网站开速度几秒,网站 别名,浙江1万家企业,WordPress静态文件存储【华为】IPsec VPN 实验配置#xff08;动态地址接入#xff09; 注意实验需求配置思路配置命令拓扑R1基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA ISP_R2基础配置 R3基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA PCPC1PC2 检查建立成功查看命令清除IKE / IPsec… 【华为】IPsec VPN 实验配置动态地址接入 注意实验需求配置思路配置命令拓扑R1基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA ISP_R2基础配置 R3基础配置配置第一阶段 IKE SA配置第二阶段 IPsec SA PCPC1PC2 检查建立成功查看命令清除IKE / IPsec SA命令 配置文档 注意
因为本篇文章就是IPsec的实验配置的话是有一个IP地址不固定的情况下 我们这个就需要用到野蛮模式的也就是第一阶段会更改模式啦记得哦两端都需要更改呀
对于地址固定的总部来说需要以下注意的点 ① 动态模板 如拓扑图中R1是地址固定那一段然后它想和自己的分部R3建立IPsec VPN在不清楚R3的IP地址下是无法用常规的办法来配置我们就只能用template来建立啦~ ② 无需设置ACL 因为我们并不清楚分部那边有哪些私网的网段
那如何去与一端地址不固定的设备建立IPsec 呢
用地址不固定的R3 去主动和R1发起IKE 协商在经过IKE的协商过后R1 就在IKE 的SA中获取到需要保护的兴趣流也就是ACL的内容
配置和解决办法都在后面哦感兴趣的就可以继续往后看呀
实验需求
R1为企业总部网关R3为企业分部网关分部与总部通过公网建立通信。 分部子网不固定而总部子网固定为202.101.12.0/24。
企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。
配置思路 基础配置, 配置接口的IP地址和到对端的静态路由保证两端路由可达。 第一阶段 IKE SA ① 配置IKE安全提议定义IKE保护数据流方法 ② 配置IKE对等体定义对等体间IKE协商时的属性在这边就要特别的小心一定要记得去把主模式改为野蛮模式两端都需要修改 第二阶段 IPsec SA ① 配置ACL以定义需要IPSec保护的数据流R1不需要配置R3 需要 ② 配置IPSec安全提议定义IPSec的保护方法 ③ 地址固定端R1配置策略模板模板内容IPSec安全提议和IKE对等体确定对何种数据流采取何种保护方法并在安全策略中引用该策略模板 ③ 地址不固定端R3配置安全策略并引用ACL、IPSec安全提议和IKE对等体确定对何种数据流采取何种保护方法 在接口上应用安全策略组使接口具有IPSec的保护功能
IPsec VPN 本质阶段一保护阶段二 阶段二保护数据
配置命令
拓扑 R1
基础配置
配置R1的基础配置再用默认路由实现公网可达
[Huawei]sysn R1
[R1]undo info-center enable ## 关闭CLI系统提示消息[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0/0]qu[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[R1-GigabitEthernet0/0/1]qu[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2 ##配置默认路由指向ISP_R2运营商实现公网可达配置第一阶段 IKE SA
协商出IKE SA 对第二阶段IPsecSA的协商过程做保护
## 创建R1的IKE安全提议名字为 1
[R1]ike proposal 1
[R1-ike-proposal-1]encryption-algorithm 3des-cbc ## 用3des-cbc来加密IKE
[R1-ike-proposal-1]authentication-algorithm md5 ## 用md5来认证
[R1-ike-proposal-1]dh group5 ## 启用DH组5
[R1-ike-proposal-1]qu## 创建IKEv1对等体名字为 1配置预共享密钥和修改主模式
[R1]ike peer 1 v1
[R1-ike-peer-1]exchange-mode aggressive ## 记得修改为野蛮模式哦
[R1-ike-peer-1]ike-proposal 1 ## 引用安全提议 1
[R1-ike-peer-1]pre-shared-key simple 520 ## 预共享密钥 为 520
[R1-ike-peer-1]qu配置第二阶段 IPsec SA
在阶段1建立的IKE SA的保护下完成IPSec SA的协商
## 配置IPSec安全提议名字为 1
[R1]ipsec proposal 1
[R1-ipsec-proposal-1]esp encryption-algorithm 3des ## 用ESP头部封装IPsec用3des加密
[R1-ipsec-proposal-1]esp authentication-algorithm md5 ## 用ESP头部封装IPsec用md5认证
[R1-ipsec-proposal-1]encapsulation-mode tunnel ## 采用隧道模式
[R1-ipsec-proposal-1]qu## 配置策略模板名字为 1优先级为 1并在安全策略中引用该策略模板
[R1]ipsec policy-template 1 1
[R1-ipsec-policy-templet-1-1]ike-peer 1
[R1-ipsec-policy-templet-1-1]proposal 1
[R1-ipsec-policy-templet-1-1]qu
[R1]ipsec policy mypolicy 1 isakmp template 1 ## 安全策略名字为 1,引用策略模板 1## 接口下调用安全策略 1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy mypolicy
[R1-GigabitEthernet0/0/0]quISP_R2
基础配置
[Huawei]sysn ISP_R2[ISP_R2]undo info-center enable
[ISP_R2]int g0/0/0
[ISP_R2-GigabitEthernet0/0/0]ip address 202.101.12.2 24
[ISP_R2-GigabitEthernet0/0/0]qu[ISP_R2]int g0/0/1
