IPSec 协议简介:
IPSec 是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task
Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
加密卡的作用:
IPSec 对报文的处理包括进行ESP 协议处理、加密后给报文添加认证头、对报文完成认证后删除认证头。为了确保信息的安全性,加密/解密、认证的算法一般比较复杂,路由器IPSec 软件进行加密/解密运算将会占用了大量的CPU资源,从而影响了整机性能。模块化路由器还可以使用加密卡(模块化硬件插卡)以硬件方式完成数据的加/解密运算,消除了路由器VRP 主体软件处理IPSec 对性能的影响,提高了路由器的工作效率。
IPSec 对报文的处理过程:
IPSec 对报文的处理过程如下(以AH 协议为例):
(1) 对报文添加认证头:从IPSec 队列中读出IP 模块送来的IP 报文,根据配置选择的协议模式(传输或是隧道模式)对报文添加AH 头,再由IP 层转发。
(2) 对报文进行认证后解去认证头:IP 层收到IP 报文经解析是本机地址,并且协议号为51,则查找相应的协议开关表项,调用相应的输入处理函数。此处理函数对报文进行认证和原来的认证值比较,若相等则去掉添加的AH 头,还原出原始的IP 报文再调用IP 输入流程进行处理;否则此报文被丢弃。
IPSec 相关术语:
数据流:在 IPSec 中,一组具有相同源地址/掩码、目的地址/掩码和上层协议的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定义,所有为ACL 允许通过的报文在逻辑上作为一个数据流。为更容易理解,数据流可以比作是主机之间一个的TCP 连接。IPSec 能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法或密钥。
安全策略:由用户手工配置,规定对什么样的数据流采用什么样的安全措施。对数据流的定义是通过在一个访问控制列表中配置多条规则来实现,在安全策略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由“名字”和“顺序号”共同唯一确定。
安全策略组:所有具有相同名字的安全策略的集合。在一个接口上,可应用或者取消一个安全策略组,使安全策略组中的多条安全策略同时应用在这个接口上,从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中,顺序号越小的安全策略,优先级越高。
安全联盟(Security Association,简称SA):IPSec 对数据流提供的安全服务通过安全联盟SA 来实现,它包括协议、算法、密钥等内容,具体确定了如何对IP 报文进行处理。一个SA 就是两个IPSec 系统之间的一个单向逻辑连接,输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组(安全参数索引(SPI)、IP 目的地址、安全协议号(AH或ESP))来唯一标识。安全联盟可通过手工配置和自动协商两种方式建立。手工建立安全联盟的方式是指用户通过在两端手工设置一些参数,然后在接口上应用安全策略建立安全联盟。自动协商方式由IKE 生成和维护,通信双方基于各自的安全策略库经过匹配和协商,最终建立安全联盟而不需要用户的干预。
安全联盟超时处理:安全联盟更新时间有“计时间”(即每隔定长的时间进行更新)和“计流量”(即每传输一定字节数量的信息就进行更新)两种方式。
安全参数索引(SPI):是一个32 比特的数值,在每一个IPSec 报文中都携带该值。SPI、IP 目的地址、安全协议号三者结合起来共同构成三元组,来唯一标识一个特定的安全联盟。在手工配置安全联盟时,需要手工指定SPI 的取值。为保证安全联盟的唯一性,每个安全联盟需要指定不同的SPI 值;使用IKE协商产生安全联盟时,SPI 将随机生成。
安全提议:包括安全协议、安全协议使用的算法、安全协议对报文的封装形式,规定了把普通的IP 报文转换成IPSec 报文的方式。在安全策略中,通过引用一个安全提议来规定该安全策略采用的协议、算法等。
配置采用Manual 方式协商的IPSec 隧道:
创建需要保护的数据流:
IPSec 能够对不同的数据流进行安全保护。实际应用中,需要首先通过ACL 定义数据
流,再在安全策略中引用该ACL,从而起到保护该数据流的作用。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { config | auto } ],创建高级ACL,并进入相应视图。
步骤 3 执行命令rule [ rule-id ] { permit | deny } protocol [ source { source-address sourcewildcard| any } | destination { destination-address destination-wildcard | any } |sourceportoperator port1 [ port2 ] | destination-port operator port1 [ port2 ] | icmp-type{ icmptypeicmp-code | icmp-message } |precedence precedence | tos tos | time-range time-name | logging ] *,配置ACL 规则。
配置时请注意:
需要精确配置 ACL。
建议只对确实需要 IPSec 保护的数据流进行保护,即配置对应的ACL 规则的动作关键字为permit。
建议避免盲目使用关键字 any,否则,数据流定义范围过宽,对于匹配ACL 的其它正常的业务数据流,由于没有被IPSec 设备认证或加密,到达另一个防火墙设备上时,将被视为攻击报文而丢弃。
