- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
22-IPsec第三方对接
本章节下载: 22-IPsec第三方对接 (417.42 KB)
目录
IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:
· 数据的机密性:IPSec的发送方对发给对端的数据进行加密。
· 数据的完整性:IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改。
· 数据来源的认证:IPSec接收方验证数据的起源。
· 抗重播:IPSec的接收方可以检测到重播的IP包并且丢弃。
使用IPSec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPSec的典型运用是构建VPN。IPSec使用“封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;使用ESP保障数据的机密性。密钥管理协议称为ISAKMP,根据安全策略数据库(SPDB)随IPSec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。
相关术语解释:
· 鉴别头(AH):用于验证数据包的安全协议。
· 封装安全有效载荷(ESP): 用于加密和验证数据包的安全协议;可与AH配合工作也可以单独工作。
· 加密算法:ESP所使用的加密算法。
· 验证算法:AH或ESP用来验证对方的验证算法。
· 密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是缺省的密钥自动交换协议。
IPSec日志在系统日志里查看,主要记录设备IPSec各个状态事件。
按照表1-1创建IKE协商策略:
表1-1 IKE协商策略创建
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
|
|
进入VPN一阶段配置视图 |
vpn ipsec phase1 |
|
|
进入IKE编辑视图 |
edit gateway IKE_NAME |
必选。 |
|
设置一阶段协商模式 |
set mode {main|aggressive} |
设置一阶段协商模式:主模式或野蛮模式,默认为主模式。国密认证方式只支持主模式 |
|
设置对端网关 |
set remotegw A.B.C.D |
以IP地址方式设置对端网关 |
|
Set remotegw hostname HOSTNAME |
以域名方式设置对端网关 |
|
|
set remotegw dynamic |
设置对端网关为动态 |
|
|
设置NAT保活报文发送间隔 |
set nat <10-900> |
设置NAT保活报文发送间隔 |
|
设置本端ID |
set localid address A.B.C.D |
设置本端ID |
|
设置一阶段认证方式 |
authentication (pre-share|rsa-rig| sm2-de) |
设置一阶段认证方式(预共享秘钥或RSA数字证书、国密证书) |
|
设置预共享秘钥 |
set preshared-key KEY |
设置预共享秘钥 |
|
设置证书认证所需要的用户证书 |
set local-cert NAME |
设置证书认证所需要的用户证书(数字证书认证或国密证书认证) |
|
设置证书认证所需要的对端证书 |
set peer-cert NAME |
设置证书认证所需要的对端证书(国密证书认证) |
|
设置证书认证所需要的CA证书 |
set ca-cert NAME |
设置证书认证所需要的CA证书(数字证书认证或国密证书认证) |
|
设置本地的fqdn |
set localid fqdn NAME |
设置本地的fqdn |
|
设置本地的user-fqdn |
set localid user-fqdn NAME |
设置本地的user-fqdn |
|
设置本地的id值 |
set localid address A.B.C.D |
设置本地的id值 |
|
设置对端的fqdn |
set peerid fqdn NAME |
设置对端的fqdn |
|
设置对端的user-fqdn |
set peerid user-fqdn NAME |
设置对端的user-fqdn |
|
设置对端的id值 |
set peerid address A.B.C.D |
设置对端的id值 |
|
设置dpd报文发送间隔 |
set dpd <30-120> |
设置dpd报文发送间隔 |
|
启用或禁用dpd功能 |
dpd (enable|disable) |
启用或禁用dpd功能 |
|
进入一阶段提案配置 |
set policy <1-3> |
进入一阶段提案配置 |
|
指定DH组 |
group (1|2|5) |
指定DH组 |
|
设置一阶段SA生命周期 |
lifetime <120-86400> |
设置一阶段SA生命周期 |
|
开启或禁用扩展认证 |
xauth-server (enable|disable) |
开启或禁用扩展认证 |
|
进入模式配置 |
set modecfg-server |
进入模式配置 |
按照表1-2创建IKE协商策略:
表1-2 IKE协商策略创建
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
|
|
进入VPN二阶段配置视图 |
vpn ipsec phase2 |
|
|
进入tunnel编辑视图 |
edit tunnel NAME |
|
|
指定一阶段策略 |
set peer GATEWAY-NAME |
指定一阶段策略 |
|
指定ISPEC封装模式 |
mode tunnel |
指定ISPEC封装模式 |
|
指定完美向前保密组 Ipsec sa最大流量限制 Ipsec sa最大生命周期 |
pfs {1|2|5} |
指定完美向前保密组 |
|
set lifetime kilobytes <2560-536870912> |
Ipsec sa最大流量限制 |
|
|
set lifetime seconds <120-86400> |
Ipsec sa最大生命周期 |
|
|
开启或禁用自动连接 |
auto-connect {enable|disable} |
开启或禁用自动连接 |
|
设置自动连接重连间隔 |
auto-connect interval <2-3600> |
设置自动连接重连间隔 |
|
设置ipsec解密提案 |
set {proposal1|proposal2|proposal3|proposal4} {esp-3des-md5|esp-aes128-sha1|esp-aes256-null| esp-null-md5|esp-3des-null|esp-aes192-md5| esp-aes256-sha1|esp-null-null|esp-3des-sha1| esp-aes192-null|esp-des-md5|esp-null-sha1| esp-aes128-md5|esp-aes192-sha1|esp-des-null| esp-aes128-null|esp-aes256-md5|esp-des-sha1| esp-3des-sm3|esp-aes128-sm3|esp-aes192-sm3| esp-aes256-sm3|esp-des-sm3|esp-null-sm3| esp-sm4-md5|esp-sm4-sha1|esp-sm4-sm3| esp-sm4-null} {ah-md5-hmac | ah-null | ah-sha-hmac } |
