其他分享
首页 > 其他分享> > IPSec隧道配置案例(手动模式)

IPSec隧道配置案例(手动模式)

作者:互联网

IPSec有点难需要掌握他的逻辑及框架然后就简单了

网络攻城狮眼里的烟花!

在这里插入图片描述

IPSec VPN

配置案例

要求

  • 配置IP地址、DHCP、路由、NAT
  • 内网可以访问公网2.2.2.2
  • 配置IPsec VPN
  • PC1能直接访问PC2
  • 抓包验证数据是否加密

拓扑

在这里插入图片描述

配置

基础配置

青海分部IP地址、DHCP、NAT、路由

sys
sys QH
dhcp enable

acl 2000
rule permit so 192.168.10.0 0.0.0.255

int g0/0/0
ip add 192.168.10.254 24
dhcp sel int
int g0/0/1
ip add 12.0.0.1 24
nat outbound 2000

ip route-s 0.0.0.0 0 12.0.0.2

上海总部IP地址、DHCP、NAT、路由

sys
sys SH
dhcp enable

acl 2000
rule permit so 192.168.20.0 0.0.0.255

int g0/0/1
ip add 192.168.20.254 24
dhcp sel int
int g0/0/0
ip add 23.0.0.3 24
nat outbound 2000

ip route-s 0.0.0.0 0 23.0.0.2

ISP公网

sys
sys ISP

int g0/0/0
ip add 12.0.0.2 24

int g0/0/1
ip add 23.0.0.2 24

int lo 2
ip add 2.2.2.2 32

PC1
在这里插入图片描述
PC2
在这里插入图片描述

IPSec VPN配置

青海分部

感兴趣流
acl 3000  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

提议:
ipsec proposal QH2SH
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

策略:
ipsec policy QH2SH 1 manual
security acl 3000
proposal QH2SH
tunnel local 12.0.0.1
tunnel remote 23.0.0.3
sa spi inbound esp 12345
sa string-key inbound esp cipher huawei123
sa spi outbound esp 12345
sa string-key outbound esp cipher huawei123

调用:
ipsec policy QH2SH

上海总部

感兴趣流:
acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 

提议:
ipsec proposal SH2QH
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

策略:
ipsec policy SH2QH 1 manual
security acl 3000
proposal SH2QH
tunnel local 23.0.0.3
tunnel remote 12.0.0.1
sa spi inbound esp 12345
sa string-key inbound esp cipher huawei123
sa spi outbound esp 12345
sa string-key outbound esp cipher huawei123

调用:
ipsec policy SH2QH

配置完成后发现PC1、PC2ping公网能通,PC1与PC2之间ping不通。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

分析原因

原因:公网出口的NAT策略与IPSec的感兴趣流冲突

关闭公网接口上的NAT策略
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发现两PCping不通公网,IPSec VPN 没有一点问题。

解决方法

1、改IPSec上的感兴趣流
2、更改出口上的NAT策略

方案一:改IPSec上的感兴趣流

青海分部

acl number 3000  
 rule 5 permit ip source 12.0.0.1 0.0.0.255 destination192.168.20.0 0.0.0.255 

 
 
  • 1
  • 2

上海分部

acl number 3000  
 rule 5 permit ip source 23.0.0.0 0.0.0.255 destination192.168.10.0 0.0.0.255 

 
 
  • 1
  • 2

在这里插入图片描述
在这里插入图片描述
ESP加密了数据包

在这里插入图片描述
在这里插入图片描述

方案一:更改出口上的NAT策略

青海分部

acl 3001  
 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
 rule permit ip source any

 
 
  • 1
  • 2
  • 3

上海分部

acl 3001  
 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 rule permit ip source any

 
 
  • 1
  • 2
  • 3

重新建ACL3001应用在公网出口上
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

IPSec VPN

IPSec:Internet Protocol Security

• 源于IPv6
• IETF制定的一套安全保密性能框架
• 建立在网络层的安全保障机制
• 引入多种加密算法、验证算法和密钥管理机制
• 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点
• IPSec VPN是利用IPSec隧道建立的VPN技术
在这里插入图片描述

IPSec 核心功能

在这里插入图片描述
在这里插入图片描述

IPSec 技术框架

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

IPSec安全协议

在这里插入图片描述
在这里插入图片描述

IPSec封装模式

在这里插入图片描述
在这里插入图片描述
传输模式封装结构
在这里插入图片描述
隧道模式封装结构
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

安全联盟

SA(Security Association)

• 顾名思义,通信双方结成盟友,相互信任亲密无间,即达成约定
• 由一个(SPI,IP目的地址,安全协议号)三元组唯一标识
• 决定了对报文进行何种处理:模式、协议、算法、密钥、生存周期等
• 每个IPSec SA都是单向的
• 可以手工建立或通过IKE协商生成
• SPD(Security Policy Database)
• SAD(Security Association Database)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

IKE

IKE:Internet Key Exchange,因特网密钥交换

• 基于UDP(端口号500)的应用层协议,可为数据加密提供所需的密钥
• 使用DH算法,在不安全的网络上安全地分发密钥,验证身份
• 定时更新SA和密钥,实现完善的前向安全性
• 允许IPSec提供抗重播服务
• 简化IPSec的使用和管理,大大简化了IPSec的配置和维护工作

在这里插入图片描述
在这里插入图片描述

IPSec配置

在这里插入图片描述
ipsec proposal shanghai
encapsulation-mode tunnel
transform esp
创建并配置IPSec提议。
配置报文的封装模式。
配置隧道采用的安全协议。

esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
display ipsec proposal
配置ESP协议使用的认证算法。
配置ESP加密算法。
验证IPSec提议配置。

ipsec policy P1 10 manual
security acl 3000
创建并配置IPSec策略(手动)。
配置引用的ACL。

proposal shanghai
配置引用的提议。

tunnel local 12.0.0.2
tunnel remote 13.0.0.3
配置安全隧道的本端地址。
配置安全隧道的对端地址。
配置SA的SPI。

sa spi inbound/outbound esp 12345
入方向和出方向都必须设置,并且双方的必须相互对应。

sa string-key
配置SA的认证密钥。

inbound/outbound esp cipher wakin
入方向和出方向都必须设置,并且
双方的必须相互对应。

display ipsec policy
验证IPSec手动策略配置。

ike proposal 10
创建并配置IKE提议。

authentication-method pre-share
authentication-algorithm sha2-256
encryption-algorithm aes-cbc-256
配置身份认证方式。
配置数据认证算法。
配置加密算法。

dh group14
配置密钥交换算法。

display ike proposal
验证IKE提议。

ike peer shanghai v1
创建并配置IKE对等体。

exchange-mode main/aggressive
pre-shared-key cipher huawei
ike-proposal 10
配置PSK。
配置引用的IKE提议。

local-address 12.0.0.1
remote-address 23.0.0.3
配置本地IP地址。
配置对端IP地址。

ipsec policy P2 10 isakmp
security acl 3000
proposal 10
创建并配置IPSec策略(自动)。
配置引用的ACL。
配置引用的IPSec提议。

ike-peer shanghai
配置引用的IKE对等体。

ipsec policy P1/P2
display ike/ipsec sa
在接口上应用指定的安全策略组。
验证安全联盟。

手工方式

在这里插入图片描述
在这里插入图片描述

标签:配置,esp,0.255,0.0,手动,案例,ip,IPSec
来源: https://blog.csdn.net/wangyuxiang946/article/details/121365077