对于有不同安全要求的数据流,需要创建不同的 ACL 和相应的安全策略。 隧道两端的设备,ACL 需要镜像配置。
配置IPSec 安全提议:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ipsec proposal proposal-name,创建安全提议并进入安全提议视图。防火墙最多支持 50 个安全提议。
步骤 3 执行命令transform { ah | ah-esp | esp },选择安全协议。
步骤 4 执行命令ah authentication-algorithm { md5 | sha1 },设置AH 协议采用的验证算法。
步骤 5 执行命令esp authentication-algorithm { md5 | sha1 },设置ESP 协议采用的验证算法。需要首先通过 transform 命令选择了相应的安全协议后,才能配置该安全协议所需的安全算法。例如,如果使用transform 命令选择了esp,则只能配置ESP 所需的安全算法,而AH 所需的安全算法则不能配置。即 AH 相关命令需要在配置transform ah或transform ah-esp 命令后使用;ESP 相关命令可以在配置transform ah 或transform ah-esp 命令后使用。
步骤 6 执行命令esp encryption-algorithm { 3des | des | aes [ 128 | 192 | 256 ] | scb2},设置ESP协议采用的加密算法
步骤 7 执行命令encapsulation-mode tunnel,指定报文封装形式。
配置IPSec 安全策略:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ipsec policy policy-name seq-number manual,创建安全策略。一个安全策略组最多支持配置 100 条安全策略,所有安全策略的总数不能超过100。
步骤 3 执行命令proposal proposal-name,在安全策略中引用安全提议。
步骤 4 执行命令security acl acl-number,在安全策略中引用访问控制列表。一条安全策略只能引用一条 ACL。如果设置安全策略引用了多于一个ACL,最后配置的有效。
步骤 5 执行命令tunnel local ip-address,配置隧道的起点。tunnel local 命令中的IP 地址只能是应用接口提供的地址。
步骤 6 执行命令tunnel remote ip-address,配置隧道的终点。
步骤 7 执行命令sa spi inbound ah spi-number,配置AH 协议入方向的安全联盟的SPI。
步骤 8 执行命令sa spi outbound ah spi-number,配置AH 协议出方向的安全联盟的SPI。
步骤 9 执行命令sa spi inbound esp spi-number,配置ESP 协议入方向的安全联盟的SPI。
步骤 10 执行命令sa spi outbound esp spi-number,配置ESP 协议出方向的安全联盟的SPI
步骤 11 执行命令sa string-key inbound ah string-key,配置AH 协议的入方向的验证密钥(以字符串方式输入)。
步骤 12 执行命令sa string-key outbound ah string-key,配置AH 协议的出方向的验证密钥(以字符串方式输入)。
步骤 13 执行命令sa string-key inbound esp string-key,配置ESP 协议的入方向的验证密钥(以字符串方式输入)。
步骤 14 执行命令sa string-key outbound esp string-key,配置ESP 协议的出方向的验证密钥(以字符串方式输入)。
步骤 15 执行命令sa authentication-hex inbound ah hex-key,配置AH 协议的入方向的验证密钥(以16 进制方式输入)。
步骤 16 执行命令sa authentication-hex outbound ah hex-key,配置AH 协议的出方向的验证密钥(以16 进制方式输入)。
步骤 17 执行命令sa authentication-hex inbound esp hex-key,配置ESP 协议的入方向的验证密钥(以16 进制方式输入)。
步骤 18 执行命令sa authentication-hex outbound esp hex-key,配置ESP 协议的出方向的验证密钥(以16 进制方式输入)。
步骤 19 执行命令sa encryption-hex inbound esp hex-key,配置ESP 协议的入方向的加密密钥(以16 进制方式输入)。
步骤 20 执行命令sa encryption-hex outbound esp hex-key,配置ESP 协议的出方向的加密密钥(以16 进制方式输入)。
引用IPSec 安全策略:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令interface interface-type interface-number,进入接口视图。
步骤 3 执行命令ipsec policy policy-name,在接口上应用安全策略。一个接口只能应用一个安全策略组,一个安全策略组可以应用到多个接口上。但手工方式配置的安全策略只应用到一个接口。如果所应用的安全策略是手工方式建立安全联盟,会立即生成安全联盟。Eudemon 实现的IPSec 安全策略除可以应用到串口、以太网口等实际物理接口外,还能应用到Tunnel、Virtual Template 等虚拟接口。此时即可根据实际组网需求,在如L2TP 等隧道上应用IPSec。
检查配置结果:
