HCIE-Security Day29:IPSec:实验(四)总部与分支机构之间建立IPSec PN(采用策略模板方式,总部采用固定IP)_未定义HCIE-Security Day29:IPSec:实验(四)总部与分支机构之间建立IPSec PN(采用策略模板方式,总部采用固定IP)_未定义HCIE-Security Day29:IPSec:实验(四)总部与分支机构之间建立IPSec PN(采用策略模板方式,总部采用固定IP)_未定义


采用策略模板方式ipsec安全策略可以简化多条ipsec隧道建立时的配置工作量。适用于​对端ip地址不固定​,比如dhcp或者pppoe,一般用于总部的配置。

建立时,未定义的可选参数由发起方来决定,响应方会接受发起方的建议,本端配置了策略模板方式ipsec安全策略时不能发起协商,只能作为协商响应方接受对端的协商请求。(比如ike peer中定义的隧道对端ip地址

只能有一方是配置策略模板,另一方必须配置isakmp方式的ipsec安全策略。

需求和拓扑

企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。组网如下:

  • 分支机构1和分支机构2分别通过FW_B和FW_C与Internet相连。
  • FW_A和FW_B、FW_A和FW_C相互路由可达。

  • 总部FW_A和分支FW_B为固定公网地址,FW_C为动态公网IP地址。

要求实现如下需求:

  • 分支机构PC2、PC3能与总部PC1之间进行安全通信。
  • FW_A、FW_B以及FW_A、FW_C之间分别建立IPSec隧道。FW_B、FW_C不直接建立任何IPSec连接。


HCIE-Security Day29:IPSec:实验(四)总部与分支机构之间建立IPSec PN(采用策略模板方式,总部采用固定IP)_未定义_04

操作步骤

1、配置接口ip地址和安全区域(除了f3的公网接口)

2、配置公网路由可达

3、配置安全区域(暂时全通策略)

4、配置dhcp

4.1、ar2配置基于接口的dhcp server

注意:基于接口的dhcp server是可以不用额外配置地址池的,地址池默认包含接口所在网段的所有ip地址。

//首先全局开启dhcp
dhcp enable
//其次接口开启dhcp server
interface g0/0/2
dhcp select interface

4.2、f3公网接口开启ip地址基于dhcp 获取

interface g1/0/1
ip address dhcp-alloc

4.3、检查一下接口地址是否获取到

//f3
disaplay ip interface brief

5、配置ipsec

5.1、配置感兴趣流

//f1
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
//f2
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
//f3
acl number 3000
rule 5 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

5.2、配置ipsec安全提议

//f1f2f3
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

5.3、配置ike安全提议

//f1f2f3
ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256

5.4、配置ike peer

//f1
ike peer b
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.5.1
ike peer c
pre-shared-key Test!1234
ike-proposal 10
//因为f3的公网接口是dhcp获取的,所以可能是变化的,而且也是不可预测的。所以不配置remote-address

//f2f3
ike peer a
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.3.1

5.5、配置ipsec策略

//f1
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal tran1
暂时只配置到f2的ipsec policy

//f2f3
ipsec policy map1 10 isakmp
security acl 3000
ike-peer a
proposal tran1
f2f3的配置没有变化

5.6、配置ipsec 安全策略模板(和ipsec policy 的配置思路是一样的)

创建的IPSec策略模板的名称不能与设备上已存在的IPSec安全策略名称相同。

PSec安全策略模板用于定义IPSec协商需要的各种参数,模板中有些参数可以不定义,未定义的可选参数由发起方来决定,而响应方会接受发起方的建议。

通过引用IPSec安全策略模板创建的IPSec安全策略称为策略模板方式IPSec安全策略。配置了策略模板方式IPSec安全策略的一端不能主动发起协商,只能作为协商响应方接受对端的协商请求。

配置策略模板方式IPSec安全策略可以简化多条IPSec隧道建立时的配置工作量。同时可满足特定的场景,如对端的IP地址不固定或预先未知的情况(例如对端是通过PPPoE拨号获得的IP地址)下,允许这些对端设备向本端设备主动发起协商。

与ISAKMP方式不同的是,用于定义数据流保护范围的ACL在这种方式下是可选的,该参数在未配置的情况下,相当于支持最大范围的保护,即接受协商发起方的ACL配置。

//f1
ipsec policy-template map_temp 1
security acl 3001
ike-peer c
proposal tran1

5.7、​关键一步:在ipsec策略组map1的序号为20的安全策略中引用ipsec策略模板map_temp

引用的策略模板的名称不能与IPSec安全策略名称相同。

一个IPSec安全策略组只能有一条IPSec安全策略引用策略模板,且该策略的序号推荐比其它策略的序号大,即同一个IPSec安全策略组中策略模板方式IPSec安全策略的优先级必须最低,否则可能导致其它IPSec安全策略不生效。

//f1
ipsec policy map1 20 isakmp template map_temp

5.8、接口应用ipsec 策略组map1

//f1f2f3
interface GigabitEthernet1/0/1
ipsec policy map1

验证和分析

1、配置完成后,r1和r3之间可以互访,不区分先后,但是r1和r5间的互访必须首先由r5发起,引导建立ipsec sa。建立后的互访不区分先后。r3和r5之间依然不能互访。

HCIE-Security Day29:IPSec:实验(四)总部与分支机构之间建立IPSec PN(采用策略模板方式,总部采用固定IP)_未定义_05

 2、在f1上可以看到两对ike sa

[f1]dis ike sa
2022-03-20 12:30:53.570

IKE SA information :
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------

21 1.1.6.254:500 RD|A v2:2 IP 1.1.6.254
20 1.1.6.254:500 RD|A v2:1 IP 1.1.6.254
18 1.1.5.1:500 RD|A v2:2 IP 1.1.5.1
1 1.1.5.1:500 RD|ST|A v2:1 IP 1.1.5.1

Number of IKE SA : 4
--------------------------------------------------------------------------------

分支f2和f3上分别只有一对ike sa

<f3>dis ike sa
2022-03-20 12:32:30.520

IKE SA information :
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------
12 1.1.3.1:500 RD|ST|A v2:2 IP 1.1.3.1
11 1.1.3.1:500 RD|ST|A v2:1 IP 1.1.3.1

Number of IKE SA : 2
--------------------------------------------------------------------------------

 3、在f1上可以看到两对双向ipsec sa

[f1]dis ipsec sa brief 
2022-03-20 12:34:19.950

IPSec SA information:
Src address Dst address SPI VPN Protocol Algorithm
-------------------------------------------------------------------------------

1.1.3.1 1.1.5.1 192002371 ESP E:AES-256 A:SHA2_256_128
1.1.5.1 1.1.3.1 192251358 ESP E:AES-256 A:SHA2_256_128
1.1.6.254 1.1.3.1 200642916 ESP E:AES-256 A:SHA2_256_128
1.1.3.1 1.1.6.254 193659331 ESP E:AES-256 A:SHA2_256_128

Number of IPSec SA : 4
---------------------------------------

分支f2和f3上分别只有一对ipsec sa

<f3>dis ipsec sa brief 
2022-03-20 12:37:44.140

IPSec SA information:
Src address Dst address SPI Protocol Algorithm
-------------------------------------------------------------------------------
1.1.6.254 1.1.3.1 200642916 ESP E:AES-256 A:SHA2_256_128
1.1.3.1 1.1.6.254 193659331 ESP E:AES-256 A:SHA2_256_128

Number of IPSec SA : 2
--------------------------------------