前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案,但是我们也发现这种新技术对设备的能力有要求,成本可能会提升。那能不能用简单一点的方案呢?相信机智的小伙伴已经发现我前几天的IPsec的RFC文档,那么今天就用IPsec来操练一下吧。
实验原型借鉴H3C典型配置“采用手工方式建立保护IPv4报文的IPsec隧道”,https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983。
组网需求
在RT1和RT2之间建立一条IPsec隧道,对PCA所在的子网(192.168.1.0/24)与PCB所在的子网(192.168.2.0/24)之间的数据流进行安全保护。具体要求如下:
封装形式为隧道模式。
安全协议采用ESP协议。
加密算法采用128位的AES,认证算法采用HMAC-SHA1。
手工方式建立IPsec SA。
组网图
设备配置
IPsec是一个基础实验,结合配置任务和RFC2401的要求我们可以发现,IPsec的主要配置任务包括以下几点:
1、配置IPsec保护的数据流量。一般也称为感兴趣流,用ACL来进行匹配;
2、配置IPsec安全提议。指定对IP报文的封装形式为传输模式或隧道模式,选择安全协议为AH或ESP、并配置加密算法及认证算法。
3、配置IPsec安全策略。包含配置应用感兴趣流,应用IPsec安全提议,指定IPsec隧道地址,配置安全协议的SPI(Security Parameter Index,安全参数索引)和SA(Security Association,安全联盟)密钥。
4、在接口上应用IPsec安全策略。
上面流程了解之后,直接贴出设备配置。
RT1
# interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet0/1 ip address 12.1.1.1 255.255.255.0 nat outbound 3401 ipsec apply policy ipsec # ip route-static 23.1.1.0 24 12.1.1.2 ip route-static 192.168.2.0 24 12.1.1.2 # acl advanced 3400 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # acl advanced 3401 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 5 permit ip # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 # ipsec policy ipsec 10 manual transform-set tran1 security acl 3400 remote-address 23.1.1.3 sa spi inbound esp 123456 sa string-key inbound esp simple qwer sa spi outbound esp 654321 sa string-key outbound esp simple asdf
RT2
# interface GigabitEthernet0/0 ip address 192.168.2.1 255.255.255.0 # interface GigabitEthernet0/1 ip address 23.1.1.3 255.255.255.0 nat outbound 3401 ipsec apply policy ipsec # ip route-static 12.1.1.0 24 23.1.1.2 ip route-static 192.168.1.0 24 23.1.1.2 # acl advanced 3400 rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # acl advanced 3401 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 5 permit ip # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 # ipsec policy ipsec 10 manual transform-set tran1 security acl 3400 remote-address 12.1.1.1 sa spi inbound esp 654321 sa string-key inbound esp simple asdf sa spi outbound esp 123456 sa string-key outbound esp simple qwer
RT-ISP
# interface GigabitEthernet0/0 ip address 12.1.1.2 255.255.255.0 # interface GigabitEthernet0/1 ip address 23.1.1.2 255.255.255.0
验证配置
验证设备
查看RT1上IPsec安全策略的信息
display ipsec policy