IPSec隧道配置案例(手动模式)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 要求• 配置IP地址、DHCP、路由、NAT• 内网可以访问公网2.2.2.2• 配置IPsec VPN• PC1能直接访问PC2• 抓包验证数据是否加密

IPSec有点难需要掌握他的逻辑及框架然后就简单了

网络攻城狮眼里的烟花!

image.png

IPSec VPN

配置案例

要求

  • 配置IP地址、DHCP、路由、NAT
  • 内网可以访问公网2.2.2.2
  • 配置IPsec VPN
  • PC1能直接访问PC2
  • 抓包验证数据是否加密

拓扑

image.png

配置

基础配置

青海分部IP地址、DHCP、NAT、路由

sys
sys QH
dhcp enable
acl 2000
rule permit so 192.168.10.0 0.0.0.255
int g0/0/0
ip add 192.168.10.254 24
dhcp sel int
int g0/0/1
ip add 12.0.0.1 24
nat outbound 2000
ip route-s 0.0.0.0 0 12.0.0.2

上海总部IP地址、DHCP、NAT、路由

sys
sys SH
dhcp enable
acl 2000
rule permit so 192.168.20.0 0.0.0.255
int g0/0/1
ip add 192.168.20.254 24
dhcp sel int
int g0/0/0
ip add 23.0.0.3 24
nat outbound 2000
ip route-s 0.0.0.0 0 23.0.0.2

ISP公网

sys
sys ISP
int g0/0/0
ip add 12.0.0.2 24
int g0/0/1
ip add 23.0.0.2 24
int lo 2 
ip add  2.2.2.2 32

PC1

image.png

PC2

image.png

IPSec VPN配置

青海分部

感兴趣流
acl 3000  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
提议:
ipsec proposal QH2SH
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256
 策略:
ipsec policy QH2SH 1 manual
 security acl 3000
 proposal QH2SH
 tunnel local 12.0.0.1
 tunnel remote 23.0.0.3
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei123
 sa spi outbound esp 12345
 sa string-key outbound esp cipher huawei123
 调用:
 ipsec policy QH2SH

上海总部

感兴趣流:
acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
提议:
ipsec proposal SH2QH
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256
 策略:
ipsec policy SH2QH 1 manual
 security acl 3000
 proposal SH2QH
 tunnel local 23.0.0.3
 tunnel remote 12.0.0.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei123
 sa spi outbound esp 12345
 sa string-key outbound esp cipher huawei123
 调用:
 ipsec policy SH2QH

配置完成后发现PC1、PC2ping公网能通,PC1与PC2之间ping不通。

image.png

image.png

分析原因

原因:公网出口的NAT策略与IPSec的感兴趣流冲突

关闭公网接口上的NAT策略

image.png

image.png

image.png

发现两PCping不通公网,IPSec VPN 没有一点问题。

解决方法

1、改IPSec上的感兴趣流

2、更改出口上的NAT策略

方案一:改IPSec上的感兴趣流

青海分部

acl number 3000  
 rule 5 permit ip source 12.0.0.1 0.0.0.255 destination192.168.20.0 0.0.0.255 

上海分部

acl number 3000  
 rule 5 permit ip source 23.0.0.0 0.0.0.255 destination192.168.10.0 0.0.0.255 

image.png

image.png

ESP加密了数据包

image.png

image.png

方案一:更改出口上的NAT策略

青海分部

acl 3001  
 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
 rule permit ip source any

上海分部

acl 3001  
 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 rule permit ip source any

重新建ACL3001应用在公网出口上

image.png

image.png

image.png

IPSec VPN

IPSec:Internet Protocol Security

• 源于IPv6

• IETF制定的一套安全保密性能框架

• 建立在网络层的安全保障机制

• 引入多种加密算法、验证算法和密钥管理机制

• 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点

• IPSec VPN是利用IPSec隧道建立的VPN技术

image.png

IPSec 核心功能

image.png

image.png

IPSec 技术框架

image.png

image.png

IPSec安全协议

image.png

image.png

IPSec封装模式

image.png


image.png 传输模式封装结构image.png

隧道模式封装结构

image.png

image.png

image.png

安全联盟

SA(Security Association)

• 顾名思义,通信双方结成盟友,相互信任亲密无间,即达成约定

• 由一个(SPI,IP目的地址,安全协议号)三元组唯一标识

• 决定了对报文进行何种处理:模式、协议、算法、密钥、生存周期等

• 每个IPSec SA都是单向的

• 可以手工建立或通过IKE协商生成

• SPD(Security Policy Database)

