IPSEC VPN

目录

IPSEC VPN

1. IPsec

1.1 IPSec基础

1.2 IPSec原理

1.3 IPSec两种封装模式

2.实验

2.1 实验需求

2.2 实验top

2.3 配置思路

3.实验配置

3.1 基础配置

3.2 nat配置

3.2.1 路由R1 配置

3.2.2 路由R2 配置

3.3IPSEC VPN配置

a.匹配数据流量

b.配置 ipsec 提议

c.配置ipsec手动方式安全策略  

d.在接口上应用 ipsec策略

4.结果查看

4.1 进行抓包查看

4.1.1开启抓包

4.1.2 ping192.168.20.1

4.1.3 抓包效果查看

 

---

IPSEC VPN

1. IPsec

1.1 IPSec基础

IPSec（IP Security）是IETF定义的一组协议，用于增强IP网络的安全性。

IPSec协议集提供如下安全服务：

• 数据完整性（Data Integrity）
• 认证（Autentication）
• 保密性（Confidentiality）
• 应用透明安全性（Application-transparent Security）

1.2 IPSec原理

IPSec功能分为三类：认证头（AH）、封装安全负荷（ESP）、Internet密钥交换协议（IKE）。

认证头（AH）：提供数据完整性和数据源认证，但不提供数据保密服务，实现算法有MD5、SHA。

封装安全负荷（ESP）：提供数据加密功能，加密算法有DES、3DES、AES等。

Internet密钥交换协议（IKE）：用于生成和分发在ESP和AH中使用的密钥（500，UDP）。

1.3 IPSec两种封装模式

2.实验

2.1 实验需求

（1）成都和北京两个站点用户均可以访问互联网2.2.2.2

（2）配置手动IPSEC  VPN，实现成都和北京两个站点内网数据互通，且数据加密

2.2 实验top

2.3 配置思路

整体步骤：

1）配置IP地址，ISP路由器用1o0模拟互联网

2）成都和北京两个出口路由器配置默认路由指向ISP 路由器

3）进行 IPSEC VPN配置，让两个站点内网互通，同时数据加密。静态IPSEC 配 置步骤如下， 一共分为四步：

3.实验配置

3.1 基础配置

就是配置IP的基础信息，自行完成就好了。

system-view

sysname xx

interface g0/0/0

ip add ip地址 掩码

// 关闭提示信息

undo info-center enable

// 环回口

int lo0

ip add 2.2.2.2 32 

3.2 nat配置

3.2.1 路由R1 配置

[R1]acl 2000 //配置ACL2000

[R1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255  //规则10,匹配源地址为

192.168.10.0/24的流量

[R1-acl-basic-2000]quit

[R1]int GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000  //接口下启用NAT,把ACL2000 匹配的私网地址转换为R1GEO/0/1 接口公网IP

[R1-GigabitEthernet0/0/1]quit

[R1] ip route-static 0.0.0.0 0 100.1.1.2  //出口路由器默认路由指向 ISP

3.2.2 路由R2 配置

[R2]acl 2000 //配置ACL2000

[R2-acl-basic-2000]rule 10 permit source 192.168.20.00.0.0.255  //规则10,匹配源地址为

192.168.20.0/24的流量

[R2-acl-basic-2000]quit

[R2]interface GigabitEthernet0/0/1

[R2-GigabitEthernet0/0/1] nat outbound 2000  //接口下启用 NAT, 把 ACL2000 匹配的私网地址转换为R2 GEO/0/1接口公网IP

[R2-GigabitEthernet0/0/1]quit

[R2] ip route-static 0.0.0.0 0 200.1.1.2  //出口路由器默认路由指向ISP

ping 2.2.2.2测试

3.3IPSEC VPN配置

让两个站点内网互通，同时数据加密

a.匹配数据流量

[R1]acl 3000 //配置ACL3000

[R1-acl-adv-3000]rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255  //规则10，允许，匹配源为192.168.10.0/24，目的为192.168.20.0/24的流量

b.配置 ipsec 提议

[R1]ipsec proposal cd  //ipsec提议名称cd（成都）

[R1-ipsec-proposal-cd]esp authentication-algorithm md5  //认证算法采用md5

[R1-ipsec-proposal-cd]esp encryption-algorithm des  //加密算法采用des

c.配置ipsec手动方式安全策略  

[R1]ipsec policy chengdu 10 manual  //配置IPSEC策略 chegndu，方式为手动

[R1-ipsec-policy-manual-chengdu-10]security acl 3000  //包含 acl3000 的流量

[R1-ipsec-policy-manual-chengdu-10]proposal cd  //采用ipsec提议 cd

[R1-ipsec-policy-manual-chengdu-10]tunnel local 100.1.1.1  //配置隧道本地地址100.1.1.1  [R1-ipsec-policy-manual-chengdu-10]tunnel remote 200.1.1.1  //配置隧道远端地址200.1.1.1

[R1-ipsec-policy-manual-chengdu-10]sa spi inbound esp 54321    //配置入方向SA编号54321

[R1-ipsec-policy-manual-chengdu-10]sa string-key inbound esp cipher Huawei@!123  //配置入方向SA的认证密钥为Huawei@!123

[R1-ipsec-policy-manual-chengdu-10]sa spi outbound esp 12345    //配置出方向 SA编号12345

[R1-ipsec-policy-manual-chengdu-10] sa string-key outbound esp cipher Huawei@!123   //配置出方向

SA的认证密钥为Huawei@!123

d.在接口上应用 ipsec策略

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1] ipsec policy chengdu    //接口上应用ipsce  策略(只能用于出接口)

4.结果查看

4.1 进行抓包查看

4.1.1开启抓包

4.1.2 ping192.168.20.1

4.1.3 抓包效果查看

正常的ping包

说明我们加密成功啦！