IPsec小实验：手工方式建立保护IPv4报文的IPsec-ESP隧道（上）

2023-02-24 216

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： IPsec小实验：手工方式建立保护IPv4报文的IPsec-ESP隧道

前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案，但是我们也发现这种新技术对设备的能力有要求，成本可能会提升。那能不能用简单一点的方案呢？相信机智的小伙伴已经发现我前几天的IPsec的RFC文档，那么今天就用IPsec来操练一下吧。

实验原型借鉴H3C典型配置“采用手工方式建立保护IPv4报文的IPsec隧道”，https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983。

组网需求

在RT1和RT2之间建立一条IPsec隧道，对PCA所在的子网（192.168.1.0/24）与PCB所在的子网（192.168.2.0/24）之间的数据流进行安全保护。具体要求如下：

封装形式为隧道模式。

安全协议采用ESP协议。

加密算法采用128位的AES，认证算法采用HMAC-SHA1。

手工方式建立IPsec SA。

组网图

设备配置

IPsec是一个基础实验，结合配置任务和RFC2401的要求我们可以发现，IPsec的主要配置任务包括以下几点：

1、配置IPsec保护的数据流量。一般也称为感兴趣流，用ACL来进行匹配；

2、配置IPsec安全提议。指定对IP报文的封装形式为传输模式或隧道模式，选择安全协议为AH或ESP、并配置加密算法及认证算法。

3、配置IPsec安全策略。包含配置应用感兴趣流，应用IPsec安全提议，指定IPsec隧道地址，配置安全协议的SPI（Security Parameter Index，安全参数索引）和SA（Security Association，安全联盟）密钥。

4、在接口上应用IPsec安全策略。

上面流程了解之后，直接贴出设备配置。

RT1

#
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/1
ip address 12.1.1.1 255.255.255.0
 nat outbound 3401
 ipsec apply policy ipsec
#
 ip route-static 23.1.1.0 24 12.1.1.2
 ip route-static 192.168.2.0 24 12.1.1.2
#
acl advanced 3400
 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
acl advanced 3401
 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 5 permit ip
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec policy ipsec 10 manual
 transform-set tran1
 security acl 3400
 remote-address 23.1.1.3
sa spi inbound esp 123456
 sa string-key inbound esp simple qwer
 sa spi outbound esp 654321
 sa string-key outbound esp  simple asdf

RT2

#
interface GigabitEthernet0/0
 ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet0/1
 ip address 23.1.1.3 255.255.255.0
 nat outbound 3401
 ipsec apply policy ipsec
#
 ip route-static 12.1.1.0 24 23.1.1.2
 ip route-static 192.168.1.0 24 23.1.1.2
#
acl advanced 3400
 rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
acl advanced 3401
 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
 rule 5 permit ip
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec policy ipsec 10 manual
 transform-set tran1
 security acl 3400
 remote-address 12.1.1.1
 sa spi inbound esp 654321
 sa string-key inbound esp simple asdf
 sa spi outbound esp 123456
 sa string-key outbound esp simple qwer

RT-ISP

#
interface GigabitEthernet0/0
ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/1
ip address 23.1.1.2 255.255.255.0

验证配置

验证设备

查看RT1上IPsec安全策略的信息

display ipsec policy

IPsec小实验：手工方式建立保护IPv4报文的IPsec-ESP隧道（上）

组网需求

组网图

设备配置

RT1

RT2

RT-ISP

验证配置

验证设备

热门文章

最新文章

相关课程

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

IPsec小实验：手工方式建立保护IPv4报文的IPsec-ESP隧道（上）

组网需求

组网图

设备配置

RT1

RT2

RT-ISP

验证配置

验证设备

热门文章

最新文章

相关课程

相关电子书