IPsec (主模式,野蛮模式)
发布时间
阅读量:
阅读量
主模式
客户需求:
R1 和 R3 上配置 IPsec VPN,使两端私网可以互相访问
#配置ip地址
[r1]inter g0/0
[r1-GigabitEthernet0/0]ip add 100.1.1.1 24
[r1-GigabitEthernet0/0]inter g0/1
[r1-GigabitEthernet0/1]ip add 1.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2
plaintext#创建高级ACL 3000 抓取允许源为1.1.1.0网段的访问2.2.2.0网段
[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule permit ip source1.1.1.0 0.0.0.255 destination2.2.2.0 0.0.0.255
[r1-acl-ipv4-adv-3000]qu
[r1]ikeproposal 1 //创建ikeproposal(提议) 名称为1
[r1-ike-proposal-1]qu
[r1]ike keychain r1 //创建ike keychain密钥名称为r1
[r1-ike-keychain-r1]pre-shared-key address200.1.1.1 key simple 123 //配置预共享密钥
密码为123(两边密码要一致)
[r1]ike profile r1 //创建一个IKE profile (模板)名称为r1
//[r1-ike-profile-r1]exchange-mode aggressive(野蛮模式)/main(主模式)//设置使用模式,默认是主模式
[r1-ike-profile-r1]keychain r1 //配置采用预共享密钥认证时,所使用的keychain
[r1-ike-profile-r1]proposal 1 //配置IKE profile引用的IKE提议
[r1-ike-profile-r1]local-identity address100.1.1.1 //指定IPsec隧道的本端IP地址
[r1-ike-profile-r1]match remote identityaddress 200.1.1.1 //指定IPsec隧道的对端IP地址
[r1]ipsec transform-set tran1 //创建IPsec安全提议tran1
//#[r1-ipsec-transform-set-tran1]protocol esp/ah/ ah-esp //指定所用协议,默认是esp
//#[r1-ipsec-transform-set-tran1]encapsulation-mode tunnel(隧道模式)/transport(传输模式) 默认使用隧道模式
[r1-ipsec-transform-set-tran1]espauthentication-algorithm md5 //配置ESP认证算法为MD5
[r1-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc //配置ESP协议采用的加密算法为3des-cbc (两端认证和加密算法要一致)
[r1]ipsec policy r1 1 isakmp(自动)/manual(手动) 创建一条自动方式的IPsec安全策略,名称为r1,序列号为1
[r1-ipsec-policy-isakmp-r1-1]security acl3000 //指定引用acl3000
[r1-ipsec-policy-isakmp-r1-1]ike-profile r1 //引用ike模板r1
[r1-ipsec-policy-isakmp-r1-1]transform-settran1 //指定引用的IPsec安全提议为tran1
[r1-ipsec-policy-isakmp-r1-1]remote-address200.1.1.1 //指定IPsec隧道对端IP地址
plaintext
 [r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr1 在出接口上应用IPsec安全策略r1
plaintext [r2]inter g0/0
[r2-GigabitEthernet0/0]ip add 100.1.1.2 24
[r2-GigabitEthernet0/0]inter g0/1
[r2-GigabitEthernet0/1]ip add 200.1.1.2 24
plaintext [r3]inter g0/0
[r3-GigabitEthernet0/0]ip add 200.1.1.1 24
[r3-GigabitEthernet0/0]inter g0/1
[r3-GigabitEthernet0/1]ip add 2.2.2.1 24
[r3]ip route-static 0.0.0.0 0 200.1.1.2
plaintext#创建高级acl 3000 抓取2.2.2.0 到1.1.1.0 网段的数据
[r3]acl advanced 3000
[r3-acl-ipv4-adv-3000]rule permit ip source2.2.2.0 0.0.0.255 destination1.1.1.0 0.0.0.255
[r3]ike proposal 1 //创建ike proposal (提议)名称为1
[r3-ike-proposal-1]qu
[r3]ike keychain r3 //创建ike keychain密钥为r3
[r3-ike-keychain-r3]pre-shared-key address100.1.1.1 key simple 123 //配置预共享密钥
密码为123(两边密码要一致)
[r3]ike profiler3 创建ike profile(模板) 名称为r3
[r3-ike-profile-r3]keychain r3 //配置采用预共享密钥认证时,所使用的keychain
[r3-ike-profile-r3]proposal 1 //配置IKE profile引用的IKE提议
[r3-ike-profile-r3]local-identity address200.1.1.1 //指定IPsec隧道的本端IP地址
[r3-ike-profile-r3]match remote identityaddress 100.1.1.1 //指定IPsec隧道的对端IP地址
[r3]ipsectransform-set tran1 //创建IPsec安全提议tran1
[r3-ipsec-transform-set-tran1]espauthentication-algorithm md5 //配置ESP认证算法为MD5
[r3-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc //配置ESP协议采用的加密算法为3des-cbc (两端认证和加密算法要一致)
