1.概念理清
IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。
2.传输模式和隧道模式比较
安生性:隧道模式高,可以完全对原始IP数据进行加密和验证,在隧道模式下可以隐藏内部IP地址,协议类型和端口。
性能:传输模式高,因隧道模式比传输模式多了一个额外的IP头。
应用场景:隧道模式常用于二个VPN网关设备的通信,即常说的点对点或点对多点,传输模式常用于二个主机之间的通信。
3.IPSEC VPN配置
第一部分 配置IPSEC VPN
3.1 定义感兴趣流(要通过IPSEC进行加密的数据,须结合实际的业务需要对ACL规则进行精细化配置)
#
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 permit ip source address-set 192.168.1.0/24 destination address-set FTP
#
3.2 ipsec proposal 创建IPSEC安全提议
作用:保护数据安全
(1)配置封装协议(有AH、ESP和AH-ESP三种);(2)封装模式,隧道或转输;(3)封装协议采用的加密码算法;(4)封装协议采用的认证算法;
*AH没有加密,只有认证;ESP有加密和认证。
如:
#
ipsec proposal prop14723114665 #创建名称为prop14723114665的安全提议
encapsulation-mode auto #模式为自动,华为默认是隧道模式。
@transform ah #配置安全提仪采用的安全协议,默认是ESP。AH没有加密功能。
esp authentication-algorithm sha2-256 #配置ESP采用的认证算法(对数据进行完整性检查),sha2-256
esp encryption-algorithm aes-256 #ESP对数据进行数据加密,加密算法aes-256
#
3.3 创建IKE PROPOSAL(IKE安全提议)
*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护
(1)配置IKE的加密算法;(2)配置IKE的认证算法;(3)配置认证方式;(4)配置DH组,默认14
#
ike proposal 1 #创建名称为1的ike proposal
encryption-algorithm aes-256 #加密算法为aes-256
dh group14 #协商密钥的过程,使用2048位的DH算法做保护
authentication-algorithm sha2-256 #认证算法
authentication-method pre-share #认证方式,配置为预共享密钥,可选还有签名、证书认证。
(可选)integrity-algorithm hmac-sha2-256 #完整性算法,默认配置
(可选)prf hmac-sha2-256 #PRF算法,默认设置
#
3.4 IKE Peer
(1)设置预共享密钥的密码;(2)配置远程VPN局点的公网IP地址;(3)引用ike安全提议;(4)配置信息交换模式(主、野蛮模式);(5)开启NAT穿越(nat traversal)
#
ike peer ike147231146655
exchange-mode auto #ike对等体信息交换模式为自动模式,且默认是主模式,当双方都有固定公网IP时,建议使用主模式(Main)。若有一方是自动获取IP,使用野蛮模式(Aggressive)
pre-shared-key %^%#{@6Q%J8<-C)cZ/U`17[4B\[22H&7>ZhfB:DRx0,R%^%# #配置预共享密钥的密码,二端必须保持一致,否则会导致协商失败。
ike-proposal 1 #将ike安全提议与ike peer绑定
(可选)remote-id-type none #不用设置
(可选)dpd type periodic #不用设置
remote-address 200.1.1.1 #指定远端设备公网IP地址
#
3.5 ipsec policy 创建ISAKMP方式IPSec安全策略
一个ipsec policy可与多个对端的IPSEC POLICY建立不同的隧道。
(1)引用acl;(2)引用ike peer;(3)引用IPSEC PROPOSAL(ipsec安全提议)
#
ipsec policy ipsec1472311463 1 isakmp #创建名称为ipsec1472311463 序号为1
security acl 3000 #引用acl,将感兴趣流与ipsec policy绑定
ike-peer ike147231146655 #将ike对等体与ipsec policy绑定
proposal prop14723114665 #将安全提议与ipsec policy绑定,一个ISAKMP方式IPSec安全策略最多可以引用12个IPSec安全提议
(可选)tunnel local applied-interface #配置IPSec隧道的本端地址
(可选)alias WJ #别名
(可选) sa trigger-mode auto
(可选)sa duration traffic-based 10485760
(可选)sa duration time-based 3600
#
3.6 将IPSEC POLICY应用到接口上
#
interface GigabitEthernet1/0/0
ip address 100.1.1.1 255.255.255.0
service-manage ping permit
ipsec policy ipsec1472311463
#
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。
ip service-set isakmp type object
service 0 protocol udp source-port 500 destination-port 500
service 0 protocol udp source-port 4500 destination-port 4500
第二部分 配置安全策略放行VPN和yewo流量
#
security-policy
rule name VPN
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
source-address 100.1.1.1 mask 255.255.255.255
source-address 200.1.1.1 mask 255.255.255.255
destination-address 100.1.1.1 mask 255.255.255.255
destination-address 200.1.1.1 mask 255.255.255.255
service isakmp #允许访问isakmp服务
service protocol 50 #放行ESP服务,协议号是50;AH协议号是51;GRE协议号是47
action permit
rule name yewo
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
source-address address-set 192.168.1.0/24
source-address address-set 192.168.2.0/24
destination-address address-set 192.168.1.0/24
destination-address address-set 192.168.2.0/24
action permit
第三部分 配置NAT策略
*为了解决防火墙作为NAT设备代理所有内网用户上网,需要将VPN业务的流量不作NAT转换处理。把VPN的NAT策略放在最上面,然后再是普通内网用户的上网NAT转换策略。
#
nat-policy
rule name VPN
source-zone trust
destination-zone untrust
source-address address-set 192.168.1.0/24
source-address address-set ftp
destination-address address-set 192.168.2.0/24
destination-address address-set ftp
action no-nat
rule name shangwang
source-zone trust
destination-zone untrust
action source-nat easy-ip
#