IPSEC的原理及配置步骤整理(一)


1.概念理清
IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。

2.传输模式和隧道模式比较

安生性:隧道模式高,可以完全对原始IP数据进行加密和验证,在隧道模式下可以隐藏内部IP地址,协议类型和端口。
性能:传输模式高,因隧道模式比传输模式多了一个额外的IP头。
应用场景:隧道模式常用于二个VPN网关设备的通信,即常说的点对点或点对多点,传输模式常用于二个主机之间的通信。

3.IPSEC VPN配置

第一部分 配置IPSEC VPN
3.1 定义感兴趣流(要通过IPSEC进行加密的数据,须结合实际的业务需要对ACL规则进行精细化配置)
   #
   acl number 3000
   rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   rule 10 permit ip source address-set 192.168.1.0/24 destination address-set FTP
   #
3.2 ipsec proposal 创建IPSEC安全提议

作用:保护数据安全
(1)配置封装协议(有AH、ESP和AH-ESP三种);(2)封装模式,隧道或转输;(3)封装协议采用的加密码算法;(4)封装协议采用的认证算法;
*AH没有加密,只有认证;ESP有加密和认证。


   如:
   #
   ipsec proposal prop14723114665  #创建名称为prop14723114665的安全提议
   encapsulation-mode auto  #模式为自动,华为默认是隧道模式。
   @transform ah            #配置安全提仪采用的安全协议,默认是ESP。AH没有加密功能。
   esp authentication-algorithm sha2-256  #配置ESP采用的认证算法(对数据进行完整性检查),sha2-256
   esp encryption-algorithm aes-256       #ESP对数据进行数据加密,加密算法aes-256
   #
3.3 创建IKE PROPOSAL(IKE安全提议)
*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护
(1)配置IKE的加密算法;(2)配置IKE的认证算法;(3)配置认证方式;(4)配置DH组,默认14
  #
  ike proposal 1      #创建名称为1的ike proposal
  encryption-algorithm aes-256   #加密算法为aes-256
  dh group14  #协商密钥的过程,使用2048位的DH算法做保护
  authentication-algorithm sha2-256    #认证算法
  authentication-method pre-share      #认证方式,配置为预共享密钥,可选还有签名、证书认证。
  (可选)integrity-algorithm hmac-sha2-256    #完整性算法,默认配置
  (可选)prf hmac-sha2-256    #PRF算法,默认设置
  #
3.4 IKE Peer
  (1)设置预共享密钥的密码;(2)配置远程VPN局点的公网IP地址;(3)引用ike安全提议;(4)配置信息交换模式(主、野蛮模式);(5)开启NAT穿越(nat traversal)
  #
  ike peer ike147231146655
  exchange-mode auto    #ike对等体信息交换模式为自动模式,且默认是主模式,当双方都有固定公网IP时,建议使用主模式(Main)。若有一方是自动获取IP,使用野蛮模式(Aggressive)
  pre-shared-key %^%#{@6Q%J8<-C)cZ/U`17[4B\[22H&7>ZhfB:DRx0,R%^%#   #配置预共享密钥的密码,二端必须保持一致,否则会导致协商失败。
  ike-proposal 1     #将ike安全提议与ike peer绑定
  (可选)remote-id-type none   #不用设置
  (可选)dpd type periodic     #不用设置
  remote-address 200.1.1.1   #指定远端设备公网IP地址
  #
3.5 ipsec policy 创建ISAKMP方式IPSec安全策略
  一个ipsec policy可与多个对端的IPSEC POLICY建立不同的隧道。
  (1)引用acl;(2)引用ike peer;(3)引用IPSEC PROPOSAL(ipsec安全提议)

  #
  ipsec policy ipsec1472311463 1 isakmp   #创建名称为ipsec1472311463 序号为1
  security acl 3000     #引用acl,将感兴趣流与ipsec policy绑定
  ike-peer ike147231146655   #将ike对等体与ipsec policy绑定
  proposal prop14723114665   #将安全提议与ipsec policy绑定,一个ISAKMP方式IPSec安全策略最多可以引用12个IPSec安全提议
  (可选)tunnel local applied-interface #配置IPSec隧道的本端地址
  (可选)alias WJ #别名
 (可选) sa trigger-mode auto
  (可选)sa duration traffic-based 10485760
  (可选)sa duration time-based 3600
  #
3.6 将IPSEC POLICY应用到接口上
  #
  interface GigabitEthernet1/0/0
  ip address 100.1.1.1 255.255.255.0
  service-manage ping permit
  ipsec policy ipsec1472311463
  #
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。
 ip service-set isakmp type object
 service 0 protocol udp source-port 500 destination-port 500
 service 0 protocol udp source-port 4500 destination-port 4500
第二部分  配置安全策略放行VPN和yewo流量  
  #
security-policy
 rule name VPN
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 100.1.1.1 mask 255.255.255.255
  source-address 200.1.1.1 mask 255.255.255.255
  destination-address 100.1.1.1 mask 255.255.255.255
  destination-address 200.1.1.1 mask 255.255.255.255
  service isakmp          #允许访问isakmp服务
  service protocol 50     #放行ESP服务,协议号是50;AH协议号是51;GRE协议号是47
  action permit
 rule name yewo
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address address-set 192.168.1.0/24
  source-address address-set 192.168.2.0/24
  destination-address address-set 192.168.1.0/24
  destination-address address-set 192.168.2.0/24
  action permit
第三部分 配置NAT策略
*为了解决防火墙作为NAT设备代理所有内网用户上网,需要将VPN业务的流量不作NAT转换处理。把VPN的NAT策略放在最上面,然后再是普通内网用户的上网NAT转换策略。
#
nat-policy
 rule name VPN
  source-zone trust
  destination-zone untrust
  source-address address-set 192.168.1.0/24
  source-address address-set ftp
  destination-address address-set 192.168.2.0/24
  destination-address address-set ftp
  action no-nat
 rule name shangwang
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip
#

  • 2
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值