目录
实验需求
基础配置
配置第一阶段 IKE SA
配置第二阶段 IPsec SA
测试结果
清除IKE / IPsec SA命令
注意
就是IPsec的实验配置的话,它们两端的IP地址是固定的
那么就用第一阶段的主模式(Main Mode)
和第二阶段的快速模式(Quick Mode)
后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段模式会改变
实验需求
R1为企业总部网关,R3为企业分部网关,分部与总部通过公网建立通信。总部子网为100.1.12.0/24,分部子网为100.1.23.0/24。
企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信,可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
实验拓扑图:
IPsec VPN 本质:阶段一保护阶段二 阶段二保护数据
配置思路
基础配置, 配置接口的IP地址和到对端的静态路由,保证两端路由可达。
1)第一阶段 IKE SA
① 配置IKE安全提议,定义IKE保护数据流方法
② 配置IKE对等体,定义对等体间IKE协商时的属性
2)第二阶段 IPsec SA
① 配置ACL,以定义需要IPSec保护的数据流
② 配置IPSec安全提议,定义IPSec的保护方法
③ 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法
3)在接口上应用安全策略组,使接口具有IPSec的保护功能
基础配置
R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 100.1.12.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.1.254 24[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.12.2 ##配置默认路由指向ISP_R2运营商,实现公网可达
R2_ISP
[R2_ISP]int g0/0/0
[R2_ISP-GigabitEthernet0/0/0]ip add 100.1.12.2 24
[R2_ISP-GigabitEthernet0/0/0]int g0/0/1
[R2_ISP-GigabitEthernet0/0/1]ip add 100.1.23.2 24
R3
R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 100.1.23.1 24
[R3-GigabitEthernet0/0/0]int g0/0/1
[R3-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R3-GigabitEthernet0/0/1]q
[R3]ip route-static 0.0.0.0 0.0.0.0 100.1.23.2
配置第一阶段 IKE SA
协商出IKE SA ,对第二阶段IPsecSA的协商过程做保护
[R1]ike proposal 1 ## 配置R1的IKE安全提议 ,名字为 1
[R1-ike-proposal-1]encryption-algorithm 3des-cbc ## 加密算法
[R1-ike-proposal-1]authentication-algorithm md5 ## 认证算法
[R1-ike-proposal-1]dh group5 ## dh组5
[R1-ike-proposal-1]q## 配置IKEv1对等体,名字为 1,配置预共享密钥和对端ID
[R1]ike peer 1 v1 ## 版本要一致
[R1-ike-peer-1]ike-proposal 1 ## 关联IKE的安全提议
[R1-ike-peer-1]pre-shared-key simple 110 ## 预共享密钥也要一致
[R1-ike-peer-1]remote-address 100.1.23.1 ## 配置对端地址
[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3d
[R3-ike-proposal-1]encryption-algorithm 3des-cbc
[R3-ike-proposal-1]authentication-algorithm md5
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]q
[R3]ike peer 1 v1
[R3-ike-peer-1]ike-proposal 1
[R3-ike-peer-1]pre-shared-key simple 110
[R3-ike-peer-1]remote-address 100.1.12.1
配置第二阶段 IPsec SA
在阶段1建立的IKE SA的保护下完成IPSec SA的协商
##配置高级ACL,匹配子网192.168.1.0/24去子网192.168.2.0/24的数据
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.1
68.2.0 0.0.0.255
[R1-acl-adv-3000]q## 配置IPSec安全提议,命名为 1
[R1]ipsec proposal 1
[R1-ipsec-proposal-1]esp encryption-algorithm 3des ## 采用ESP加密封装
[R1-ipsec-proposal-1]esp authentication-algorithm md5 ## 采用ESP认证
[R1-ipsec-proposal-1]encapsulation-mode tunnel ## 传输模式为隧道模式
[R1-ipsec-proposal-1]q## 配置IKE协商方式安全策略,命名为 aaa 优先级为 1
[R1]ipsec policy aaa 1 isakmp
[R1-ipsec-policy-isakmp-aaa-1]ike-peer 1 ## 关联IKE的对等体
[R1-ipsec-policy-isakmp-aaa-1]proposal 1 ## 关联IPsec 安全提议
[R1-ipsec-policy-isakmp-aaa-1]security acl 3000 ## 匹配需要保护的ACL数据流
[R1-ipsec-policy-isakmp-aaa-1]q## 接口上调用安全策略组
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy aaa ## 调用策略aaa
[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.
168.1.0 0.0.0.255
[R3-acl-adv-3000]q
[R3]ipsec proposal 1
[R3-ipsec-proposal-1]encapsulation-mode tunnel
[R3-ipsec-proposal-1]esp authentication-algorithm md5
[R3-ipsec-proposal-1]esp encryption-algorithm 3des
[R3-ipsec-proposal-1]q[R3]ipsec policy aaa 1 isakmp
[R3-ipsec-policy-isakmp-aaa-1]ike-peer 1
[R3-ipsec-policy-isakmp-aaa-1]proposal 1
[R3-ipsec-policy-isakmp-aaa-1]security acl 3000
[R3-ipsec-policy-isakmp-aaa-1]q
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy aaa
测试结果
查看基本命令
查看IKE SA 的基本信息
查看IPSEC SA 的基本信息
清除IKE / IPsec SA命令
在IPsec VPN 建立完成后,我们想修改一些东西的时候,需要把SA清除干净,这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