[r3]ipsec policy r3 1 isakmp //创建一条自动方式的IPsec安全策略,名称为r3,序列号为1
[r3-ipsec-policy-isakmp-r3-1]security acl3000 ////指定引用acl3000
[r3-ipsec-policy-isakmp-r3-1]ike-profile r3
[r3-ipsec-policy-isakmp-r3-1]transform-settran1 //指定引用的IPsec安全提议为tran1
[r3-ipsec-policy-isakmp-r3-1]remote-address100.1.1.1 //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr3 //在出接口上应用IPsec安全策略r3
plaintext
私网之间可以互通
查看ike 的安全联盟 ipsec的安全联盟
重启ipsec进程
Reset ipsce sa
Reset ike sa
野蛮模式
客户需求:
WH,SH的公网地址不固定,由R2 dhcp动态分配
一端公网地址不固定,主模式不能用,所以只能用野蛮模式
实验步骤:
配置ip地址
[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ip add 100.1.1.1 24
[BJ-GigabitEthernet0/0]inter g0/1
[BJ-GigabitEthernet0/1]ip add 192.168.1.124
plaintext [R2]inter g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]inter g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]inter g0/2
[R2-GigabitEthernet0/2]ip add 100.3.3.2 24
plaintext [SH]inter g0/1
[SH-GigabitEthernet0/1]ip add 192.168.2.124
plaintext公网接口暂不配置
[WH]inter g0/1
[WH-GigabitEthernet0/1]ip add 192.168.3.124
plaintext公网接口暂不配置
BJ上需要配置默认路由
[BJ]ip route-static 0.0.0.0 0 100.1.1.2
plaintextR2上配置DHCP,自动给SH WH分配公网地址,ip-pool 2代表给SH分配 3代表给WH分配
[R2]dhcp enable //开启DHCP功能
[R2]dhcp server ip-pool 2 //创建地址池2
[R2-dhcp-pool-2]network 100.2.2.0 mask255.255.255.0 //配置分配地址段
[R2-dhcp-pool-2]gateway-list 100.2.2.2 //配置分配网关(R2对应接口的地址)
[R2-dhcp-pool-2]qu
[R2]dhcp server ip-pool 3 //创建地址池3
[R2-dhcp-pool-3]network 100.3.3.0 mask255.255.255.0 //配置分配地址段
[R2-dhcp-pool-3]gateway-list 100.3.3.2 //配置分配网关(R2对应接口的地址)
plaintext在SH WH的公网接口开启自动获取
[SH]inter g0/0
[SH-GigabitEthernet0/0]ip add dhcp-alloc
[WH]inter g0/0
[WH-GigabitEthernet0/0]ip add dhcp-alloc
plaintext查看可以看到,SH WH连接公网的接口分配到了公网地址
此时查看SH WH的路由表,可以看到有一条优先级为70的默认路由,优先级为70的默认路由来自DHCP,下一跳是网关
野蛮模式,固定公网地址方不用配置acl抓取感兴趣流,由不固定方配置acl抓取感兴趣流,固定方收到不固定方的感兴趣流,会自动调换源目地址,自动生成感兴趣流
野蛮模式因为地址不固定,所以必须配置ike名称
[BJ]ike identity fqdn bj //创建ike名称
[BJ]ike proposal 1 //创建ike提议1
[BJ-ike-proposal-1]qu
两个目标时,Ike keychain密钥串名称不用创建两个,可以在一个密钥串里,创建两个不同主机名的密码
[BJ]ike keychain fz //创建密钥串 名称为fz
[BJ-ike-keychain-fz]pre-shared-key hostnamesh key simple 123456 //配置sh的预共享密码123456
[BJ-ike-keychain-fz]pre-shared-key hostnamewh key simple 654321 //配置wh的预共享密码654321
plaintext
[BJ]ike profile sh //创建ike模板sh
[BJ-ike-profile-sh]exchange-mode aggressive //模式修改为野蛮模式
[BJ-ike-profile-sh]match remote identityfqdn sh //指定IPsec隧道的对端主机名为sh
[BJ-ike-profile-sh]proposal 1 //配置引用的IKE提议
[BJ-ike-profile-sh]keychain fz //配置引用的IKE预共享密钥
[BJ]ike profile wh //创建ike模板wh
[BJ-ike-profile-wh]exchange-modeaggressive //模式修改为野蛮模式
[BJ-ike-profile-wh]match remote identityfqdn wh //指定IPsec隧道的对端主机名为wh
[BJ-ike-profile-wh]proposal 1 //配置引用的IKE提议
[BJ-ike-profile-wh]keychain fz //配置引用的IKE预共享密钥
plaintext
如果wh sh所用的安全提议transform-set相同,则只需创建一个安全提议,共同引用
[BJ]ipsec transform-set fz //创建一个安全提议 名称为fz
[BJ-ipsec-transform-set-fz]espauthentication-algorithm md5 //配置ESP认证算法为MD5
[BJ-ipsec-transform-set-fz]espencryption-algorithm des-cbc //配置ESP加密算法为des-cbc
plaintext一个端口只能调用一个ipsec策略,所以需要创建ipsec策略模板,才能一个策略可以调用多个策略模板
创建sh的策略模板,并调用安全提议fz,IKE模板sh
[BJ]ipsec policy-template sh 1 //创建sh的ipsec策略模板1
