锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用域名发起协商（野蛮模式）

目录

锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用域名发起协商（野蛮模式）

功能介绍

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

---

锐捷网络—VPN功能—IPSEC 基础配置—IPSec使用域名发起协商（野蛮模式）

功能介绍

IPSEC动态隧道主要适用于复杂程度较高的网络架构，在核心节点处部署动态隧道以接收来自各个分支区域的IPSEC VPN接入请求。通过在中心节点进行配置能够实现简便的操作流程并提供便捷的操作体验同时保证了系统的良好扩展性

由于各分支的IP地址并非固定不变，并且存在变动性特征，在这种情况下就无法仅凭IP地址来单独指定不同的预共享密钥。若所有分支均采用相同的预共享密钥，则极大风险地可能导致密钥泄露事件的发生，从而严重威胁到网络的安全性。采用基于域名的身份认证机制则有效解决了这一问题。具体而言，在系统架构中可以通过为每个分段配置独特的域名，并相应地，在中心节点上依据所管理的各个域名分别设置相应的密钥。这种设计不仅保证了网络的安全性而且提高了系统的管理效率。

一、组网需求

某企业随着业务拓展，在全国各地设立若干分支机构。总部出口路由器经由运营商专线接入互联网；各分支则通常会采用专线或ADSL两种途径接入互联网。分支机构在开展业务时会被总部的业务服务器所访问，并采取措施对分支与总部间通信的数据进行加密处理；这有助于确保数据传输的安全性以及企业的整体运营安全

采用在总部出口路由器上部署动态IPSec VPN的技术方案，以接收来自分支机构的接入请求，并确保分支与总部之间的业务交流和数据传输的安全性。当各分支机构尝试建立VPN连接时，系统会对不同分支机构进行身份认证。

二、组网拓扑

三、配置要点

1、配置总部路由器和各分支路由器，使其能够正常访问互联网

2、在总部出口路由器上配置动态IPSEC VPN隧道

（1）配置isakmp策略

（2）配置预共享密钥

（3）配置isakmp模式自动识别

（3）配置ipsec加密转换集

（4）配置动态ipsec加密图

（5）将动态ipsec加密图映射到静态的ipsec加密图中

（6）将加密图应用到接口

3、在总部路由器上配置路由，将各分支网段路由指向出口

4、在分支路由器上配置静态IPSEC VPN隧道

（1）配置本地身份

（2）配置ipsec感兴趣流

（2）配置isakmp策略

（3）配置预共享密钥

（4）配置ipsec加密转换集

（5）配置ipsec加密图

（6）将加密图应用到接口

5、在分支路由器上配置路由，将总部网段路由指向出口

注意：

• 采用IPSec协议通信的IP网段不可重叠。
  • RSR50/RSR50E涉及IPSec功能必须配备AIM-VPN加密卡（如何确认RSR50/RSR50E是否已配备AIM-VPN加密卡，请查阅文章末尾附录部分）

四、配置步骤

1、配置总部路由器和各分支路由器，使其能够正常访问互联网

保证在分支路由器上能够ping通总部路由器外网口公网IP地址。

2、在总部出口路由器上配置动态IPSEC VPN隧道

（1）配置isakmp策略

crypto isakmp policy 1//创建新的isakmp策略

encryption 3des //指定使用3DES进行加密

指定认证方案为预共享密码。具体实施时可采用以下两种方式：一种是通过数字证书配置 RSA 加密签名（authentication rsa-sig），另一种是通过数字电子 envelopes 配置 RSA 加密签名（authentication digital-email）。

指定认证方案为预共享密码。具体实施时可采用以下两种方式：一种是通过数字证书配置 RSA 加密签名（authentication rsa-sig），另一种是通过数字电子 envelopes 配置 RSA 加密签名（authentication digital-email）。

（2）配置预共享密钥

crypto isakmp key 0 password3 hostname site3.ruijie.com.cn

crypto isakmp key 0 password2 hostname site2.ruijie.com.cn

请依次为各个分支配置相应的预共享密钥，并通过hostname参数明确各分支对应的域名地址。

（3）配置isakmp模式自动识别

该协议通过配置 IsakMP 模式自动检测并识别 IsakMP 模式（Crypto ISAKMP），以便该分支能够接受 IKE 积极模式的协商。

（3）配置ipsec加密转换集

基于Crypto的IPsec配置文件中定义了一个名为myset的转换集。该转换集采用ESP封装Des加密的方式实现数据传输，并同时采用HMAC-MD5确保数据完整性。

（4）配置动态ipsec加密图

crypto dynamic-map dymymap 5//新建名为“dymymap”的动态ipsec加密图

set transform-set myset //指定加密转换集为“myset”

（5）将动态ipsec加密图映射到静态的ipsec加密图中

实现动态创建映射表用于将IPsec-Iasselkamp协议的数据图与静态IPsec-Iasselkamp协议的数据图之间建立关联

（6）将加密图应用到接口

interface GigabitEthernet 0/0

crypto map mymap

3、在总部路由器上配置路由，将各分支网段路由指向出口

ip route 192.168.1.0 255.255.255.0 10.0.0.2

ip route 192.168.2.0 255.255.255.0 10.0.0.2

ip route 192.168.3.0 255.255.255.0 10.0.0.2

......

4、在分支路由器上配置静态IPSEC VPN隧道（以分支1为例）

（1）配置本地身份

self-identity fqdn site1.ruijie.com.cn //配置本地身份为“site1.ruijie.com”

（2）配置ipsec感兴趣流

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 //指定感兴趣流为源地址192.168.1.0/24，目的地址为192.168.0.0/24的网段。

（2）配置isakmp策略

crypto isakmp keepalive 5 periodic//配置IPSEC DPD探测功能

crypto isakmp policy 1//创建新的isakmp策略

用于设置认证方式为预共享密码。通过配置数字证书可选择"RSA签名"（authentication rsa-sig），通过配置数字封信可选择"数字邮箱签名"（authentication digital-email）。

encryption 3des//指定使用3DES进行加密

（3）配置预共享密钥

此处使用 crypto isakmp 建立 pre-shared key（PSK），将预共享密钥设置为“password1”。此密钥需与总部在该分支上指定的相应分支密钥保持一致。当采用数字证书或电子封章进行认证时，则无需进行配置。

（4）配置ipsec加密转换集

通过IPsec协议进行加密，并设置转换集用于特定集合的ESP封装Des加密操作；同时启用基于MD5算法的哈希消息认证码（HMAC）作为认证机制。

（5）配置ipsec加密图

crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图

set peer 10.0.0.2//指定peer地址

set transform-set myset//指定加密转换集为“myset”

set exchange-mode aggressive //指定采用积极模式发起IKE协商

match address 101//指定感兴趣流为ACL 101

（6）将加密图应用到接口

interface dialer 0

crypto map mymap

5、在分支路由器上配置路由，将总部网段路由指向出口

ip route 192.168.0.0 255.255.255.0 dialer 0

五、配置验证

1、在分支1路由器上以源地址192.168.1.1 ping 192.168.0.1，能够正常通信

R1#ping 192.168.0.1 source 192.168.1.1

Sending 5, 100-byte ICMP Echoes to 192.168.1.1, timeout is 2 seconds:

< press Ctrl+C to break>

.!!!!

2、在分支1路由器上查看isakmp、ipsec sa是否已经协商成功

Ruijie#show crypto isakmp sa //查看isakmp sa协商情况

destinationsourcestateconn-idlifetime(second)

10.0.0.210.0.0.1IKE_IDLE0 84129//isakmp协商成功，状态为IKE_IDLE

Ruijie#show crypto ipsec sa//查看ipsec sa协商情况

Interface: GigabitEthernet 0/0

Crypto map tag:mymap //接口下所应用的加密图名称

local ipv4 addr 10.0.0.1//进行isakmp/ipsec协商时所使用的IP地址

media mtu 1500

==================================

sub_map type:static, seqno:5, id=0

local ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) //感兴趣流源地址

remote ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) //感兴趣流目的地址

PERMIT

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4//成功封装、加密、摘要报文个数

数量上分别达到4份。
该系统实现了数据包的解封装和完成。
完成了对数据包的解密操作。
当存在通过IPSEC进行加密的数据传输时，
持续执行命令show crypto ipsec sa将观察到上述统计值不断递增。
验证了报文的数量并确认其完整性。

#send errors: 0, #recv errors: 0//通常该统计不会上升。

Inbound esp sas:

spi:0x2ecca8e (49072782)//ipsec sa入方向的spi

transform: esp-des esp-md5-hmac //ipsec加密转换集为esp-des esp-md5-hmac

in use settings={Tunnel Encaps,}//采用隧道模式

crypto map mymap 5

定时器设置参数：剩余密钥存活时间（千字节每秒）//运算结果为 4, 余数为 1, 千字节每秒

IV size: 8 bytes //IV向量长度为8

Replay detection support:Y//抗重播处理

Outbound esp sas:

SPI地址值：0x5730dd4b （1462820171）//表示IPsec SA输出方向的SPI地址值。仅凭检测到inbound SPI地址值和outbound SPI地址值才能确定IPsec SA已达成协商。

transform: esp-des esp-md5-hmac

in use settings={Tunnel Encaps,}

crypto map mymap 5

sa timing: remaining key lifetime (k/sec): (4606998/1324)

IV size: 8 bytes

Replay detection support:Y