IPSec隧道配置案例（手动模式）

原创

李白你好 2022-02-23 17:11:13 ©著作权

文章标签 华为网络路由器 ipsec 封装 文章分类 代码人生

©著作权归作者所有：来自51CTO博客作者李白你好的原创作品，请联系作者获取转载授权，否则将追究法律责任

IPSec有点难需要掌握他的逻辑及框架然后就简单了

网络攻城狮眼里的烟花！

IPSec隧道配置案例（手动模式）_网络

IPSec VPN

配置案例

要求
拓扑
配置

基础配置
IPSec VPN配置
分析原因
解决方法

IPSec VPN

IPSec 核心功能
IPSec 技术框架
IPSec安全协议
IPSec封装模式
安全联盟
IKE
IPSec配置
手工方式

配置案例

要求

配置IP地址、DHCP、路由、NAT
内网可以访问公网2.2.2.2
配置IPsec VPN
PC1能直接访问PC2
抓包验证数据是否加密

拓扑

IPSec隧道配置案例（手动模式）_网络_02

配置

基础配置

青海分部IP地址、DHCP、NAT、路由

sys
sys QH
dhcp enable

acl 2000
rule permit so 192.168.10.0 0.0.0.255

int g0/0/0
ip add 192.168.10.254 24
dhcp sel int
int g0/0/1
ip add 12.0.0.1 24
nat outbound 2000

ip route-s 0.0.0.0 0 12.0.0.2

上海总部IP地址、DHCP、NAT、路由

sys
sys SH
dhcp enable

acl 2000
rule permit so 192.168.20.0 0.0.0.255

int g0/0/1
ip add 192.168.20.254 24
dhcp sel int
int g0/0/0
ip add 23.0.0.3 24
nat outbound 2000

ip route-s 0.0.0.0 0 23.0.0.2

ISP公网

sys
sys ISP

int g0/0/0
ip add 12.0.0.2 24

int g0/0/1
ip add 23.0.0.2 24

int lo 2 
ip add  2.2.2.2 32

PC1

IPSec隧道配置案例（手动模式）_网络_03

PC2

IPSec隧道配置案例（手动模式）_网络_04

IPSec VPN配置

青海分部

感兴趣流
acl 3000  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

提议：
ipsec proposal QH2SH
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256

 策略：
ipsec policy QH2SH 1 manual
 security acl 3000
 proposal QH2SH
 tunnel local 12.0.0.1
 tunnel remote 23.0.0.3
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei123
 sa spi outbound esp 12345
 sa string-key outbound esp cipher huawei123

 调用：
 ipsec policy QH2SH

上海总部

感兴趣流：
acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 

提议：
ipsec proposal SH2QH
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256

 策略：
ipsec policy SH2QH 1 manual
 security acl 3000
 proposal SH2QH
 tunnel local 23.0.0.3
 tunnel remote 12.0.0.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei123
 sa spi outbound esp 12345
 sa string-key outbound esp cipher huawei123

 调用：
 ipsec policy SH2QH

配置完成后发现PC1、PC2ping公网能通，PC1与PC2之间ping不通。

IPSec隧道配置案例（手动模式）_路由器_05

IPSec隧道配置案例（手动模式）_封装_06

IPSec隧道配置案例（手动模式）_华为_07

分析原因

原因：公网出口的NAT策略与IPSec的感兴趣流冲突

关闭公网接口上的NAT策略

IPSec隧道配置案例（手动模式）_路由器_08

IPSec隧道配置案例（手动模式）_ipsec_09

IPSec隧道配置案例（手动模式）_网络_10

发现两PCping不通公网，IPSec VPN 没有一点问题。

解决方法

1、改IPSec上的感兴趣流
2、更改出口上的NAT策略

方案一：改IPSec上的感兴趣流

青海分部

acl number 3000  
 rule 5 permit ip source 12.0.0.1 0.0.0.255 destination192.168.20.0 0.0.0.255

上海分部

acl number 3000  
 rule 5 permit ip source 23.0.0.0 0.0.0.255 destination192.168.10.0 0.0.0.255

IPSec隧道配置案例（手动模式）_网络_11

IPSec隧道配置案例（手动模式）_封装_12

ESP加密了数据包

IPSec隧道配置案例（手动模式）_华为_13

IPSec隧道配置案例（手动模式）_封装_14

方案一：更改出口上的NAT策略

青海分部

acl 3001  
 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
 rule permit ip source any

上海分部

acl 3001  
 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
 rule permit ip source any

