IPSec VPN配置流程
- 先配置IKE安全提议
- 配置IKE对等体,调用IKE提议
- 配置需要保护的感兴趣流
- 配置IPSec 的安全提议
- 配置IPSec策略
- 在接口调用IPSec策略
IPSEC VPN各场景配置示例
采用IKEV1-主模式实验 :
配置思路:
第一步: 阶段一
协商IKE SA(ISAKMP SA)
1. 配置IKE的安全提议
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha2-256
integrity-algorithm hmac-sha2-256
2. 配置IKE对等体
ike peer 10
pre-shared-key Huawei@123
ike-proposal 1
undo version 2 ------------关闭V2
remote-address 202.100.1.11
第二步: 阶段二
协商IPSEC SA
1. 配置感兴趣流(互为镜像)
FW1
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
FW2
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
2. 配置IPSEC安全提议
ipsec proposal 10
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
3. 配置IPSEC策略
ipsec policy ipsec_vpn 1 isakmp
security acl 3000
ike-peer fw2
proposal fw2
4.调用
interface GigabitEthernet0/0/2
ipsec policy ipsec_vpn auto-neg
自动协商
第三步:放行安全策略
自定义isakmp
ip service-set ISAKMP type object
service 0 protocol udp source-port 0 to 65535 destination-port 500
定义地址集
ip address-set ipsec1 type object
address 0 202.100.1.10 mask 32
address 1 202.100.1.11 mask 32
#
ip address-set ipsec2 type object
address 0 10.1.1.0 mask 24
address 1 10.1.2.0 mask 24
security-policy
rule name ipsec1 --------------放行ISAKMP和ESP
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
source-address address-set ipsec1
destination-address address-set ipsec1
service ISAKMP ------------自定义
service esp
action permit
rule name ipsec2 --------------放行实际通信流量
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
source-address address-set ipsec2
destination-address address-set ipsec2
action permit
#
测试检查:
display ike sa命令输出信息描述
项目 | 描述 |
---|---|
IKE SA information | 安全联盟配置信息。 |
Conn-ID | 安全联盟的连接索引。 |
Peer | 对端的IP地址和UDP端口号。 |
VPN | 应用IPSec安全策略的接口所绑定的VPN实例。说明:虚拟系统不显示此字段。 |
Flag(s) | 安全联盟的状态:RD–READY:表示此SA已建立成功。ST–STAYALIVE:表示此端是通道协商发起方。RL–REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。FD–FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。TO–TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。HRT–HEARTBEAT:表示本端IKE SA发送heartbeat报文。LKG–LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。BCK–BACKED UP:表示备份状态。M–ACTIVE:表示IPSec策略组状态为主状态。S–STANDBY:表示IPSec策略组状态为备状态。A–ALONE:表示IPSec策略组状态为不备份状态。NEG–NEGOTIATING:表示SA正在协商中。字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。 |
Phase | SA所属阶段:v1:1或v2:1:v1和v2表示IKE的版本;1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。v1:2或v2:2:v1和v2表示IKE的版本;2表示协商安全服务的阶段,此阶段建立IPSec SA。 |
RemoteType | 对端ID类型。 |
RemoteID | 对端ID。 |
采用IKEv1----野蛮模式实验:
如果采用IP方式,配置思路同主模式。
区别点:
ike peer XXX
exchange-mode aggressive
注:野蛮模式配置
[FW1-ipsec-policy-isakmp-ipsec3311155855-1]ike-peer ike 10
Error: ike peer's remote addresses or domain name should be configed.
[FW1-ipsec-policy-isakmp-ipsec3311155855-1]
华为不推荐野蛮模式解决非固定IP地址,建议采用模板方式
华为配置野蛮模式时,只能配置Domain Name(FQDN,USER-FQDN,域名),不能配置name。配name还需要配置remote-Address。
模板方式:
策略模板适用于中心站点规定地址,分支站点较多且使用动态地址的工程环境。
优点:可以不用配置IP地址。
缺点:不能主动发起连接,只能等待对端发起连接。
模板配置流程图:
策略模板配置思路:
第一步:阶段一
1. IKE安全提议
2. IKE对等体(变化)
ike peer spoke
pre-shared-key Huawei@123
ike-proposal 10
undo version 2
第二步:阶段二
1.IPSEC安全提议
2.策略模板(模板方式)
ipsec policy-template ipsec_temp 1
security acl 3000
ike-peer spoke
proposal 10
3.策略调用模板
ipsec policy ipsec_policy 1000 isakmp template ipsec_temp
Hub Spoke IPsec VPN组网(预共享密钥):
配置思路:
Spoke1和Spoke2的配置思路同站点到站点的IPSec VPN配置思路。
唯一不同的是,Hub端因为不知道对方的IP地址,需要配置为策略模板方式。
在放行感兴趣流时,Hub需要放行与Spoke1和Spoke2通信的流量。
为了使Spoke1和Spoke2也能通信,需要多配置感兴趣流。
在Hub端配置10.1.2.0/24 —> 10.1.3.0/24,10.1.3.0/24 —> 10.1.2.0/24
在Spoke1配置:10.1.3.0/24 --> 10.1.2.0/24
在Spoke2配置:10.1.2.0/24 --> 10.1.3.0/24
最后协商状态如下:
通过测试,PC1与PC2,PC3之间可以互相通信。
Site to Site IPSec VPN(证书认证):
配置思路:
阶段一:
ike proposal 10
authentication-method rsa-sig ----------变化,认证方式默认是预共享密钥,改成数字证书
authentication-algorithm sha2-256
integrity-algorithm aes-xcbc-96 hmac-sha2-256
#
ike peer ike 10
exchange-mode auto
certificate local-filename fw11.cer -------调用本地证书
ike-proposal 10
remote-address 202.100.1.11
阶段二:
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
ipsec proposal 10
encapsulation-mode auto
esp authentication-algorithm sha2-256
#
ipsec policy ipsec_policy 10 isakmp
security acl 3000
ike-peer 10
alias ipsec_vpn
proposal 10
interface GigabitEthernet0/0/2
ipsec policy ipsec_policy
检查测试: