实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证)

组网需求

网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下:

通过组网实现如下需求:在FW_A和FW_B之间建立IKE方式的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。

操作步骤

1、配置接口ip地址和安全区域,配置安全策略默认放行

2、配置静态路由确保r1和r3互通

3、在f1上配置ipsec策略,并在接口上应用此ipsec策略

3.1 定义被保护的数据流。

通过acl(permit)指定需要ipsec保护的数据流。一个ipsec安全策略中只能引用一个acl。

在sa的出方向上,匹配acl将被ipsec保护,具体指:报文经过ipsec加密处理后再发送。未匹配任何permit规则或匹配deny的保护将不会被保护,即报文直接转发。对等体间匹配一条permit规则即匹配一个需要保护的数据流,则对应生成一对sa。

在sa的入方向上,经过ipsec保护的报文将被解封装处理,未经过ipsec保护的报文正常转发。

若不同的数据流有不同的安全要求,需要创建不同的acl和相应的ipsec安全策略

若不同的数据流的安全要求相同,可以在一条acl中配置多条rule来保护不同的数据流

ipsec隧道两端的acl规则定义的协议类型要一致,如一端是ip协议,另一端也必须是ip协议。

//f1
acl number 3000//应当采用高级acl,可以对ip、tcp、dscp、udp、gre等进行筛选rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
//f2
acl number 3000rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

3.2 配置ipsec 安全提议。缺省参数可不设置

ipsec安全提议是安全策略或者安全框架的一个组成部分,包括了ipsec使用的安全协议、认证、加密算法以及数据的封装模式,定义了ipsec的保护方法,为ipsec协商sa提供各种安全参数。ipsec隧道两端设备需要配置相同的安全参数。

//f1
ipsec proposal tran1
transform esp//配置安全协议,可以是ah、esp、ah-esp,默认是espesp authentication-algorithm sha2-256//配置esp协议使用的认证算法,模式是sha2-256esp encryption-algorithm aes-256//配置esp协议使用的加密算法,模式人aes-256encapsulation-mode tunnel//配置安全协议对数据的封装模式,可以是transport、tunnel、auto,默认是tunnel
//f2
ipsec proposal tran1esp authentication-algorithm sha2-256esp encryption-algorithm aes-256

3.3 配置ike安全提议

ike安全提议是ike对等体的一个组成部分,定义了对等体进行ike协商时使用的参数,包括加密算法、认证方法、认证算法、dh组和ike安全联盟的生成周期。

ike协商时,协商发起方会将自己的ike安全提议发送给对端,由对端进行匹配,协商响应方按照优先级顺序进行匹配,匹配的ike安全提议将被用来建立ike的安全隧道。

优先级由ike安全提议的序号表示,数值越小越优先。

ike安全提议的匹配原则是:协商双方具有相同的加密算法、认证方法、认证算法和dh组。匹配的ike安全提议的ike sa的生存周期取两端的最小值。

//f1f2
ike proposal 10encryption-algorithm aes-256//配置ike协商所使用的加密算法。默认是aes-256dh group14//配置ike协商时采用的dh组,默认是group14authentication-algorithm sha2-256//配置ikev1协商时所使用的认证算法,默认是sha2-256authentication-method pre-share//配置认证方法,默认是pre-shared key认证方法integrity-algorithm hmac-sha2-256//配置ikev2协商时所使用的完整性算法,默认是hmac-sha2-256prf hmac-sha2-256//配置ikev2协商时所使用的伪随机数产生函数的算法,默认是hmac-sha2-256

3.4 配置ike peer

配置ike动态协商方式建立ipsec隧道时,需要引用ike对等体,并配置ike协商时对等体间的一系列属性。

//f1
ike peer b//创建ike对等体pre-shared-key Test!1234//配置身份认证参数,默认是预共享密钥方式ike-proposal 10//引用ike安全提议remote-address 1.1.5.1//配置ike协商时对端ip地址
version 1|2 //配置ike对等体使用的ike协议版本号,默认同时支持ikev1和ikev2两个版本
exchange-mode main/aggressive/auto//配置ikev1阶段1协商模式,默认是主模式
//f2
ike peer apre-shared-key Test!1234ike-proposal 10remote-address 1.1.3.1