配置采用IKE 方式协商的IPSec 隧道:
创建需要保护的数据流:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number,创建高级ACL,并进入相应视图。
步骤 3 执行命令rule [ rule-id ] { permit | deny } protocol [ source { source-address sourcewildcard| any } | destination { destination-address destinationwildcard | any } | sourceportoperator port1 [ port2 ] | destination-port operator port1 [ port2 ] | icmp-type { icmptypeicmp-code | icmp-message } | precedence
配置IPSec 安全提议:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ipsec proposal proposal-name,创建安全提议并进入安全提议视图。
步骤 3 执行命令transform { ah | ah-esp | esp },选择安全协议。
步骤 4 执行命令ah authentication-algorithm { md5 | sha1 },设置AH 协议采用的验证算法。
步骤 5 执行命令esp authentication-algorithm { md5 | sha1 },设置ESP 协议采用的验证算法。
步骤 6 执行命令esp encryption-algorithm { 3des | des | aes [ 128 | 192 | 256 ] | scb2},设置ESP协议采用的加密算法。
步骤 7 执行命令encapsulation-mode tunnel,选择报文封装形式。
配置IKE 安全提议:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ike proposal priority-level,创建IKE 安全提议并进入IKE 安全提议视图。用户可以按照优先级创建多条 IKE 提议,但是协商双方必须至少有一条匹配的IKE 提议才能协商成功。
步骤 3 执行命令encryption-algorithm { des-cbc | 3des-cbc },选择加密算法。
步骤 4 执行命令authentication-method pre-share,设置验证方法。如果选择了 pre-shared key 验证方法,需要为每个对端配置预共享密钥。建立安全连接的两个对端的预共享密钥必须一致。
步骤 5 执行命令authentication-algorithm { md5 | sha },选择验证算法。使用 pre-shared key 的验证方法时必须配置验证字。
步骤 6 执行命令dh { group1 | group2 | group5 },选择Diffie-Hellman 组标识。
步骤 7 执行命令sa duration interval,设置安全联盟生存周期。如果 duration 时间超时,ISAKMP SA 将自动更新。因为IKE 协商需要进行DH 计算,在低端路由器上需要经长的时间,为使ISAKMP SA 的更新不影响安全通信,建议设置duration 大于10 分钟。生存周期只对通过 isakmp 方式建立的安全联盟有效,对通过manual 方式建立的安全联盟没有生存周期的限制,即手工建立的安全联盟永远不会失效。
配置IKE Peer:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ipsec sa global-duration { time-based interval | traffic-based kilobytes },设置全局的安全联盟生存周期(可选)。
步骤 3 执行命令ike local-name router-name,设置IKE 协商时的本机ID(可选)。
步骤 4 执行命令ike sa keepalive-timer interval interval,配置发送Keepalive 报文的时间间隔(可选)。
步骤 5 执行命令ike sa keepalive-timer timeout interval,配置等待Keepalive 报文的超时时间(可选)。
步骤 6 执行命令ike sa nat-keepalive-timer interval interval,配置发送NAT 更新报文的时间间隔(可选)。
步骤 7 执行命令ike peer peer-name,创建IKE Peer 并进入IKE Peer 视图。
步骤 8 执行命令exchange-mode { main | aggressive },配置协商模式。在野蛮模式下可以配置对端 IP 地址与对端名称,主模式下只能配置对端IP 地址。
步骤 9 执行命令ike-proposal proposal-number,配置IKE 安全提议。
步骤 10 执行命令local-id-type { ip | name | user-name },配置IKE Peer 的ID 类型(可选)。
步骤 11 执行命令nat traversal,配置是否需要进行NAT 穿越(可选)。
步骤 12 执行命令pre-shared-key key-string,配置与对端共享的pre-shared key。如果选择了 pre-shared key 验证方法,需要为每个对端配置预共享密钥。建立安全连接的两个对端的预共享密钥必须一致。使用 pre-shared key 的验证方法时必须配置验证字。
步骤 13 执行命令remote-address low-ip-address [ high-ip-address ],配置对端的IP 地址(×××与防火墙通过专线相联时使用)。