[BJ-ipsec-policy-template-sh-1]transform-setfz //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profilesh //调用sh的ike模板sh
plaintext创建wh的策略模板,并调用安全提议fz,IKE模板wh
[BJ]ipsec policy-template wh 1 //创建wh的ipsec策略模板1
[BJ-ipsec-policy-template-sh-1]transform-setfz //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profile wh //调用sh的ike模板sh
plaintext创建ipsec策略名称为fz 1号规则自动协商引用策略模板sh
[BJ]ipsec policy fz 1 isakmp template sh
plaintext创建ipsec策略名称为fz 2号规则自动协商引用策略模板wh
[BJ]ipsec policy fz 2 isakmp template wh
plaintext
最后进入出接口,下发fz策略
[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ipsec apply policyfz
plaintextSH路由器上配置高级acl,抓取2.0到1.0的感兴趣流
[SH]acl advanced 3000
[SH-acl-ipv4-adv-3000]rule permit ip source192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SH]ike proposal 1 //创建ike提议1
[SH-ike-proposal-1]qu
[SH]ike identity fqdn sh //创建ike名称
[SH]ike keychain bj //创建密钥串 名称为bj
[SH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple 123456 //配置bj的预共享密码123456
[SH-ike-keychain-bj]qu
plaintext [SH]ike profile bj //创建ike模板,名称bj
[SH-ike-profile-bj]exchange-mode aggressive //修改模式为野蛮模式
[SH-ike-profile-bj]match remote identityfqdn bj //指定IPsec隧道的对端主机名为bj
[SH-ike-profile-bj]proposal 1 //配置引用的IKE提议
[SH-ike-profile-bj]keychain bj //配置引用的IKE预共享密钥
plaintext [SH]ipsectransform-set bj //创建一个安全提议名称为bj
[SH-ipsec-transform-set-bj]espencryption-algorithm des-cbc //配置ESP加密算法为des-cbc
[SH-ipsec-transform-set-bj]espauthentication-algorithm md5 //配置ESP认证算法为MD5
plaintext [SH]ipsec policy bj 1 isakmp 创建ipsec策略名称为bj 1号规则自动协商
[SH-ipsec-policy-isakmp-bj-1]security acl3000 //指定引用acl3000
[SH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1 //指定IPsec隧道对端IP地址
[SH-ipsec-policy-isakmp-bj-1]transform-setbj //指定引用安全提议bj
[SH-ipsec-policy-isakmp-bj-1]ike-profile bj //指定引用IKE模板bj
plaintext出接口下发策略
[SH]inter g0/0
[SH-GigabitEthernet0/0]ipsec apply policybj
plaintext创建高级acl,抓取3.0到1.0的兴趣流
[WH]acl advanced 3000
[WH-acl-ipv4-adv-3000]rule permit ip source192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[WH]ike identity fqdn wh //创建IKE名称wh
[WH]ike proposal 1 //创建IKE提议 1
[WH-ike-proposal-1]qu
[WH]ike keychain bj //创建密钥串 bj
[WH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple 654321 //配置bj的预共享密码654321
plaintext [WH]ike profile bj //创建IKE模板
[WH-ike-profile-bj]exchange-mode aggressive //修改模式为野蛮模式
[WH-ike-profile-bj]match remote identityfqdn bj //指定IPsec隧道的对端主机名为bj
[WH-ike-profile-bj]keychain bj //配置引用的IKE预共享密钥
[WH-ike-profile-bj]proposal 1 //配置引用的IKE提议
plaintext [WH]ipsec transform-set bj //创建一个安全提议 名称为bj
[WH-ipsec-transform-set-bj]espauthentication-algorithm md5 //配置ESP认证算法为md5
[WH-ipsec-transform-set-bj]espencryption-algorithm des-cbc //配置ESP加密算法为des-cbc
[WH]ipsec policy bj 1 isakmp //创建ipsec策略名称为bj 1号规则自动协商
[WH-ipsec-policy-isakmp-bj-1]security acl3000 //指定引用acl3000
[WH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1 //指定IPsec隧道对端IP地址
[WH-ipsec-policy-isakmp-bj-1]transform-setbj //指定引用安全提议bj
[WH-ipsec-policy-isakmp-bj-1]ike-profile bj //指定引用IKE模板bj
plaintext出接口下发bj策略
[WH]inter g0/0
[WH-GigabitEthernet0/0]ipsec apply policybj
plaintext配置完成,查看IKE安全联盟,IPsec安全联盟,建立成功
PC6 PC7可以访问PC5
全部评论 (0)
还没有任何评论哟~