• SAD(Security Association Database)

image.png

image.png

image.png

IKE

IKE:Internet Key Exchange,因特网密钥交换

• 基于UDP(端口号500)的应用层协议,可为数据加密提供所需的密钥

• 使用DH算法,在不安全的网络上安全地分发密钥,验证身份

• 定时更新SA和密钥,实现完善的前向安全性

• 允许IPSec提供抗重播服务

• 简化IPSec的使用和管理,大大简化了IPSec的配置和维护工作

image.png

image.png

IPSec配置

image.png

ipsec proposal shanghai

encapsulation-mode tunnel

transform esp

创建并配置IPSec提议。

配置报文的封装模式。

配置隧道采用的安全协议。

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

display ipsec proposal

配置ESP协议使用的认证算法。

配置ESP加密算法。

验证IPSec提议配置。

ipsec policy P1 10 manual

security acl 3000

创建并配置IPSec策略(手动)。

配置引用的ACL。

proposal shanghai

配置引用的提议。

tunnel local 12.0.0.2

tunnel remote 13.0.0.3

配置安全隧道的本端地址。

配置安全隧道的对端地址。

配置SA的SPI。

sa spi inbound/outbound esp 12345

入方向和出方向都必须设置,并且双方的必须相互对应。

sa string-key

配置SA的认证密钥。

inbound/outbound esp cipher wakin

入方向和出方向都必须设置,并且

双方的必须相互对应。

display ipsec policy

验证IPSec手动策略配置。

ike proposal 10

创建并配置IKE提议。

authentication-method pre-share

authentication-algorithm sha2-256

encryption-algorithm aes-cbc-256

配置身份认证方式。

配置数据认证算法。

配置加密算法。

dh group14

配置密钥交换算法。

display ike proposal

验证IKE提议。

ike peer shanghai v1

创建并配置IKE对等体。

exchange-mode main/aggressive

pre-shared-key cipher huawei

ike-proposal 10

配置PSK。

配置引用的IKE提议。

local-address 12.0.0.1

remote-address 23.0.0.3

配置本地IP地址。

配置对端IP地址。

ipsec policy P2 10 isakmp

security acl 3000

proposal 10

创建并配置IPSec策略(自动)。

配置引用的ACL。

配置引用的IPSec提议。

ike-peer shanghai

配置引用的IKE对等体。

ipsec policy P1/P2

display ike/ipsec sa

在接口上应用指定的安全策略组。

验证安全联盟。

手工方式

image.png

image.png


相关文章
|
6月前
|
缓存 安全 数据安全/隐私保护
代理,网关和隧道是干什么的?
代理,网关和隧道是干什么的?
110 0
|
Kubernetes Linux 网络虚拟化
Softether-VPN 拆分隧道
去除 Softether VPN 拆分隧道功能,可用于中小型企业的 VPN 管理
4263 0
|
3月前
|
安全 算法 网络安全
案例 | 防火墙华为与Fortine对接,以ISAKMP方式建立IPSec隧道。
案例 | 防火墙华为与Fortine对接,以ISAKMP方式建立IPSec隧道。
|
6月前
|
安全 算法 网络安全
IPSec VPN配置实验
IPSec VPN配置实验
136 7
|
缓存 安全 网络安全
详解通信数据转发程序:代理、网关、隧道
1.代理 代理服务器的基本行为就是接收客户端发送的请求后转发给其他服务器 持有资源实体的服务器被称为源服务器。从源服务器返回的响应经过代理服务器后再传给客户端 每次通过代理服务器转发请求或响应时,会追加写入Via首部信息🎶
213 2
详解通信数据转发程序:代理、网关、隧道
|
安全 算法 网络安全
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道(上)
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道(上)
|
安全 网络安全 网络虚拟化
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道(下)
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道
IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道(下)
|
安全 网络安全 网络虚拟化
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
GRE和IPsec搭配使用,到底是谁over谁?先看GRE over IPsec
|
安全 算法 网络安全
IPSec VPN基本原理及案例(上)
IPSec VPN基本原理及案例
846 0
IPSec VPN基本原理及案例(上)
|
安全 网络安全 数据安全/隐私保护
IPSec VPN基本原理及案例(下)
IPSec VPN基本原理及案例(下)
192 0
IPSec VPN基本原理及案例(下)