设置ipsec解密提案 |
在完成上述配置后,在任意视图下执行display命令显示IPSec的配置情况。
表1-3 IPSec显示和维护
|
操作 |
命令 |
说明 |
|
IPSec 配置显示 |
display run ipsec-vpn |
- |
|
ike sa查看 |
display ike sa |
- |
|
IPSec sa查看 |
display ipsec sa |
- |
如图2-1所示,在设备A和设备B之间使用商密标准建立一个安全隧道,对Host A代表的子网(1.1.1.0/24)与Host B代表的子网(2.2.2.0/24)之间的数据流进行安全保护。
图2-1 IPSec组网图
v
按照组网图组网。
(1) 新建IKE协商
(2) 配置IPSec协商策略
(3) 新建所需地址对象
(4) 新建IPSec安全策略
(5) 新建IPSec隧道
(6) 配置静态路由
(1) 新建IKE协商
设备-A ike配置
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set remotegw 192.168.1.63
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication pre-share
host(config-phase1-ike_test)# set preshared-key 111111
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt 3des
host(config-phase1-ike_test-policy1)# hash md5
host(config-phase1-ike_test-policy1)# exit
设备-B ike配置
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set remotegw 192.168.1.61
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication pre-share
host(config-phase1-ike_test)# set preshared-key 111111
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt 3des
host(config-phase1-ike_test-policy1)# hash md5
host(config-phase1-ike_test-policy1)# exit
(2) 配置IPSec协商策略
设备-A IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# pfs 2
host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null
host(config-phase2-ipsec_test)# auto-connect enable
host(config-phase2-ipsec_test)# auto-connect interval 2
host(config-phase2-ipsec_test)#exit
设备-B IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# pfs 2
host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null
host(config-phase2-ipsec_test)#exit
(3) 新建所需地址对象配置
host(config)# address hostA
host(config-address)# ip subnet 1.1.1.0/24
host(config-address)# exi
host(config)# address hostB
host(config-address)# ip subnet 2.2.2.0/24
host(config-address)# exit
设备A设备安全策略配置
host(config)# policy any any hostA hostB any any any always noaudit
(5) 新建IPSEC隧道接口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec ipsec_test
host(config-tunnel10)#tunnel-ipsec interested-subnet 1.1.1.0/24 2.2.2.0/24
(6) 配置静态路由,分别在设备_A 和 设备_B配置。
host(config)#ip route 2.2.2.0/24 tunnel10
查看IKE sa
host# display ike sa
----------------------------------------------------
Name: ipsec2 id: 360
local_addr:192.168.1.61
peer_addr: 192.168.1.63
stat: establish
life time/cur_life_time: 6000/5700
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
查看IPSec sa
host# display ipsec sa
----------------------------------------------------
Name: vpn2 id: 15068
local_addr: 192.168.1.61 peer_addr: 192.168.1.63
esp: yes mode: tunnel
enc_algo/auth_algo: esp-aes256-sha1
inbound_spi/outbound_spi: 251032793/80892567
ah: no
stat: establish
life time/cur_life_time: 3600/3560
inbound/outbound: 0/101126 kbytes
local_net: 0.0.0.0/0
peer_net: 0.0.0.0/0
connect time: 2017-12-01,18:06:07
*********************************************************
如图2-2所示,在设备A和设备B之间使用国密标准建立一个安全隧道,对Host A代表的子网(1.1.1.0/24)与Host B代表的子网(2.2.2.0/24)之间的数据流进行安全保护。
图2-2 IPSec组网图
v
按照组网图组网。
(1) 导入国密CA证书
(2) 导入国密用户证书
(3) 新建IKE协商
(4) 配置IPSec协商策略
(5) 新建所需地址对象
(6) 新建IPSec安全策略
(7) 新建IPSec隧道
(8) 配置静态路由
(1) 导入国密CA证书
注:国密证书需要向国密局申请,本案例中的国密证书是已申请下来的。
设备A:进入对象管理>CA服务器>本地证书>证书>CA,点击导入。配置如下图2-3所示。
图2-3 在设备A上导入国密CA证书
设备B:进入对象管理>CA服务器>本地证书>证书>CA,点击导入。配置如下图2-4所示。
图2-4 在设备B上导入国密CA证书
(2) 导入国密用户证书
