IPSec有点难需要掌握他的逻辑及框架然后就简单了
网络攻城狮眼里的烟花!
IPSec VPN
配置案例
要求
- 配置IP地址、DHCP、路由、NAT
- 内网可以访问公网2.2.2.2
- 配置IPsec VPN
- PC1能直接访问PC2
- 抓包验证数据是否加密
拓扑
配置
基础配置
青海分部IP地址、DHCP、NAT、路由
sys sys QH dhcp enable acl 2000 rule permit so 192.168.10.0 0.0.0.255 int g0/0/0 ip add 192.168.10.254 24 dhcp sel int int g0/0/1 ip add 12.0.0.1 24 nat outbound 2000 ip route-s 0.0.0.0 0 12.0.0.2
上海总部IP地址、DHCP、NAT、路由
sys sys SH dhcp enable acl 2000 rule permit so 192.168.20.0 0.0.0.255 int g0/0/1 ip add 192.168.20.254 24 dhcp sel int int g0/0/0 ip add 23.0.0.3 24 nat outbound 2000 ip route-s 0.0.0.0 0 23.0.0.2
ISP公网
sys sys ISP int g0/0/0 ip add 12.0.0.2 24 int g0/0/1 ip add 23.0.0.2 24 int lo 2 ip add 2.2.2.2 32
PC1
PC2
IPSec VPN配置
青海分部
感兴趣流 acl 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 提议: ipsec proposal QH2SH esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 策略: ipsec policy QH2SH 1 manual security acl 3000 proposal QH2SH tunnel local 12.0.0.1 tunnel remote 23.0.0.3 sa spi inbound esp 12345 sa string-key inbound esp cipher huawei123 sa spi outbound esp 12345 sa string-key outbound esp cipher huawei123 调用: ipsec policy QH2SH
上海总部
感兴趣流: acl 3000 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 提议: ipsec proposal SH2QH esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 策略: ipsec policy SH2QH 1 manual security acl 3000 proposal SH2QH tunnel local 23.0.0.3 tunnel remote 12.0.0.1 sa spi inbound esp 12345 sa string-key inbound esp cipher huawei123 sa spi outbound esp 12345 sa string-key outbound esp cipher huawei123 调用: ipsec policy SH2QH
配置完成后发现PC1、PC2ping公网能通,PC1与PC2之间ping不通。
分析原因
原因:公网出口的NAT策略与IPSec的感兴趣流冲突
关闭公网接口上的NAT策略
发现两PCping不通公网,IPSec VPN 没有一点问题。
解决方法
1、改IPSec上的感兴趣流
2、更改出口上的NAT策略
方案一:改IPSec上的感兴趣流
青海分部
acl number 3000 rule 5 permit ip source 12.0.0.1 0.0.0.255 destination192.168.20.0 0.0.0.255
上海分部
acl number 3000 rule 5 permit ip source 23.0.0.0 0.0.0.255 destination192.168.10.0 0.0.0.255
ESP加密了数据包
方案一:更改出口上的NAT策略
青海分部
acl 3001 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule permit ip source any
上海分部
acl 3001 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule permit ip source any
重新建ACL3001应用在公网出口上
IPSec VPN
IPSec:Internet Protocol Security
• 源于IPv6
• IETF制定的一套安全保密性能框架
• 建立在网络层的安全保障机制
• 引入多种加密算法、验证算法和密钥管理机制
• 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点
• IPSec VPN是利用IPSec隧道建立的VPN技术
IPSec 核心功能
IPSec 技术框架
IPSec安全协议
IPSec封装模式
传输模式封装结构
隧道模式封装结构
安全联盟
SA(Security Association)
• 顾名思义,通信双方结成盟友,相互信任亲密无间,即达成约定
• 由一个(SPI,IP目的地址,安全协议号)三元组唯一标识
• 决定了对报文进行何种处理:模式、协议、算法、密钥、生存周期等
• 每个IPSec SA都是单向的
• 可以手工建立或通过IKE协商生成
• SPD(Security Policy Database)
• SAD(Security Association Database)
IKE
IKE:Internet Key Exchange,因特网密钥交换
• 基于UDP(端口号500)的应用层协议,可为数据加密提供所需的密钥
• 使用DH算法,在不安全的网络上安全地分发密钥,验证身份
• 定时更新SA和密钥,实现完善的前向安全性
• 允许IPSec提供抗重播服务
• 简化IPSec的使用和管理,大大简化了IPSec的配置和维护工作
IPSec配置
ipsec proposal shanghai
encapsulation-mode tunnel
transform esp
创建并配置IPSec提议。
配置报文的封装模式。
配置隧道采用的安全协议。
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
display ipsec proposal
配置ESP协议使用的认证算法。
配置ESP加密算法。
验证IPSec提议配置。
ipsec policy P1 10 manual
security acl 3000
创建并配置IPSec策略(手动)。
配置引用的ACL。
proposal shanghai
配置引用的提议。
tunnel local 12.0.0.2
tunnel remote 13.0.0.3
配置安全隧道的本端地址。
配置安全隧道的对端地址。
配置SA的SPI。
sa spi inbound/outbound esp 12345
入方向和出方向都必须设置,并且双方的必须相互对应。
sa string-key
配置SA的认证密钥。
inbound/outbound esp cipher wakin
入方向和出方向都必须设置,并且
双方的必须相互对应。
display ipsec policy
验证IPSec手动策略配置。
ike proposal 10
创建并配置IKE提议。
authentication-method pre-share
authentication-algorithm sha2-256
encryption-algorithm aes-cbc-256
配置身份认证方式。
配置数据认证算法。
配置加密算法。
dh group14
配置密钥交换算法。
display ike proposal
验证IKE提议。
ike peer shanghai v1
创建并配置IKE对等体。
exchange-mode main/aggressive
pre-shared-key cipher huawei
ike-proposal 10
配置PSK。
配置引用的IKE提议。
local-address 12.0.0.1
remote-address 23.0.0.3
配置本地IP地址。
配置对端IP地址。
ipsec policy P2 10 isakmp
security acl 3000
proposal 10
创建并配置IPSec策略(自动)。
配置引用的ACL。
配置引用的IPSec提议。
ike-peer shanghai
配置引用的IKE对等体。
ipsec policy P1/P2
display ike/ipsec sa
在接口上应用指定的安全策略组。
验证安全联盟。
手工方式