步骤 14 执行命令remote-name name,配置对端名称(只在野蛮模式下且使用名字认证时使用)
配置IPSec 安全策略模板:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ipsec policy policy-name seq-number isakmp 或ipsec policy-template policytemplate-name seq-number,创建安全策略模板(当网络中存在移动办公用户时,需要创建安全策略模板)。
步骤 3 执行命令proposal proposal-name&<1-6>,在安全策略中引用安全提议。
步骤 4 执行命令security acl acl-number,引用ACL(可选)。
步骤 5 执行命令sa duration { traffic-based kilobytes | time-based interval },配置SA 的生存周期(可选)。
步骤 6 执行命令ike-peer peer-name,引用IKE Peer。
步骤 7 执行命令pfs { dh-group1 | dh-group2 | dh-group5},设置协商时使用的PFS 特性(可选)。
配置IPSec 安全策略:
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ipsec policy policy-name seq-number isakmp template template-name,创建安全策略。
步骤 3 执行命令interface interface-type interface-number,进入接口视图。
步骤 4 执行命令ipsec policy policy-name,引用安全提议
检查配置结果:
IPSec 典型配置举例:
采用手工方式创建安全联盟:
1. 配置需求:
在路由器 A 和路由器B 之间建立一个安全隧道对PC A 代表的子网(10.1.1.x)与PC B 代表的子网(10.1.2.x)之间的数据流进行安全保护。使用手工方式建立安全联盟,安全协议采用ESP 协议,加密算法采用DES,认证算法采用sha1-hmac-96。
2. 组网图:
3. 配置步骤
(1) 路由器A 的配置
# 配置一个访问列表,定义由子网10.1.1.x 去子网10.1.2.x 的数据流。
[Router] acl 3001
[Router-acl-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Router-acl-3001] rule deny ip source any destination any
# 创建名为tran1 的安全提议。
[Router] ipsec card-proposal tran1
# 报文封装形式采用隧道模式。
[Router-ipsec-card-proposal-tran1] encapsulation-mode tunnel
# 安全协议采用ESP 协议。
[Router-ipsec-card-proposal-tran1] transform esp-new
# 选择算法。
[Router-ipsec-card-proposal-tran1] esp-new encryption-algorithm des
[Router-ipsec-card-proposal-tran1] esp-new authentication-algorithm sha1-hmac-96
# 退回到系统视图。
[Router-ipsec-card-proposal-tran1] quit
# 创建一条安全策略,协商方式为manual。
[Router] ipsec policy policy1 10 manual
# 引用访问列表。
[Router-ipsec-policy-policy1-10] security acl 3001
# 设置对端地址。
[Router-ipsec-policy-policy1-10] tunnel remote 202.38.162.1
# 设置本端地址。
[Router-ipsec-policy-policy1-10] tunnel local 202.38.163.1
# 引用安全提议。
[Router-ipsec-policy-policy1-10] proposal tran1
# 设置SPI。
[Router-ipsec-policy-policy1-10] sa outbound esp spi 12345
[Router-ipsec-policy-policy1-10] sa inbound esp spi 54321
# 设置密钥。
[Router-ipsec-policy-policy1-10] sa outbound esp string-key abcdefg
[Router-ipsec-policy-policy1-10] sa inbound esp string-key gfedcba
# 退回到系统视图。
[Router-ipsec-policy-policy1-10] quit
# 进入以太网口视图,配置IP 地址。
[Router-Ethernet0] ip address 10.1.1.1 255.255.255.0
[Router-Ethernet0] quit
# 进入串口视图,配置IP 地址。
[Router] interface serial 0
[Router-Serial0] ip address 202.38.163.1 255.255.255.0
# 退回到系统视图,配置去10.1.2.x 网段的静态路由。
[Router-Serial0] quit
[Router] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1