设备A:进入对象管理>CA服务器>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如下图2-5所示。
图2-5 在设备A上导入国密用户证书
设备B:进入对象管理>CA服务器>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如下图2-6所示。
图2-6 在设备A上导入国密用户证书
(3) 新建IKE协商
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
设备-A ike配置
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set local ge1
host(config-phase1-ike_test)# set remotegw 192.168.1.63
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication sm2-de
host(config-phase1-ike_test)# set ca-cert topsecca.pem.cer
host(config-phase1-ike_test)# set local-cert topsecca1.pem.cer
host(config-phase1-ike_test)# set peer-cert topsecca2_myself.pem.cer
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt sm4
host(config-phase1-ike_test-policy1)# hash sm3
host(config-phase1-ike_test-policy1)# exit
设备-B ike配置
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set remotegw 192.168.1.61
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication sm2-de
host(config-phase1-ike_test)# set ca-cert topsecca.pem.cer
host(config-phase1-ike_test)# set local-cert topsecca2_myself.pem.cer
host(config-phase1-ike_test)# set peer-cert topsecca1.pem.cer
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt sm4
host(config-phase1-ike_test-policy1)# hash sm3
host(config-phase1-ike_test-policy1)# exit
(4) 配置IPSec协商策略
设备-A IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# set proposal1 esp-sm4-sm3 ah-null
host(config-phase2-ipsec_test)# auto-connect enable
host(config-phase2-ipsec_test)# auto-connect interval 2
host(config-phase2-ipsec_test)#exit
设备-B IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# set proposal1 esp-sm4-sm3 ah-null
host(config-phase2-ipsec_test)#exit
(5) 新建所需地址对象配置
host(config)# address hostA
host(config-address)# ip subnet 1.1.1.0/24
host(config-address)# exi
host(config)# address hostB
host(config-address)# ip subnet 2.2.2.0/24
host(config-address)# exit
(6) 新建IPSec安全策略配置
设备A设备安全策略配置
host(config)# policy any any hostA hostB any any any always noaudit
(7) 新建IPSEC隧道接口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec ipsec_test
host(config-tunnel10)#tunnel-ipsec interested-subnet 1.1.1.0/24 2.2.2.0/24
(8) 配置静态路由,分别在设备_A 和 设备_B配置。
host(config)#ip route 2.2.2.0/24 tunnel10
查看IKE sa
host# display ike sa
----------------------------------------------------
Name: ipsec2 id: 360
local_addr:192.168.1.61
peer_addr: 192.168.1.63
stat: establish
life time/cur_life_time: 6000/70
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
查看IPSec sa
host(config)# display ipse sa
----------------------------------------------------
Name: vpn2 id: 15068
local_addr: 192.168.1.61 peer_addr: 192.168.1.63
esp: yes mode: tunnel
enc_algo/auth_algo: sm4/hmac_sm3
inbound_spi/outbound_spi: 251032793/80892567
ah: no
stat: establish
life time/cur_life_time: 3600/3502
inbound/outbound: 0/101126 kbytes
local_net: 0.0.0.0/0
peer_net: 0.0.0.0/0
connect time: 2017-12-01,18:06:07
*********************************************************
如图2-7所示,公司总部需要与两个分支建立IPSec,保证分支可以和总部内网互通,并且在设备A 和设备B之间通过总部的IPSec也可以互通。总部公网IP为固定地址(202.38.160.1),两分支出口IP为动态地址.需要对总部Sever子网(30.1.1.1/24),分支Host A 的子网(10.1.1.1/24)与分支Host B 的子网(20.1.1.0/24)之间的数据流进行安全保护。
图2-7 IPSec组网图
v
按照组网图组网。
(1) 配置路由模式以及接口,使设备可以访问外网;
(2) 配置IKE;
(3) 配置IPSec;
(4) 配置地址对象
(5) 配置Tunnel口;
(6) 配置路由使Tunnel口互通;
(7) 配置安全策略;
(8) 查看IPSEC SA是否协商成功;
(1) 配置路由模式,使3台设备能够访问外网(基本访问外网的配置不再截图)。