重新建ACL3001应用在公网出口上

IPSec隧道配置案例（手动模式）_华为_15

IPSec隧道配置案例（手动模式）_路由器_16

IPSec隧道配置案例（手动模式）_ipsec_17

IPSec隧道配置案例（手动模式）_网络_18

IPSec VPN

IPSec：Internet Protocol Security

• 源于IPv6

• IETF制定的一套安全保密性能框架

• 建立在网络层的安全保障机制

• 引入多种加密算法、验证算法和密钥管理机制

• 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点

• IPSec VPN是利用IPSec隧道建立的VPN技术

IPSec隧道配置案例（手动模式）_网络_19

IPSec 核心功能

IPSec隧道配置案例（手动模式）_网络_20

IPSec隧道配置案例（手动模式）_路由器_21

IPSec 技术框架

IPSec隧道配置案例（手动模式）_ipsec_22

IPSec隧道配置案例（手动模式）_路由器_23

IPSec隧道配置案例（手动模式）_封装_24

IPSec安全协议

IPSec隧道配置案例（手动模式）_网络_25

IPSec隧道配置案例（手动模式）_ipsec_26

IPSec封装模式

IPSec隧道配置案例（手动模式）_封装_27

IPSec隧道配置案例（手动模式）_ipsec_28

传输模式封装结构

IPSec隧道配置案例（手动模式）_网络_29

隧道模式封装结构

IPSec隧道配置案例（手动模式）_封装_30

IPSec隧道配置案例（手动模式）_路由器_31

IPSec隧道配置案例（手动模式）_路由器_32

安全联盟

SA（Security Association）

• 顾名思义，通信双方结成盟友，相互信任亲密无间，即达成约定

• 由一个（SPI，IP目的地址，安全协议号）三元组唯一标识

• 决定了对报文进行何种处理：模式、协议、算法、密钥、生存周期等

• 每个IPSec SA都是单向的

• 可以手工建立或通过IKE协商生成

• SPD（Security Policy Database）

• SAD（Security Association Database）

IPSec隧道配置案例（手动模式）_封装_33

IPSec隧道配置案例（手动模式）_网络_34

IPSec隧道配置案例（手动模式）_路由器_35

IPSec隧道配置案例（手动模式）_网络_36

IPSec隧道配置案例（手动模式）_ipsec_37

IKE

IKE：Internet Key Exchange，因特网密钥交换

• 基于UDP（端口号500）的应用层协议，可为数据加密提供所需的密钥

• 使用DH算法，在不安全的网络上安全地分发密钥，验证身份

• 定时更新SA和密钥，实现完善的前向安全性

• 允许IPSec提供抗重播服务

• 简化IPSec的使用和管理，大大简化了IPSec的配置和维护工作

IPSec隧道配置案例（手动模式）_网络_38

IPSec隧道配置案例（手动模式）_网络_39

IPSec配置

IPSec隧道配置案例（手动模式）_网络_40

ipsec proposal shanghai

encapsulation-mode tunnel

transform esp

创建并配置IPSec提议。

配置报文的封装模式。

配置隧道采用的安全协议。

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

display ipsec proposal

配置ESP协议使用的认证算法。

配置ESP加密算法。

验证IPSec提议配置。

ipsec policy P1 10 manual

security acl 3000

创建并配置IPSec策略（手动）。

配置引用的ACL。

proposal shanghai

配置引用的提议。

tunnel local 12.0.0.2

tunnel remote 13.0.0.3

配置安全隧道的本端地址。

配置安全隧道的对端地址。

配置SA的SPI。

sa spi inbound/outbound esp 12345

入方向和出方向都必须设置，并且双方的必须相互对应。

sa string-key

配置SA的认证密钥。

inbound/outbound esp cipher wakin

入方向和出方向都必须设置，并且

双方的必须相互对应。

display ipsec policy

验证IPSec手动策略配置。

ike proposal 10

创建并配置IKE提议。

authentication-method pre-share

authentication-algorithm sha2-256

encryption-algorithm aes-cbc-256

配置身份认证方式。

配置数据认证算法。

配置加密算法。

dh group14

配置密钥交换算法。

display ike proposal

验证IKE提议。

ike peer shanghai v1

创建并配置IKE对等体。

exchange-mode main/aggressive

pre-shared-key cipher huawei

ike-proposal 10

配置PSK。

配置引用的IKE提议。

local-address 12.0.0.1

remote-address 23.0.0.3

配置本地IP地址。

配置对端IP地址。

ipsec policy P2 10 isakmp

security acl 3000

proposal 10

创建并配置IPSec策略（自动）。

配置引用的ACL。

配置引用的IPSec提议。

ike-peer shanghai

配置引用的IKE对等体。

ipsec policy P1/P2

display ike/ipsec sa

在接口上应用指定的安全策略组。

验证安全联盟。

手工方式

IPSec隧道配置案例（手动模式）_网络_41

IPSec隧道配置案例（手动模式）_网络_42

上一篇：GRE over IPSec 隧道配置案例

下一篇：GRE 隧道配置案例（静态、动态路由）

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