# 在串口上应用安全策略库。
[Router-Serial0] ipsec policy policy1
(2) 路由器B 的配置
# 配置一个访问列表,定义由子网10.1.2.x 去子网10.1.1.x 的数据流。
[Router] acl 3000
[Router-acl-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[Router-acl-3000] rule deny ip source any destination any
# 创建名为tran1 的安全提议。
[Router] ipsec card-proposal tran1
# 报文封装形式采用隧道模式。
[Router-ipsec-card-proposal-tran1] encapsulation-mode tunnel
# 安全协议采用ESP 协议。
[Router-ipsec-card-proposal-tran1] transform esp-new
# 选择算法。
[Router-ipsec-card-proposal-tran1] esp-new encryption-algorithm des
[Router-ipsec-card-proposal-tran1] esp-new authentication-algorithm
sha1-hmac-96
# 退回到系统视图。
[Router-ipsec-card-proposal-tran1] quit
# 创建一条安全策略,协商方式为manual。
[Router] ipsec policy map1 10 manual
# 引用访问列表。
[Router-ipsec-policy-map1-10] security acl 3000
# 设置对端地址。
[Router-ipsec-policy-map1-10] tunnel remote 202.38.163.1
# 设置本端地址。
[Router-ipsec-policy-map1-10] tunnel local 202.38.162.1
# 引用安全提议。
[Router-ipsec-policy-map1-10] proposal tran1
# 设置SPI。
[Router-ipsec-policy-map1-10] sa outbound esp spi 54321
[Router-ipsec-policy-map1-10] sa inbound esp spi 12345
# 设置密钥。
[Router-ipsec-policy-map1-10] sa outbound esp string-key gfedcba
[Router-ipsec-policy-map1-10] sa inbound esp string-key abcdefg
# 退回到系统视图。
[Router-ipsec-policy-map1-10] quit
# 进入以太网口视图,配置IP 地址。
[Router-Ethernet0] ip address 10.1.2.1 255.255.255.0
[Router-Ethernet0] quit
# 进入串口视图,配置IP 地址。
[Router] interface serial 0
[Router-Serial0] ip address 202.38.162.1 255.255.255.0
# 退回到系统视图,配置去10.1.1.x 网段的静态路由。
[Router-Serial0] quit
[Router] ip route-static 10.1.1.0 255.255.255.0 202.38.163.1
# 在串口上应用安全策略库。
[Router-Serial0] ipsec policy map1
网络中ipsec应用实例:
1.试验要求:
在企业网络中,如图,在实际网络应用当中,采用ike模式配置网络之间的安全通信。其中R1为公司总部,R13为Internet网络,其两个分公司F2、F4通过Internet与总部通信,现要求通过ike方法实现总部与分公司之间的安全通信。
2.拓扑图:
3.配置步骤:
R1的配置:
配置本地ip地址:
int e1
ip add 192.68.1.1 24
int s1
ip add 192.168.10.200 24
quit
配置访空列表允许1.0网段访问2.0网段:
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule deny ip source any destination any
quit
配置访空列表允许1.0网段访问3.0网段:
acl 3001
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule deny ip source any destination any
quit
配置名为tran1的ipsec协议:
ipsec proposal tran1
配置报文封装类型:
encapsulation-mode tunnel
配置安全协议:
transfrom esp-new
配置esp协议的认证算法:
esp-new authentication-algorithm md5
配置esp协议的加密算法:
esp-new encryption-algorithm des
quit
配置名为tran2的ipsec协议:
ipsec proposal tran2
配置报文封装类型:
encapsulation-mode tunnel
配置安全协议:
transfrom esp-new
配置esp协议的认证算法:
esp-new authentication-algorithm md5
配置esp协议的加密算法:
esp-new encryption-algorithm des
