项目需求

1、上海总部192.168.2.0段需要与武汉分公司192.168.3.0之间可以互访

2、开发运维人员在家可以通过***连接到上海总部处理问题


当前环境

wKioL1Us6LHwIvIeAACqSWfMt3E222.jpg


需求分析:

1、两个不同地点办公室互通,可以采用IKE协商方式的IPsec×××来实施

2、在家办公可以使用ipsec也可以使用L2TP的方式,本次是为了进一步了解×××,所有搭建了L2TP


具体配置:(首先保证每个路由器的网络都是通的,本次主要是演示***的配置,具体连网配置就略了)

一、Router上海(固定ip端)

1、定义需要保护的数据流(这里的就是从192.168.2.0网段到192.168.3.0网段的数据流)

system
acl number 3001
 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
 rule 5 permit ip

2.创建ipsec安全协议(这里命名为idc123)

system-view
ipsec transform-set idc123
protocol esp
#配置ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5
 esp encryption-algorithm 3des-cbc 
 esp authentication-algorithm md5 
 quit

3、创建IKE keychain 名称idc123

ike keychain idc123
#simple后面是共享密码,在对端路由器上需要设置一样的
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple idc12345
 quit

4、创建IKE profile 名称idc123

ike profile idc123
 keychain idc123
 #这一步很重要,是开启野蛮模式
 exchange-mode aggressive
 #后面的fqdn idc123.com是作为对端的匹配对端设备的,因为对端是ADSL网络没有固定IP
 match remote identity fqdn idc123.com
quit

5、创建一个 IKE 协商方式的 IPsec 安全策略模板,名称为 idc123

ipsec policy-template idc123 1
 transform-set idc123 
 local-address 1.1.1.1
#指定引用IKE profile为idc123 
 ike-profile idc123
quit

6、引用ipsec安全策略模板,创建一条IKE协商方式的ipsec安全策略,名称idc123 序号1

ipsec policy idc123 1 isakmp template idc123
#将策略在G0/0接口上引用
interface GigabitEthernet 0/0
  ipsec apply policy idc123
quit


7、在G0/0上面加流量控制策略(这个在官网手册上面没有写,不加的话,***建立不起来)

acl number 3001
 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
 rule 5 permit ip
quit
interface G0/0
nat outbound 3001



二、RouterB(PPOE拨号端)

1、定义保护数据流从192.168.3.0网段到192.168.2.0网段的数据流

acl number 3000
 rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
quit

2、创建ipsec安全协议idc123

system-view
ipsec transform-set idc123
protocol esp
#配置ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5
 esp encryption-algorithm 3des-cbc 
 esp authentication-algorithm md5 
 quit

3、创建IKE keychain 名称idc123

ike keychain idc123
#simple后面是共享密码,在对端路由器上需要设置一样的
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple idc12345
 quit

4、创建IKE profile 名称idc123

ike profile idc123
 keychain idc123
 exchange-mode aggressive
#因为没有固定ip,所有要定义一个fqdn来作为自己的标示
 local-identity fqdn idc12345
 match remote identity address 1.1.1.1 255.255.255.x
quit

5、创建一条 IKE 协商方式的 IPsec 安全策略,名称为 idc123,顺序号为 1。

ipsec policy idc123 1 isakmp
 transform-set idc123 
 security acl 3000 
 remote-address 1.1.1.1
 ike-profile idc123
quit

6、在拨号口引用第5条建立的策略

#此处一定要在拨号口引用,不然会出错
interface Dialer 1
ipsec apply policy idc123
quit

7、在Dialer 1上面加流量控制策略(这个在官网手册上面没有写,不加的话,***建立不起来)

acl number 3001
 rule 0 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 5 permit ip
quit
interface Dialer1
nat outbound 3001

三、测试

如果192.168.3.0向192.168.2.0发送报文信息,则会触发IKE协商

在拨号端:

查看IKE第一阶段生成的IKE SA

[***-adsl] dis ike sa
    Connection-ID   Remote                Flag         DOI    
------------------------------------------------------------------
    39              1.1.1.1               RD           IPSEC  
Flags:
RD--READY RL--REPLACED FD-FADING

[***-wh]dis ike sa verbose 
   -----------------------------------------------
   Connection ID: 39
   Outside ×××: 
   Inside ×××: 
   Profile: idc123
   Transmitting entity: Initiator
   -----------------------------------------------
   Local IP: 2.2.2.2
   Local ID type: FQDN
   Local ID: idc12345

   Remote IP: 1.1.1.1
   Remote ID type: IPV4_ADDR
   Remote ID: 1.1.1.1

   Authentication-method: PRE-SHARED-KEY
   Authentication-algorithm: SHA1
   Encryption-algorithm: DES-CBC

   Life duration(sec): 86400
   Remaining key duration(sec): 60278
   Exchange-mode: Aggressive
   Diffie-Hellman group: Group 1
   NAT traversal: Detected

查看IKE第二阶段协商生成的ipsec SA

[***-wh]dis ipsec sa
-------------------------------
Interface: Dialer1
-------------------------------

  -----------------------------
  IPsec policy: idc123
  Sequence number: 1
  Mode: isakmp
  -----------------------------
    Tunnel id: 0
    Encapsulation mode: tunnel
    Perfect forward secrecy: 
    Path MTU: 1343
    Tunnel:
        local  address: 2.2.2.2
        remote address: 1.1.1.1
    Flow:
    sour addr: 192.168.3.0/255.255.255.0  port: 0  protocol: ip
    dest addr: 192.168.2.0/255.255.255.0  port: 0  protocol: ip

    [Inbound ESP SAs]
      SPI: 2447596051 (0x91e35a13)
      Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1842987/1596
      Max received sequence-number: 747
      Anti-replay check enable: Y
      Anti-replay window size: 64
      UDP encapsulation used for NAT traversal: Y
      Status: active

    [Outbound ESP SAs]
      SPI: 2753525522 (0xa41f7712)
      Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1843113/1596
      Max sent sequence-number: 794
      UDP encapsulation used for NAT traversal: Y
      Status: active

说明:信息中的2.2.2.2是有adsl自动获取的ip,此处仅供参考

如果查看到的状态跟上面显示的相同的话,基本上这个通过IKE协商方式的ipsec ×××就建立起来了!!


关于在家办公的***,这里先忽略一下,基本思路是使用L2TP***来实施!!最近没时间,等有时间再来分享!!