项目需求:
1、上海总部192.168.2.0段需要与武汉分公司192.168.3.0之间可以互访
2、开发运维人员在家可以通过***连接到上海总部处理问题
当前环境:
需求分析:
1、两个不同地点办公室互通,可以采用IKE协商方式的IPsec×××来实施
2、在家办公可以使用ipsec也可以使用L2TP的方式,本次是为了进一步了解×××,所有搭建了L2TP
具体配置:(首先保证每个路由器的网络都是通的,本次主要是演示***的配置,具体连网配置就略了)
一、Router上海(固定ip端)
1、定义需要保护的数据流(这里的就是从192.168.2.0网段到192.168.3.0网段的数据流)
system acl number 3001 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip
2.创建ipsec安全协议(这里命名为idc123)
system-view ipsec transform-set idc123 protocol esp #配置ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5 esp encryption-algorithm 3des-cbc esp authentication-algorithm md5 quit
3、创建IKE keychain 名称idc123
ike keychain idc123 #simple后面是共享密码,在对端路由器上需要设置一样的 pre-shared-key address 0.0.0.0 0.0.0.0 key simple idc12345 quit
4、创建IKE profile 名称idc123
ike profile idc123 keychain idc123 #这一步很重要,是开启野蛮模式 exchange-mode aggressive #后面的fqdn idc123.com是作为对端的匹配对端设备的,因为对端是ADSL网络没有固定IP match remote identity fqdn idc123.com quit
5、创建一个 IKE 协商方式的 IPsec 安全策略模板,名称为 idc123
ipsec policy-template idc123 1 transform-set idc123 local-address 1.1.1.1 #指定引用IKE profile为idc123 ike-profile idc123 quit
6、引用ipsec安全策略模板,创建一条IKE协商方式的ipsec安全策略,名称idc123 序号1
ipsec policy idc123 1 isakmp template idc123 #将策略在G0/0接口上引用 interface GigabitEthernet 0/0 ipsec apply policy idc123 quit
7、在G0/0上面加流量控制策略(这个在官网手册上面没有写,不加的话,***建立不起来)
acl number 3001 rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip quit interface G0/0 nat outbound 3001
二、RouterB(PPOE拨号端)
1、定义保护数据流从192.168.3.0网段到192.168.2.0网段的数据流
acl number 3000 rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 quit
2、创建ipsec安全协议idc123
system-view ipsec transform-set idc123 protocol esp #配置ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5 esp encryption-algorithm 3des-cbc esp authentication-algorithm md5 quit
3、创建IKE keychain 名称idc123
ike keychain idc123 #simple后面是共享密码,在对端路由器上需要设置一样的 pre-shared-key address 0.0.0.0 0.0.0.0 key simple idc12345 quit
4、创建IKE profile 名称idc123
ike profile idc123 keychain idc123 exchange-mode aggressive #因为没有固定ip,所有要定义一个fqdn来作为自己的标示 local-identity fqdn idc12345 match remote identity address 1.1.1.1 255.255.255.x quit
5、创建一条 IKE 协商方式的 IPsec 安全策略,名称为 idc123,顺序号为 1。
ipsec policy idc123 1 isakmp transform-set idc123 security acl 3000 remote-address 1.1.1.1 ike-profile idc123 quit
6、在拨号口引用第5条建立的策略
#此处一定要在拨号口引用,不然会出错 interface Dialer 1 ipsec apply policy idc123 quit
7、在Dialer 1上面加流量控制策略(这个在官网手册上面没有写,不加的话,***建立不起来)
acl number 3001 rule 0 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 5 permit ip quit interface Dialer1 nat outbound 3001
三、测试
如果192.168.3.0向192.168.2.0发送报文信息,则会触发IKE协商
在拨号端:
查看IKE第一阶段生成的IKE SA
[***-adsl] dis ike sa Connection-ID Remote Flag DOI ------------------------------------------------------------------ 39 1.1.1.1 RD IPSEC Flags: RD--READY RL--REPLACED FD-FADING [***-wh]dis ike sa verbose ----------------------------------------------- Connection ID: 39 Outside ×××: Inside ×××: Profile: idc123 Transmitting entity: Initiator ----------------------------------------------- Local IP: 2.2.2.2 Local ID type: FQDN Local ID: idc12345 Remote IP: 1.1.1.1 Remote ID type: IPV4_ADDR Remote ID: 1.1.1.1 Authentication-method: PRE-SHARED-KEY Authentication-algorithm: SHA1 Encryption-algorithm: DES-CBC Life duration(sec): 86400 Remaining key duration(sec): 60278 Exchange-mode: Aggressive Diffie-Hellman group: Group 1 NAT traversal: Detected
查看IKE第二阶段协商生成的ipsec SA
[***-wh]dis ipsec sa ------------------------------- Interface: Dialer1 ------------------------------- ----------------------------- IPsec policy: idc123 Sequence number: 1 Mode: isakmp ----------------------------- Tunnel id: 0 Encapsulation mode: tunnel Perfect forward secrecy: Path MTU: 1343 Tunnel: local address: 2.2.2.2 remote address: 1.1.1.1 Flow: sour addr: 192.168.3.0/255.255.255.0 port: 0 protocol: ip dest addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip [Inbound ESP SAs] SPI: 2447596051 (0x91e35a13) Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5 SA duration (kilobytes/sec): 1843200/3600 SA remaining duration (kilobytes/sec): 1842987/1596 Max received sequence-number: 747 Anti-replay check enable: Y Anti-replay window size: 64 UDP encapsulation used for NAT traversal: Y Status: active [Outbound ESP SAs] SPI: 2753525522 (0xa41f7712) Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5 SA duration (kilobytes/sec): 1843200/3600 SA remaining duration (kilobytes/sec): 1843113/1596 Max sent sequence-number: 794 UDP encapsulation used for NAT traversal: Y Status: active
说明:信息中的2.2.2.2是有adsl自动获取的ip,此处仅供参考
如果查看到的状态跟上面显示的相同的话,基本上这个通过IKE协商方式的ipsec ×××就建立起来了!!
关于在家办公的***,这里先忽略一下,基本思路是使用L2TP***来实施!!最近没时间,等有时间再来分享!!
转载于:https://blog.51cto.com/chenyicai/1632956