quit
配置ipsec策略:
ipsec policy policy10 20 isakmp
security acl 3000
proposal tran1
tunnel remote 192.168.20.200
tunnel local 192.168.10.200
quit
ipsec policy policy10 30 isakmp
引用acl访空列表:
security acl 3001
proposal tran2
tunnel remote 192.168.30.200
tunnel local 192.168.10.200
quit
协商密匙指定对方地址:
ike pre-shared-key 123456 remote 192.168.20.200
ike pre-shared-key 123456 remote 192.168.30.200
设置默认路由:
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
int s1
ipsec policy policy10
R13配置:
进入端口配置地址:
interface Ethernet0
ip address 192.168.20.1 255.255.255.0
interface Ethernet1
ip address 192.168.30.1 255.255.255.0
interface Serial1
ip address 192.168.10.1 255.255.255.0
F2配置:
进入端口配置地址:
interface Ethernet0/1
ip address 192.168.20.200 255.255.255.0
interface Ethernet0/4
ip address 192.168.2.1 255.255.255.0
quit
将端口加入区域信任:
firewall zone trust
add interface Ethernet0/1
add interface Ethernet0/4
quit
创建访空列表:
acl number 3000
rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule deny ip source any destination any
quit
配置名为tran1的ipsec协议:
ipsec proposal tran1
配置报文封装类型:
encapsulation-mode tunnel
配置安全协议:
transfrom esp-new
配置esp协议的认证算法:
esp-new authentication-algorithm md5
配置esp协议的加密算法:
esp-new encryption-algorithm des
quit
配置ipsec策略:
ipsec policy policy10 20 isakmp
应用访空列表3000规则:
security acl 3000
proposal tran1
ike-peer f1
quit
指定ike peer端口:
ike peer f1
local-address 192.168.20.200
remote-address 192.168.10.200
pre-shared-key 123456
quit
添加默认路由:
ip route-static 0.0.0.0 0.0.0.0 192.168.20.1
再接口上引用ipsec策略:
interface Ethernet0/1
ipsec policy policy10
F4配置:
进入端口配置地址:
interface Ethernet0/1
ip address 192.168.30.200 255.255.255.0
interface Ethernet0/2
ip address 192.168.3.1 255.255.255.0
将端口加入区域信任:
firewall zone trust
add interface Ethernet0/1
add interface Ethernet0/2
创建访空列表:
acl number 3000
rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule deny ip source any destination any
quit
配置名为tran2的ipsec协议:
ipsec proposal tran2
配置报文封装类型:
encapsulation-mode tunnel
配置安全协议:
transfrom esp-new
配置esp协议的认证算法:
esp-new authentication-algorithm md5
配置esp协议的加密算法:
esp-new encryption-algorithm des
quit
配置ipsec策略:
ipsec policy policy10 30 isakmp
应用访空列表3000:
security acl 3000
proposal tran2
ike-peer f2
quit
指定ike peer端口:
ike peer f2
local-address 192.168.30.200
remote-address 192.168.10.200
pre-shared-key 123456
quit
配置静态路由:
ip route-static 0.0.0.0 0.0.0.0 192.168.30.1
在端口应用ipsec:
interface Ethernet0/1
ipsec policy policy10
配置信息:
F2的配置信息:
<F2>dis cu
ike peer f1
pre-shared-key 123456
remote-address 192.168.10.200
local-address 192.168.20.200
