ipsec的ike自动协商模式(MM隧道模式)
转发原理:
1.数据到达fw后,查询路由表,将数据送到g1/0/1,根据ipsec里的控制访问列表,匹配到兴趣流,激活接口绑定的ipsec
2.Ipsec隧道两端建立协商,分为两步:1.ike sa 的协商(1.ike proposal的确认,2.交换公钥,3.发送身份认证信息)2.ipsec sa (协商也是基于路由的基础上建立的)
3.协商完毕,隧道建立后,数据包备送到对端绑定ipsec的接口,查看ip头部是否匹配,然后对比psk是否一致,然后解密
4.解密后根据路由表送到接收方
报文的封装:
Ipsec就像一个安全框架,把业务报文包裹在里面,提高安全性和完整性,机密性
以及变向进行身份确认和重放攻击
Ipsec适用于点对点,为了提高机密性,不支持组播,所以不能用动态路由,且ipsec隧道需要流量激活才能建立,与gre不一样,gre是静态隧道
配置:(这里接口ip和安全区域不加以配置了)
Ike proposal 1(可以使用默认算法)
Ike peer ngfw2
Ike-proposal 1
Remort-add 202.1.1.1
Psk Huawei@123(两端一定要一致)
Acl 3000(匹配兴趣流)
Rule pemirt ip source 192.168.10.1 0 destination 192.168.20.1 0
Ipsec proposal 1(可以使用默认算法及模式)
Ipsec policy ipsec 1 isk
Security acl 3000
Proposal 1
Ike peer ngfw2
Int g1/0/1
Ipsec policy ipsec(应用到接口)
Ip route-static 192.168.20.0 24 101.1.1.254(配置引流路由)
Ip route-static 0.0.0.0 0 101.1.1.254(缺省路由)
排错时可查看ike的安全联盟是否建立以及会话表是否有udp控制报文和ESP的会话,udp和esp一定要是公网地址