IPsec VPN配置实验（固定地址）

实验需求

基础配置

[配置第一阶段 IKE SA](#配置第一阶段 IKE SA)

[配置第二阶段 IPsec SA](#配置第二阶段 IPsec SA)

测试结果

[清除IKE / IPsec SA命令](#清除IKE / IPsec SA命令)

注意

就是IPsec的实验配置的话，它们两端的IP地址是固定 的

那么就用第一阶段的主模式（Main Mode）

和第二阶段的快速模式（Quick Mode）

后面会有一个地址不固定的情况下，这个就需要用到野蛮模式的，也就是第一阶段模式会改变

实验需求

R1为企业总部网关，R3为企业分部网关，分部与总部通过公网建立通信。总部子网为100.1.12.0/24，分部子网为100.1.23.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信，可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

实验拓扑图：

IPsec VPN 本质：阶段一保护阶段二阶段二保护数据

配置思路

基础配置, 配置接口的IP地址和到对端的静态路由，保证两端路由可达。

1）第一阶段 IKE SA

① 配置IKE安全提议，定义IKE保护数据流方法

② 配置IKE对等体，定义对等体间IKE协商时的属性

2）第二阶段 IPsec SA

① 配置ACL，以定义需要IPSec保护的数据流

② 配置IPSec安全提议，定义IPSec的保护方法

③ 配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法

3）在接口上应用安全策略组，使接口具有IPSec的保护功能

基础配置

$R1$ int g0/0/0
$R1-GigabitEthernet0/0/0$ ip add 100.1.12.1 24
$R1-GigabitEthernet0/0/0$ int g0/0/1
$R1-GigabitEthernet0/0/1$ ip add 192.168.1.254 24

$R1$ ip route-static 0.0.0.0 0.0.0.0 100.1.12.2##配置默认路由指向ISP_R2运营商，实现公网可达

R2_ISP

$R2_ISP$ int g0/0/0
$R2_ISP-GigabitEthernet0/0/0$ ip add 100.1.12.2 24
$R2_ISP-GigabitEthernet0/0/0$ int g0/0/1
$R2_ISP-GigabitEthernet0/0/1$ ip add 100.1.23.2 24

R3]int g0/0/0

$R3-GigabitEthernet0/0/0$ ip add 100.1.23.1 24

$R3-GigabitEthernet0/0/0$ int g0/0/1

$R3-GigabitEthernet0/0/1$ ip add 192.168.2.254 24

$R3-GigabitEthernet0/0/1$ q

$R3$ ip route-static 0.0.0.0 0.0.0.0 100.1.23.2

配置第一阶段 IKE SA

协商出IKE SA ，对第二阶段IPsecSA的协商过程做保护

$R1$ ike proposal 1 ## 配置R1的IKE安全提议，名字为 1

$R1-ike-proposal-1$ encryption-algorithm 3des-cbc ## 加密算法

$R1-ike-proposal-1$ authentication-algorithm md5 ## 认证算法

$R1-ike-proposal-1$ dh group5 ## dh组5

$R1-ike-proposal-1$ q

配置IKEv1对等体，名字为 1，配置预共享密钥和对端ID

$R1$ ike peer 1 v1 ## 版本要一致

$R1-ike-peer-1$ ike-proposal 1 ## 关联IKE的安全提议

$R1-ike-peer-1$ pre-shared-key simple 110 ## 预共享密钥也要一致

$R1-ike-peer-1$ remote-address 100.1.23.1 ## 配置对端地址
$R3$ ike proposal 1

$R3-ike-proposal-1$ encryption-algorithm 3d

$R3-ike-proposal-1$ encryption-algorithm 3des-cbc

$R3-ike-proposal-1$ authentication-algorithm md5

$R3-ike-proposal-1$ dh group5

$R3-ike-proposal-1$ q

$R3$ ike peer 1 v1

$R3-ike-peer-1$ ike-proposal 1

$R3-ike-peer-1$ pre-shared-key simple 110

$R3-ike-peer-1$ remote-address 100.1.12.1

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

##配置高级ACL，匹配子网192.168.1.0/24去子网192.168.2.0/24的数据

$R1$ acl 3000

$R1-acl-adv-3000$ rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.1

68.2.0 0.0.0.255

$R1-acl-adv-3000$ q

配置IPSec安全提议，命名为 1

$R1$ ipsec proposal 1

$R1-ipsec-proposal-1$ esp encryption-algorithm 3des ## 采用ESP加密封装

$R1-ipsec-proposal-1$ esp authentication-algorithm md5 ## 采用ESP认证

$R1-ipsec-proposal-1$ encapsulation-mode tunnel ## 传输模式为隧道模式

$R1-ipsec-proposal-1$ q

配置IKE协商方式安全策略，命名为 aaa 优先级为 1

$R1$ ipsec policy aaa 1 isakmp

$R1-ipsec-policy-isakmp-aaa-1$ ike-peer 1 ## 关联IKE的对等体

$R1-ipsec-policy-isakmp-aaa-1$ proposal 1 ## 关联IPsec 安全提议

$R1-ipsec-policy-isakmp-aaa-1$ security acl 3000 ## 匹配需要保护的ACL数据流

$R1-ipsec-policy-isakmp-aaa-1$ q

接口上调用安全策略组

$R1$ int g0/0/0

$R1-GigabitEthernet0/0/0$ ipsec policy aaa ## 调用策略aaa
$R3$ acl 3000

$R3-acl-adv-3000$ rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.

168.1.0 0.0.0.255

$R3-acl-adv-3000$ q

$R3$ ipsec proposal 1

$R3-ipsec-proposal-1$ encapsulation-mode tunnel

$R3-ipsec-proposal-1$ esp authentication-algorithm md5

$R3-ipsec-proposal-1$ esp encryption-algorithm 3des

$R3-ipsec-proposal-1$ q

$R3$ ipsec policy aaa 1 isakmp

$R3-ipsec-policy-isakmp-aaa-1$ ike-peer 1

$R3-ipsec-policy-isakmp-aaa-1$ proposal 1

$R3-ipsec-policy-isakmp-aaa-1$ security acl 3000

$R3-ipsec-policy-isakmp-aaa-1$ q

$R3$ int g0/0/0

$R3-GigabitEthernet0/0/0$ ipsec policy aaa

测试结果

查看基本命令

查看IKE SA 的基本信息

查看IPSEC SA 的基本信息

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后，我们想修改一些东西的时候，需要把SA清除干净，这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效