3.5 配置ipsec策略(isakmp方式)

ipsec安全策略是创建sa的前提,规定了对哪些数据流采用哪种保护方法,配置时,通过引用acl和ipsec安全提议,将acl定义的数据流和ipsec安全提议定义的保护方法关联起来,并可以指定sa的协商方式、ipsec隧道的起点和终点,所需要的密钥和sa的生存周期等。

一个ipsec安全策略由名称和序号共同唯一确定,相同名称的ipsec安全策略为一个ipsec安全策略组。ipsec安全策略分为手工方式和isakmp方式和策略模板方式。其中isakmp方式ipsec安全策略和策略模板方式ipsec安全策略均由ike自动协商生成各个参数。

isakmp方式适用于对端ip地址固定的场景,一般用于分支的配置。

//f1
ipsec policy map1 10 isakmp//创建isakmp方式ipsec安全策略security acl 3000//引用aclike-peer b//引用ike peerproposal tran1//引用ipsec安全提议
//f2
ipsec policy map1 10 isakmpsecurity acl 3000ike-peer aproposal tran1

3.6 应用ipsec策略组map1

//f1
interface GigabitEthernet1/0/1ipsec policy map1
//f2
interface GigabitEthernet1/0/1ipsec policy map1

验证和分析

1、在r1执行ping命令,触发ike协商

  若ike协商成功,隧道建立后可以ping通,反之则不行。

在f1和f2之间抓包。

2、分别在f1和f2上执行display ike sa、 display ipsec sa会显示安全联盟的建立情况。

[f2]dis ike sa
2022-03-14 15:50:36.430 IKE SA information :Conn-ID    Peer     VPN        Flag(s)      Phase  RemoteType  RemoteID
--------------------------------------------------------------------------------2       1.1.3.1:500             RD|A         v2:2   IP          1.1.3.1         1       1.1.3.1:500             RD|A         v2:1   IP          1.1.3.1         Number of IKE SA : 2
--------------------------------------------------------------------------------Flag Description:RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUTHRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UPM--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING

以上显示ike sa建立成功。

[f2]dis ipsec sa
2022-03-14 15:53:02.390 ipsec sa information:===============================
Interface: GigabitEthernet1/0/1
===============================-----------------------------IPSec policy name: "map1"Sequence number  : 10Acl group        : 3000Acl rule         : 5Mode             : ISAKMP-----------------------------Connection ID     : 2Encapsulation mode: TunnelHolding time      : 0d 0h 6m 30sTunnel local      : 1.1.5.1:500Tunnel remote     : 1.1.3.1:500Flow source       : 10.1.2.0/255.255.255.0 0/0-65535Flow destination  : 10.1.1.0/255.255.255.0 0/0-65535[Outbound ESP SAs] SPI: 196061125 (0xbafa7c5)Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128SA remaining key duration (kilobytes/sec): 10485760/3210Max sent sequence-number: 5UDP encapsulation used for NAT traversal: NSA encrypted packets (number/bytes): 4/336[Inbound ESP SAs] SPI: 193769985 (0xb8cb201)Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128SA remaining key duration (kilobytes/sec): 10485760/3210Max received sequence-number: 1UDP encapsulation used for NAT traversal: NSA decrypted packets (number/bytes): 4/336Anti-replay : EnableAnti-replay window size: 1024

以上显示ipsec sa建立成功。

HCIE-Security Day26:IPSec:实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证)相关推荐

  1. 玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用证书认证)

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  2. 玩转华为ENSP模拟器系列 | 配置基于路由的IPSec VdPdNd(采用预共享密钥认证)

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  3. 玩转华为ENSP模拟器系列 | 两个网关之间利用Tunnel接口实现IPSec VdPdNd隧道多链路备份

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  4. 玩转华为ENSP模拟器系列 | 两个网关之间存在NAT设备时通过IKE方式协商IPSec VdPdNd隧道(总部不指定分支IP地址)

    素材来源:华为防火墙配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 ...

