IPsec VPN各种场景配置示例

发表于 | 更新于 | 分类于 | 阅读次数: | 字数: 1,719 | 阅读时长: 8

IPSec VPN配置流程

配置流程

图:IPSec VPN配置流程图
  1. 先配置IKE安全提议
  2. 配置IKE对等体,调用IKE提议
  3. 配置需要保护的感兴趣流
  4. 配置IPSec 的安全提议
  5. 配置IPSec策略
  6. 在接口调用IPSec策略

IPSEC VPN各场景配置示例

采用IKEV1-主模式实验 :

S2S

图:IPsec VPN拓扑图

配置思路:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
第一步: 阶段一
协商IKE SA(ISAKMP SA) 
1. 配置IKE的安全提议
ike proposal 10
 encryption-algorithm aes-256
 authentication-algorithm sha2-256
 integrity-algorithm hmac-sha2-256

2. 配置IKE对等体
ike peer  10
 pre-shared-key Huawei@123
 ike-proposal 1
 undo version 2  ------------关闭V2
 remote-address 202.100.1.11

第二步: 阶段二 
协商IPSEC SA  

1. 配置感兴趣流(互为镜像)
FW1
acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

FW2
acl number 3000
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255  

2. 配置IPSEC安全提议
ipsec proposal  10
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

3. 配置IPSEC策略
ipsec policy  ipsec_vpn  1  isakmp
 security acl 3000
 ike-peer  fw2
 proposal  fw2

4.调用
interface GigabitEthernet0/0/2
 ipsec policy ipsec_vpn  auto-neg
                                      自动协商


第三步:放行安全策略 
自定义isakmp
ip service-set ISAKMP type object
 service 0 protocol udp source-port 0 to 65535 destination-port 500

定义地址集
ip address-set ipsec1 type object
 address 0 202.100.1.10 mask 32
 address 1 202.100.1.11 mask 32
#
ip address-set ipsec2 type object
 address 0 10.1.1.0 mask 24
 address 1 10.1.2.0 mask 24

security-policy
 rule name ipsec1  --------------放行ISAKMP和ESP 
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address address-set ipsec1
  destination-address address-set ipsec1
  service ISAKMP  ------------自定义
  service esp
  action permit

 rule name ipsec2 --------------放行实际通信流量
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address address-set ipsec2
  destination-address address-set ipsec2
  action permit
#

测试检查:

ipsec状态

图:IPsec协商状态

ike sa

图:IKE sa状态

display ike sa命令输出信息描述

项目 描述
IKE SA information 安全联盟配置信息。
Conn-ID 安全联盟的连接索引。
Peer 对端的IP地址和UDP端口号。
VPN 应用IPSec安全策略的接口所绑定的VPN实例。说明:虚拟系统不显示此字段。
Flag(s) 安全联盟的状态:RD–READY:表示此SA已建立成功。ST–STAYALIVE:表示此端是通道协商发起方。RL–REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。FD–FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。TO–TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。HRT–HEARTBEAT:表示本端IKE SA发送heartbeat报文。LKG–LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。BCK–BACKED UP:表示备份状态。M–ACTIVE:表示IPSec策略组状态为主状态。S–STANDBY:表示IPSec策略组状态为备状态。A–ALONE:表示IPSec策略组状态为不备份状态。NEG–NEGOTIATING:表示SA正在协商中。字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。
Phase SA所属阶段:v1:1或v2:1:v1和v2表示IKE的版本;1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。v1:2或v2:2:v1和v2表示IKE的版本;2表示协商安全服务的阶段,此阶段建立IPSec SA。
RemoteType 对端ID类型。
RemoteID 对端ID。

ipsec sa

图:IPSec SA状态

加密

图:IPsec 的加密解密状态

采用IKEv1—-野蛮模式实验:

如果采用IP方式,配置思路同主模式。

区别点:

1
2
ike peer  XXX
exchange-mode aggressive

注:野蛮模式配置

1
2
3
[FW1-ipsec-policy-isakmp-ipsec3311155855-1]ike-peer ike 10
Error: ike peer's remote addresses or domain name should be configed.
[FW1-ipsec-policy-isakmp-ipsec3311155855-1]

华为不推荐野蛮模式解决非固定IP地址,建议采用模板方式

华为配置野蛮模式时,只能配置Domain Name(FQDN,USER-FQDN,域名),不能配置name。配name还需要配置remote-Address。

模板方式:

策略模板适用于中心站点规定地址,分支站点较多且使用动态地址的工程环境。

优点:可以不用配置IP地址。

缺点:不能主动发起连接,只能等待对端发起连接。

模板配置流程图:

模板配置流程

图:策略模板配置流程图

策略模板配置思路:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
第一步:阶段一
1. IKE安全提议
2. IKE对等体(变化)
ike peer spoke
 pre-shared-key Huawei@123
 ike-proposal 10
 undo version 2

第二步:阶段二 
1.IPSEC安全提议
2.策略模板(模板方式)
ipsec policy-template ipsec_temp 1
 security acl 3000
 ike-peer spoke
 proposal 10

3.策略调用模板
ipsec policy ipsec_policy 1000 isakmp template ipsec_temp

Hub Spoke IPsec VPN组网(预共享密钥):

Hub Spoke

图:Hub Spoke IPsec VPN组网拓扑

配置思路:

Spoke1和Spoke2的配置思路同站点到站点的IPSec VPN配置思路。

唯一不同的是,Hub端因为不知道对方的IP地址,需要配置为策略模板方式。

模板

图:策略模板配置

在放行感兴趣流时,Hub需要放行与Spoke1和Spoke2通信的流量。

为了使Spoke1和Spoke2也能通信,需要多配置感兴趣流。

在Hub端配置10.1.2.0/24 —> 10.1.3.0/24,10.1.3.0/24 —> 10.1.2.0/24

在Spoke1配置:10.1.3.0/24 –> 10.1.2.0/24

在Spoke2配置:10.1.2.0/24 –> 10.1.3.0/24

最后协商状态如下:

状态

图:点到多点IPsec协商状态

通过测试,PC1与PC2,PC3之间可以互相通信。

ike

图:IKE sa摘要

撒

图:IPsec SA摘要

Site to Site IPSec VPN(证书认证):

PKI认证

图:站点到站点IPSec VPN组网,证书认证拓扑图

配置思路:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
阶段一:
ike proposal 10
 authentication-method rsa-sig ----------变化,认证方式默认是预共享密钥,改成数字证书
 authentication-algorithm sha2-256
 integrity-algorithm aes-xcbc-96 hmac-sha2-256
#                                         
ike peer ike 10
 exchange-mode auto
 certificate local-filename fw11.cer  -------调用本地证书
 ike-proposal 10
 remote-address 202.100.1.11

阶段二:
acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

ipsec proposal 10
 encapsulation-mode auto
 esp authentication-algorithm sha2-256
#
ipsec policy ipsec_policy 10 isakmp
 security acl 3000
 ike-peer 10
 alias ipsec_vpn
 proposal 10

interface GigabitEthernet0/0/2
 ipsec policy ipsec_policy

ipsec配置

图:IPsec 证书配置

安全策略

图:安全策略配置

检查测试:

ike peer

图:IKE peer状态
坚持原创技术分享,您的支持将鼓励我继续创作!