(2) 配置IKE
HUB配置
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway HUB
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set local ge1
host(config-phase1-ike_test)# set remotegw dynamic
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication pre-share
host(config-phase1-ike_test)# set preshared-key 111111
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt 3des
host(config-phase1-ike_test-policy1)# hash md5
host(config-phase1-ike_test-policy1)# exit
SPOKE_A ike配置
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway SPOKE_A
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set remotegw 202.38.160.1
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication pre-share
host(config-phase1-ike_test)# set preshared-key 111111
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt 3des
host(config-phase1-ike_test-policy1)# hash md5
host(config-phase1-ike_test-policy1)# exit
在SPOKE_B上配置与SPOKE_A协商参数一致的IKE,对端网关配置静态IP地址:202.38.160.1。
(3) 配置IPSec协商策略
HUB IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel hub
host(config-phase2-ipsec_test)# set peer HUB
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# esp-aes256-sha1 ah-null
host(config-phase2-ipsec_test)#exit
SPOKE_A IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer SPOKE_A
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# auto-connect enable
host(config-phase2-ipsec_test)# auto-connect interval 2
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# esp-aes256-sha1 ah-null
host(config-phase2-ipsec_test)#exit
SPOKE_B IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer SPOKE_B
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# auto-connect enable
host(config-phase2-ipsec_test)# auto-connect interval 2
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# esp-aes256-sha1 ah-null
host(config-phase2-ipsec_test)#exit
(4) 在三台设备新建所需地址对象配置
host(config)# address HUB
host(config-address)# ip subnet 30.1.1.0/24
host(config-address)# exi
host(config)# address SPOKE_A
host(config-address)# ip subnet 10.1.1.0/24
host(config-address)# exit
host(config)# address SPOKE_B
host(config-address)# ip subnet 20.1.1.0/24
host(config-address)# exit
(5) 新建IPSec安全策略配置
HUB设备安全策略配置
host(config)# policy any any HUB SPOKE_A any any any always noaudit
host(config)# policy any any HUB SPOKE_B any any any always noaudit
SPOKE_A设备安全策略配置
host(config)# policy any any SPOKE_A HUB any any any always noaudit
host(config)# policy any any SPOKE_A SPOKE_B any any any always noaudit
SPOKE_B设备安全策略配置
host(config)# policy any any SPOKE_B HUB any any any always noaudit
host(config)# policy any any SPOKE_B SPOKE_A any any any always noaudit
(6) 新建IPSEC隧道接口
HUB设备隧道口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec hub
host(config-tunnel10)#tunnel-ipsec interested-subnet 30.1.1.0/24 10.1.1.0/24
host(config-tunnel10)#tunnel-ipsec interested-subnet 30.1.1.0/24 20.1.1.0/24
SPOKE_A设备隧道口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec SPOKE_A
host(config-tunnel10)#tunnel-ipsec interested-subnet 10.1.1.0/24 30.1.1.0/24
host(config-tunnel10)#tunnel-ipsec interested-subnet 10.1.1.0/24 20.1.1.0/24
SPOKE_B设备隧道口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec SPOKE_B
host(config-tunnel10)#tunnel-ipsec interested-subnet 20.1.1.0/24 30.1.1.0/24
host(config-tunnel10)#tunnel-ipsec interested-subnet 20.1.1.0/24 10.1.1.0/24