  5. IPsec IKEv1中预共享密钥下使用标识符进行表示出现的问题

    问题描述 如图所示,在IKEv1的主模式下使用标识符的方式而不是使用IP地址的方式去标识IPsec的双端就会导致主模式无法协商完成的情况,其主要原因就是主模式无法根据第一次数据报的交互中找寻到相关的预 ...

  6. 使用IKE预共享密钥配置IPsec

    使用IKE预共享密钥配置IPsec        配置IKE预共享密钥的过程         1 为IKE和IPSEC准备            1检查当前配置 show running-config ...

  7. IPsec+预共享密钥的IKE野蛮模式

    目标 配置 IPsec+预共享密钥的IKE 野蛮模式 步骤一.配置各接口IP地址 步骤二.配置默认路由 [RTB]ip route-static 0.0.0.0 0 2.2.2.2 步骤三:配置公网连 ...

  8. 华为IPsec预共享密钥配置命令汇总

    IKE协商对象创建 ike proposal xx //创建ike协商   authentication-method xx //设置认证方式   authentication-algorithm x ...

  9. 基于strongSwan配置预共享密钥的IPsec实验

    实验环境 VMware  Workstation 10.0.0 + ubuntu-18.04/16.04 + strongSwan 实验方案 1. 使用VMware创建2台虚拟机. 2. 每台虚拟机下 ...

  10. 思科与H3C IPSec 预共享密钥和证书认证 ,NAT穿越综合实验

    目录 拓扑图 实验要求 AR1思科与AR2思科设备配置 CA服务器 AR1思科与AR3华三设备配置 AR1配置NAT ​ 拓扑图 地址分配表 AR1 Gi0/0 10.10.1.2   Gi0/1 1 ...

最新文章

  1. 基本算法系列15天速成
  2. 利用jQuery实现回收站删除效果
  3. c++ 命名空间 using namespace std 是什么意思?
  4. 【项目管理】项目经理 总监 总经理不同优秀特质
  5. JAVA返回指定字符串的长度,Java截取指定字节长度的字符串
  6. Java World中的GraphQL简介
  7. 三、PHP基础——HTTP协议 文件编程
  8. 阿里云 服务器 系统 php mysql_阿里云服务器配环境(Ubuntu 16.04+Nginx+MySQL+PHP)并部署hexo博客...
  9. 前端工程师都会喜欢的5个JavaScript库
  10. JavaScript学习(七十五)—图解浅拷贝和深拷贝
  11. java基础知识整理(精简)
  12. Ruby gem 更换国内源
  13. Google Code Jam
  14. PSV 2000 3.68降级3.60固化教程
  15. 查看电脑显卡(GPU)是否支持CUDA
  16. 腾讯Bugly工具介绍节选
  17. 了解车辆驾驶行为、成功验证C-V2X技术
  18. EFS加密解密----重装系统后
  19. linux 搭建 虚拟专用网络 (pptpd )
  20. 计算机管理员解除阻止程序方法,电脑安装软件时弹出系统管理员设置了系统策略,禁止进行此安装解决方法...

热门文章

  1. 【面经】关于逻辑回归,面试官们都怎么问
  2. 具体数学-第2课(成套方法求解递归式)
  3. 《MYSQL必知必会》—3~9.使用MySQL、检索数据列、排序检索数据列、过滤数据(WHERE子句、组合WHERE子句、通配符、正则表达式)
  4. 1.线性回归、梯度下降法、岭回归、LASSO回归、最小二乘法
  5. 西瓜书读书笔记3-对数几率回归(logistic回归)公式推导
  6. 数据科学包13-实例2:时间事件日志
  7. Windows和Linux hosts 文件位置
  8. Kotlin的互操作——Kotlin与Java互相调用
  9. 微软总部首席测试专家做客中关村图书大厦“说法”
  10. 使用内存精简版caffe运行densenet