华为设备IPsec 配置实战？

本文主要内容

华为设备IPsec 配置实战

一、 实验拓扑

当前已完成了深圳总部出口路由器和长沙分支出口路由器的连通性，

但是两边的私网数据不能通信，现在希望双方能建立安全的私网通信。

二、 实验目的：

配置IPsec，实现深圳总部和长沙分支之间安全的数据通

信

1、   数据加密算法使用 aes 256

2、   完整性验证算法使用 sha 256

3、   身份验证使用预共享密钥方式

4、   使用隧道模式，实现两边内网可以通过互联网通信

三、 配置步骤和参考命令

1、   配置 ipsec 感兴趣流

本步骤的作用是，配置要用 ipsec 保护什么数据，使用

ACL 来配置，

在本实验的深圳路由器上，要保护的数据就是源地址为

192.168.1.0 目标地址为 192.168.2.0 的数据。

在长沙路由器上，则相反，是源地址为 2.0，目标地址为 1.0 的数据

参考命令

acl 3000

rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

2、   创建安全提议

本步骤的作用是，设置如何保护关键数据。

在本实验中，要求是使用 aes 进行数据加密，使用 sha

进行完整性验证（防篡改），使用隧道模式打通两个内网。深圳和长沙的路由器，做相同的配置，因为两边必须使

用相同的算法。参考命令

ipsec proposal testipsec

创建一个安全提议，名字为 testipsec encapsulation-mode tunnel

使用隧道模式，会加上新 ip 头部，新头部就是两个站点的出口公网地址

transform esp

封装模式使用 esp，因为有加密需求，所以用 esp 而不是 ah

esp encryption-algorithm aes-256

加密算法用 aes-256

esp authentication-algorithm sha2-256

完整性验证算法用 sha2-256

3、 配置 ike（互联网密钥交换协议）

本步骤的作用是，配置 ipsec 如何产生密钥。

数据加密、完整性验证、身份验证等安全保护工作都是需要密钥的，而且密钥非常关键，以防黑客暴力破解，需要经常更新。Ike 就是用来创建和更新密钥的协议。

在本实验中，深圳和长沙要做完全相同的配置参考命令

ike proposal 1

创 建 ike 提 议 ， 编 号 为 1 authentication-method pre-share

使用预共享密钥的方式进行身份验证

dh group1

协商密钥的过程，用 dh group1 算法进行加密

4、   配置对等体

本步骤的作用是，配置和哪台设备，建立 ipsec 连接参考命令

ike peer changsha v1

创建一个对等体，名字为 changsha，使用 ike v1 和对方做密钥协商。v1 是主流版本，v2 是最新版本。

exchange-mode main

使用主模式（main）建立 ipsec。

当双方都有固定公网 ip 的时候，使用主模式，如果一方没有固定 ip，可以使用野蛮模式（aggressive）。

ike-proposal 1

调用前面配好的密钥协商方法pre-shared-key cipher testkey 预共享密钥，两边一致

local-id-type ip

通过 ip 地址来互相识别对方，不使用 ip 的话，也可以使用域名

remote-address 20.1.2.1

ipsec 对等体的 ip 地址，也就是要和这个设备建立 ipsec

连接

5、   创建 ipsec 策略

本步骤的作用是，将前面配好的各项参数，关联在一起。参考命令

ipsec policy testpolicy 3 isakmp

创建一个 ipsec 策略，名称是testpolicy，编号是 3， 后面 isakmp 的意思是，密钥会周期性动态更新

ike-peer changsha

前面定义好的 ipsec 对等体

proposal testipsec

前面定义好的安全提议

security acl 3000

前面定义好的感兴趣流

6、   出接口调用

本步骤的作用是，在路由器的出接口调用 ipsec 策略。在本实验中，深圳路由器 g0/0/1 发出的数据包，要按

ipsec 策略做数据安全保护。参考命令

int g0/0/1

ipsec policy testpolicy