm md5 \[R3-ipsec-proposal-1\]esp encryption-algorithm 3des \[R3-ipsec-proposal-1\]q \[R3\]ipsec policy aaa 1 isakmp \[R3-ipsec-policy-isakmp-aaa-1\]ike-peer 1 \[R3-ipsec-policy-isakmp-aaa-1\]proposal 1 \[R3-ipsec-policy-isakmp-aaa-1\]security acl 3000 \[R3-ipsec-policy-isakmp-aaa-1\]q \[R3\]int g0/0/0 \[R3-GigabitEthernet0/0/0\]ipsec policy aaa

测试结果

查看基本命令

查看IKE SA 的基本信息

查看IPSEC SA 的基本信息

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效

相关推荐
yuzhangfeng2 小时前
【云计算物理网络】从传统网络到SDN:云计算的网络演进之路
网络·云计算
TDengine (老段)2 小时前
TDengine 中的关联查询
大数据·javascript·网络·物联网·时序数据库·tdengine·iotdb
zhu12893035563 小时前
网络安全的现状与防护措施
网络·安全·web安全
zhu12893035564 小时前
网络安全与防护策略
网络·安全·web安全
沫夕残雪4 小时前
HTTP,请求响应报头,以及抓包工具的讨论
网络·vscode·网络协议·http
π2704 小时前
爬虫:网络请求(通信)步骤,http和https协议
网络·爬虫
zhu12893035566 小时前
网络安全基础与防护策略
网络·安全·web安全
古希腊掌握嵌入式的神8 小时前
[物联网iot]对比WIFI、MQTT、TCP、UDP通信协议
网络·物联网·网络协议·tcp/ip·udp
爱写代码的小朋友8 小时前
华三交换机配置常用命令
运维·服务器·网络
半句唐诗8 小时前
设计与实现高性能安全TOKEN系统
前端·网络·安全