目录
[配置第一阶段 IKE SA](#配置第一阶段 IKE SA)
[配置第二阶段 IPsec SA](#配置第二阶段 IPsec SA)
[清除IKE / IPsec SA命令](#清除IKE / IPsec SA命令)
注意
就是IPsec的实验配置的话,它们两端的IP地址是固定 的
那么就用第一阶段的主模式(Main Mode)
和第二阶段的快速模式(Quick Mode)
后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段模式会改变
实验需求
R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。总部子网为100.1.12.0/24,分部子网为100.1.23.0/24。
企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
实验拓扑图:
IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据
配置思路
基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。
1)第一阶段 IKE SA
① 配置IKE安全提议,定义IKE保护数据流方法
② 配置IKE对等体,定义对等体间IKE协商时的属性
2)第二阶段 IPsec SA
① 配置ACL,以定义需要IPSec保护的数据流
② 配置IPSec安全提议,定义IPSec的保护方法
③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法
3)在接口上应用安全策略组,使接口具有IPSec的保护功能
基础配置
R1
**[R1]int g0/0/0
R1-GigabitEthernet0/0/0\]ip add 100.1.12.1 24 \[R1-GigabitEthernet0/0/0\]int g0/0/1 \[R1-GigabitEthernet0/0/1\]ip add 192.168.1.254 24** **\[R1\]ip route-static 0.0.0.0 0.0.0.0 100.1.12.2**##配置默认路由指向ISP_R2运营商,实现公网可达
R2_ISP
**[R2_ISP]int g0/0/0
R2_ISP-GigabitEthernet0/0/0\]ip add 100.1.12.2 24 \[R2_ISP-GigabitEthernet0/0/0\]int g0/0/1 \[R2_ISP-GigabitEthernet0/0/1\]ip add 100.1.23.2 24**
R3
R3]int g0/0/0
R3-GigabitEthernet0/0/0\]ip add 100.1.23.1 24 \[R3-GigabitEthernet0/0/0\]int g0/0/1 \[R3-GigabitEthernet0/0/1\]ip add 192.168.2.254 24 \[R3-GigabitEthernet0/0/1\]q \[R3\]ip route-static 0.0.0.0 0.0.0.0 100.1.23.2
配置第一阶段 IKE SA
协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护
R1\]ike proposal 1 ## 配置R1的IKE安全提议 ,名字为 1 \[R1-ike-proposal-1\]encryption-algorithm 3des-cbc ## 加密算法 \[R1-ike-proposal-1\]authentication-algorithm md5 ## 认证算法 \[R1-ike-proposal-1\]dh group5 ## dh组5 \[R1-ike-proposal-1\]q ## 配置IKEv1对等体,名字为 1,配置预共享密钥和对端ID \[R1\]ike peer 1 v1 ## 版本要一致 \[R1-ike-peer-1\]ike-proposal 1 ## 关联IKE的安全提议 \[R1-ike-peer-1\]pre-shared-key simple 110 ## 预共享密钥也要一致 \[R1-ike-peer-1\]remote-address 100.1.23.1 ## 配置对端地址 \[R3\]ike proposal 1 \[R3-ike-proposal-1\]encryption-algorithm 3d \[R3-ike-proposal-1\]encryption-algorithm 3des-cbc \[R3-ike-proposal-1\]authentication-algorithm md5 \[R3-ike-proposal-1\]dh group5 \[R3-ike-proposal-1\]q \[R3\]ike peer 1 v1 \[R3-ike-peer-1\]ike-proposal 1 \[R3-ike-peer-1\]pre-shared-key simple 110 \[R3-ike-peer-1\]remote-address 100.1.12.1
配置第二阶段 IPsec SA
在阶段1建立的IKE SA的保护下完成IPSec SA的协商
##配置高级ACL,匹配子网192.168.1.0/24去子网192.168.2.0/24的数据
R1\]acl 3000 \[R1-acl-adv-3000\]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.1 68.2.0 0.0.0.255 \[R1-acl-adv-3000\]q ## 配置IPSec安全提议,命名为 1 \[R1\]ipsec proposal 1 \[R1-ipsec-proposal-1\]esp encryption-algorithm 3des ## 采用ESP加密封装 \[R1-ipsec-proposal-1\]esp authentication-algorithm md5 ## 采用ESP认证 \[R1-ipsec-proposal-1\]encapsulation-mode tunnel ## 传输模式为隧道模式 \[R1-ipsec-proposal-1\]q ## 配置IKE协商方式安全策略,命名为 aaa 优先级为 1 \[R1\]ipsec policy aaa 1 isakmp \[R1-ipsec-policy-isakmp-aaa-1\]ike-peer 1 ## 关联IKE的对等体 \[R1-ipsec-policy-isakmp-aaa-1\]proposal 1 ## 关联IPsec 安全提议 \[R1-ipsec-policy-isakmp-aaa-1\]security acl 3000 ## 匹配需要保护的ACL数据流 \[R1-ipsec-policy-isakmp-aaa-1\]q ## 接口上调用安全策略组 \[R1\]int g0/0/0 \[R1-GigabitEthernet0/0/0\]ipsec policy aaa ## 调用策略aaa \[R3\]acl 3000 \[R3-acl-adv-3000\]rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192. 168.1.0 0.0.0.255 \[R3-acl-adv-3000\]q \[R3\]ipsec proposal 1 \[R3-ipsec-proposal-1\]encapsulation-mode tunnel \[R3-ipsec-proposal-1\]esp authentication-algorithm md5 \[R3-ipsec-proposal-1\]esp encryption-algorithm 3des \[R3-ipsec-proposal-1\]q \[R3\]ipsec policy aaa 1 isakmp \[R3-ipsec-policy-isakmp-aaa-1\]ike-peer 1 \[R3-ipsec-policy-isakmp-aaa-1\]proposal 1 \[R3-ipsec-policy-isakmp-aaa-1\]security acl 3000 \[R3-ipsec-policy-isakmp-aaa-1\]q \[R3\]int g0/0/0 \[R3-GigabitEthernet0/0/0\]ipsec policy aaa
测试结果
查看基本命令
查看IKE SA 的基本信息
查看IPSEC SA 的基本信息
清除IKE / IPsec SA命令
在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