#
ipsec proposal tran1
#
ipsec policy policy10 20 isakmp
security acl 3000
ike-peer f1
proposal tran1
#
acl number 3000
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip
#
interface Ethernet0/0
ip address 192.168.100.42 255.255.255.0
#
interface Ethernet0/1
ip address 192.168.20.200 255.255.255.0
ipsec policy policy10
#
interface Ethernet0/4
ip address 192.168.2.1 255.255.255.0
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/1
add interface Ethernet0/4
#
ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
F4配置信息:
[F4]dis cu
ike peer route
pre-shared-key 123456
remote-address 192.168.10.200
local-address 192.168.30.200
#
ipsec proposal tran2
#
ipsec policy policy10 30 isakmp
security acl 3000
ike-peer f2
proposal tran2
#
acl number 3000
rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip
#
interface Ethernet0/0
ip address 192.168.100.44 255.255.255.0
#
interface Ethernet0/1
ip address 192.168.30.200 255.255.255.0
ipsec policy policy10
#
interface Ethernet0/2
ip address 192.168.3.1 255.255.255.0
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/1
add interface Ethernet0/2
set priority 85
#
ip route-static 0.0.0.0 0.0.0.0 192.168.30.1 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
R13配置信息:
[R13]dis cu
!
interface Ethernet0
ip address 192.168.20.1 255.255.255.0
!
interface Ethernet1
ip address 192.168.30.1 255.255.255.0
!
interface Serial1
clock DTECLK1
link-protocol ppp
ip address 192.168.10.1 255.255.255.0
!
return
R1的配置信息:
R1:
[R1]dis cu
ike pre-shared-key 123456 remote 192.168.30.200
ike pre-shared-key 123456 remote 192.168.20.200
!
acl 3000 match-order auto
rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule normal deny ip source any destination any
!
acl 3001 match-order auto
rule normal permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule normal deny ip source any destination any
!
ike proposal 20
!
ipsec proposal tran2
!
ipsec proposal tran1
!
ipsec policy policy10 20 isakmp
security acl 3000
proposal tran1
tunnel local 192.168.10.200
tunnel remote 192.168.20.200
!
ipsec policy policy10 30 isakmp
security acl 3001
proposal tran2
tunnel local 192.168.10.200
tunnel remote 192.168.30.200
!
interface Ethernet0
ip address 192.168.100.1 255.255.255.0
!
interface Ethernet1
ip address 192.168.1.1 255.255.255.0
!
interface Serial1
link-protocol ppp
ip address 192.168.10.200 255.255.255.0
ipsec policy policy10
!
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1 preference 60
!
return
主机连通性验证:
主机地址为192.168.1.28验证:
主机地址为192.168.2.3验证:
主机地址为192.168.3.13验证:
