IPSEC的原理及配置步骤整理(一)


1.概念理清
IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。

2.传输模式和隧道模式比较

安生性:隧道模式高,可以完全对原始IP数据进行加密和验证,在隧道模式下可以隐藏内部IP地址,协议类型和端口。
性能:传输模式高,因隧道模式比传输模式多了一个额外的IP头。
应用场景:隧道模式常用于二个VPN网关设备的通信,即常说的点对点或点对多点,传输模式常用于二个主机之间的通信。

3.IPSEC VPN配置

第一部分 配置IPSEC VPN
3.1 定义感兴趣流(要通过IPSEC进行加密的数据,须结合实际的业务需要对ACL规则进行精细化配置)
   #
   acl number 3000
   rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   rule 10 permit ip source address-set 192.168.1.0/24 destination address-set FTP
   #
3.2 ipsec proposal 创建IPSEC安全提议

作用:保护数据安全
(1)配置封装协议(有AH、ESP和AH-ESP三种);(2)封装模式,隧道或转输;(3)封装协议采用的加密码算法;(4)封装协议采用的认证算法;
*AH没有加密,只有认证;ESP有加密和认证。


   如:
   #
   ipsec proposal prop14723114665  #创建名称为prop14723114665的安全提议
   encapsulation-mode auto  #模式为自动,华为默认是隧道模式。
   @transform ah            #配置安全提仪采用的安全协议,默认是ESP。AH没有加密功能。
   esp authentication-algorithm sha2-256  #配置ESP采用的认证算法(对数据进行完整性检查),sha2-256
   esp encryption-algorithm aes-256       #ESP对数据进行数据加密,加密算法aes-256
   #
3.3 创建IKE PROPOSAL(IKE安全提议)
*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护
(1)配置IKE的加密算法;(2)配置IKE的认证算法;(3)配置认证方式;(4)配置DH组,默认14
  #
  ike proposal 1      #创建名称为1的ike proposal
  encryption-algorithm aes-256   #加密算法为aes-256
  dh group14  #协商密钥的过程,使用2048位的DH算法做保护
  authentication-algorithm sha2-256    #认证算法
  authentication-method pre-share      #认证方式,配置为预共享密钥,可选还有签名、证书认证。
  (可选)integrity-algorithm hmac-sha2-256    #完整性算法,默认配置
  (可选)prf hmac-sha2-256    #PRF算法,默认设置
  #
3.4 IKE Peer
  (1)设置预共享密钥的密码;(2)配置远程VPN局点的公网IP地址;(3)引用ike安全提议;(4)配置信息交换模式(主、野蛮模式);(5)开启NAT穿越(nat traversal)
  #
  ike peer ike147231146655
  exchange-mode auto    #ike对等体信息交换模式为自动模式,且默认是主模式,当双方都有固定公网IP时,建议使用主模式(Main)。若有一方是自动获取IP,使用野蛮模式(Aggressive)
  pre-shared-key %^%#{@6Q%J8<-C)cZ/U`17[4B\[22H&7>ZhfB:DRx0,R%^%#   #配置预共享密钥的密码,二端必须保持一致,否则会导致协商失败。
  ike-proposal 1     #将ike安全提议与ike peer绑定
  (可选)remote-id-type none   #不用设置
  (可选)dpd type periodic     #不用设置
  remote-address 200.1.1.1   #指定远端设备公网IP地址
  #
3.5 ipsec policy 创建ISAKMP方式IPSec安全策略
  一个ipsec policy可与多个对端的IPSEC POLICY建立不同的隧道。
  (1)引用acl;(2)引用ike peer;(3)引用IPSEC PROPOSAL(ipsec安全提议)

  #
  ipsec policy ipsec1472311463 1 isakmp   #创建名称为ipsec1472311463 序号为1
  security acl 3000     #引用acl,将感兴趣流与ipsec policy绑定
  ike-peer ike147231146655   #将ike对等体与ipsec policy绑定
  proposal prop14723114665   #将安全提议与ipsec policy绑定,一个ISAKMP方式IPSec安全策略最多可以引用12个IPSec安全提议
  (可选)tunnel local applied-interface #配置IPSec隧道的本端地址
  (可选)alias WJ #别名
 (可选) sa trigger-mode auto
  (可选)sa duration traffic-based 10485760
  (可选)sa duration time-based 3600
  #
3.6 将IPSEC POLICY应用到接口上
  #
  interface GigabitEthernet1/0/0
  ip address 100.1.1.1 255.255.255.0
  service-manage ping permit
  ipsec policy ipsec1472311463
  #
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。
 ip service-set isakmp type object
 service 0 protocol udp source-port 500 destination-port 500
 service 0 protocol udp source-port 4500 destination-port 4500
第二部分  配置安全策略放行VPN和yewo流量  
  #
security-policy
 rule name VPN
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 100.1.1.1 mask 255.255.255.255
  source-address 200.1.1.1 mask 255.255.255.255
  destination-address 100.1.1.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  service isakmp          #允许访问isakmp服务
  service protocol 50     #放行ESP服务,协议号是50;AH协议号是51;GRE协议号是47
  action permit
 rule name yewo
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address address-set 192.168.1.0/24
  source-address address-set 192.168.2.0/24
  destination-address address-set 192.168.1.0/24
  destination-address address-set 192.168.2.0/24
  action permit
第三部分 配置NAT策略
*为了解决防火墙作为NAT设备代理所有内网用户上网,需要将VPN业务的流量不作NAT转换处理。把VPN的NAT策略放在最上面,然后再是普通内网用户的上网NAT转换策略。
#
nat-policy
 rule name VPN
  source-zone trust
  destination-zone untrust
  source-address address-set 192.168.1.0/24
  source-address address-set ftp
  destination-address address-set 192.168.2.0/24
  destination-address address-set ftp
  action no-nat
 rule name shangwang
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
#

  • 2
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
以下是锐捷IPsec配置步骤及命令详解: 1. 配置本地设备 首先需要在本地设备上配置IPsec参数,包括预共享密钥、加密算法、认证算法等。具体命令如下: ``` ipsec policy-template policy_name pre-shared-key key proposal proposal_name exit ``` 其中,policy_name是IPsec策略名称,可以自定义;key是预共享密钥,需要与远程设备保持一致;proposal_name是加密认证算法名称,也可以自定义,比如: ``` ipsec proposal proposal_name encryption-algorithm [aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | 3des-cbc | des-cbc] authentication-algorithm [md5 | sha1] lifetime seconds exit ``` 2. 配置远程设备 接下来需要配置远程设备,同样需要配置IPsec参数,包括预共享密钥、加密算法、认证算法等。具体命令如下: ``` ipsec peer peer_name ike-group ike_group_name pre-shared-key key proposal proposal_name local-address ip_address remote-address ip_address exit ``` 其中,peer_name是远程设备名称,可以自定义;ike_group_name是IKE协议参数组名称,需要与本地设备保持一致;key是预共享密钥,需要与本地设备保持一致;proposal_name是加密认证算法名称,需要与本地设备保持一致;local-address是本地设备IP地址;remote-address是远程设备IP地址。 3. 配置IPsec隧道 接下来需要配置IPsec隧道,将本地设备和远程设备连接起来。具体命令如下: ``` ipsec tunnel tunnel_name ipsec peer peer_name local-iface interface remote-iface interface policy policy_name no shutdown exit ``` 其中,tunnel_name是IPsec隧道名称,可以自定义;peer_name是远程设备名称,需要与前面配置的名称保持一致;interface是本地或远程设备的接口名称;policy_name是前面配置IPsec策略名称。 4. 验证IPsec隧道状态 配置完成后,可以通过以下命令来验证IPsec隧道状态: ``` show ipsec tunnel ``` 如果隧道状态为up,则表明IPsec隧道已经建立成功,可以进行数据传输。 以上就是锐捷IPsec配置步骤及命令详解,希望对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值