(7) 配置静态路由
HUB设备静态路由
host(config)#ip route 20.1.1.0/24 tunnel10
host(config)#ip route 30.1.1.0/24 tunnel10
SPOKE_A设备静态路由
host(config)#ip route 30.1.1.0/24 tunnel10
host(config)#ip route 20.1.1.0/24 tunnel10
SPOKE_B设备静态路由
host(config)#ip route 30.1.1.0/24 tunnel10
host(config)#ip route 10.1.1.0/24 tunnel10
查看IKE sa
host# display ike sa
----------------------------------------------------
Name: ipsec2 id: 360
local_addr:202.38.160.2
peer_addr: 202.38.160.1
stat: establish
life time/cur_life_time: 6000/70
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
查看IPSec sa
host(config)# display ipse sa
----------------------------------------------------
Name: vpn2 id: 15068
local_addr: 202.38.160.2 peer_addr: 202.38.160.1
esp: yes mode: tunnel
enc_algo/auth_algo: esp-aes256-sha1
inbound_spi/outbound_spi: 251032793/80892567
ah: no
stat: establish
life time/cur_life_time: 3600/3502
inbound/outbound: 0/101126 kbytes
local_net: 0.0.0.0/0
peer_net: 0.0.0.0/0
connect time: 2017-12-01,18:06:07
*********************************************************
PC访问Server;Host A ping Host BPsec SA。
设备A的IPSec SA
如图2-8所示,由于公司业务扩大,在外办公人员较多,为了方便在外人员能够及时的访问到公司内部资料。在公司出口搭建remote IPSec建立一个安全隧道,对IPSec客户端的子网(172.16.190.1/24)与Server的子网(192.168.1.0/24)之间的数据流进行安全保护。
图2-8 IPSec组网图
v
按照组网图组网。配置接口ip,路由以及NAT,使内网pc可以访问外网(基本配置不再赘述)
(1) 配置IPSec地址池
(2) 配置IPSec IKE
(3) 配置IPSec VPN
(4) 配置本地用户
(5) 配置IPSec隧道接口
(6) 配置路由
(7) 配置策略
(8) 配置客户端
(1) 配置IPSec地址池
host(config)#address vpn_pool
host(config-phase1)# ip subnet 172.16.190.1/24
(2) 新建IKE协商
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway remote
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set remotegw dynamic
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication pre-share
host(config-phase1-ike_test)# set preshared-key 111111
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt 3des
host(config-phase1-ike_test-policy1)# hash md5
host(config-phase1-ike_test-policy1)# xauth-server enable
host(config-phase1-ike_test-policy1)# set modecfg-server
host(config-phase1-ike_test-policy1)# ip-range vpn-pool
host(config-phase1-ike_test-policy1)# dns 192.168.0.243
host(config-phase1-ike_test-policy1)# modecfg-server enable
host(config-phase1-ike_test-policy1)# exit
(3) 配置IPSec协商策略
设备-A IPSec配置
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel dy_vpn
host(config-phase2-ipsec_test)# set peer remote
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null
host(config-phase2-ipsec_test)#exit
(4) 新建本地用户
host(config)# user test
host(config-user)# enable authenticate
host(config-user)# authenticate local 123456 change-password enable
(5) 新建IPSEC隧道接口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec dy-vpn
host(config-tunnel10)#tunnel-ipsec interested-subnet 192.168.1.0/24 172.16.190.1/24
(6) 配置静态路由
host(config)#ip route 172.16.190.1/24 tunnel10
(7) 新建IPSec安全策略配置
host(config)# policy any any any any any any any always noaudit
(8) PC客户端配置(vpn客户端使用的开源TheGreenBow IPSec VPN Client)
PC安装好IPSec VPN客户端,新建一条隧道,网关ip地址为124.202.226.34,远端子网配置想要访问的子网(设置为192.168.1.0/24),认证方式:与共享密钥;密钥:123456,选择扩展认证,点设置,用户名为test,密码默认为123456。配置如下图2-9所示。
图2-9 TheGreenBow IPSec VPN Client配置
点高级,网关VPN的协商模式为主模式,具体参数与网关IPSec VPN的参数一致。
提交后,在二阶段tgbtest鼠标右键开启隧道出现认证页面输入用户名密码点击ok,详见下图。
连接成功后,分配的ip地址为172.16.190.0/24,pc可以访问公司server。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