[ISP_R2-GigabitEthernet0/0/1]ip address 202.101.23.2 24
[ISP_R2-GigabitEthernet0/0/1]quR3
基础配置
配置R3的基础配置再用默认路由实现公网可达 像本篇中R3 的地址如何实现不固定呢 是公司向运营商申请的公网IP地址是有租期的用PPPoE来获取那每一段时间都会变更一下这个才是现在的常态但总部的IP地址尽量就是固定的
[Huawei]sysn R3[R3]undo info-center enable
Info: Information center is disabled.[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0/0]qu[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/0/1]qu[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2 ##配置默认路由指向ISP_R2运营商实现公网可达配置第一阶段 IKE SA
协商出IKE SA 对第二阶段IPsecSA的协商过程做保护
[R3]ike proposal 1
[R3-ike-proposal-1]encryption-algorithm 3des-cbc
[R3-ike-proposal-1]authentication-algorithm md5
[R3-ike-proposal-1]dh group5
[R3-ike-proposal-1]qu[R3]ike peer 1 v1
[R3-ike-peer-1]exchange-mode aggressive
[R3-ike-peer-1]ike-proposal 1
[R3-ike-peer-1]pre-shared-key simple 520
[R3-ike-peer-1]remote-address 202.101.12.1
[R3-ike-peer-1]qu配置第二阶段 IPsec SA
在阶段1建立的IKE SA的保护下完成IPSec SA的协商
[R3]ipsec proposal 1
[R3-ipsec-proposal-1]encapsulation-mode tunnel
[R3-ipsec-proposal-1]esp encryption-algorithm 3des
[R3-ipsec-proposal-1]esp authentication-algorithm md5
[R3-ipsec-proposal-1] qu[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[R3-acl-adv-3000]qu[R3]ipsec policy mypolicy 1 isakmp
[R3-ipsec-policy-isakmp-mypolicy-1]ike-peer 1
[R3-ipsec-policy-isakmp-mypolicy-1]proposal 1
[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000
[R3-ipsec-policy-isakmp-mypolicy-1]qu[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy mypolicy
[R3-GigabitEthernet0/0/0]quPC
PC1 PC2 检查
那么大家在这个地址不固定的情况下记得是用R3那边的主机来发起链接 因为R1它并不知道对方的情况就只能等待R3来发起连接啦 但华为的话它是可以自动发起连接的能Ping 通就好啦
建立成功
细心的就能发现里面野蛮模式交换的是三个报文然后成功协商IKE SA 而快速模式的三个报文就成功的协商IPsec SA 这两个出来就成功建立了 IPsec VPN对流量实施了加密啦~ 这个就是和主模式的六个报文有了区分咯
查看命令
查看IKE SA的基本信息 [R1]display ike sa 查看IPsec SA的基本信息 [R1]display ipsec sa 大家可以在图中看到里面有tunnel的源和目的就是总部R1上查看IPsec SA信息 可以看到R3此时的IP地址是202.101.23.3 这个是它自己获取到的我们什么都没有动 还有R1 也能通过IPsec SA获取到类似于ACL中需要匹配保护的流量 所以刚才在上面讲的那么多都是为了这个而铺垫哒
清除IKE / IPsec SA命令
在IPsec VPN 建立完成后我们想修改一些东西的时候需要把SA清除干净这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效 提醒一下呀就是先把自己需要改的东西先改好然后再刷新一下 因为华为的IPsec是自动建立的
reset ike sa all reset ipsec sa
配置文档
R1
sys
sysn R1 undo info-center enable int g0/0/0
ip address 202.101.12.1 24
qu
int g0/0/1
ip address 192.168.10.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm md5
dh group5
quike peer 1 v1
exchange-mode aggressive
ike-proposal 1
pre-shared-key simple 520
quipsec proposal 1
esp encryption-algorithm 3des
esp authentication-algorithm md5
encapsulation-mode tunnel ipsec policy-template 1 1
ike-peer 1
proposal 1
quipsec policy mypolicy 1 isakmp template 1 int g0/0/0
ipsec policy mypolicy
qu
R2
sys
sysn ISP_R2
int g0/0/0
ip address 202.101.12.2 24
qu
int g0/0/1
ip address 202.101.23.2 24
quR3 sys
sysn R3undo info-center enableint g0/0/0
ip address 202.101.23.3 24
qu
int g0/0/1
ip address 192.168.20.254 24
qu
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm md5
dh group5
quike peer 1 v1
exchange-mode aggressive
ike-proposal 1
pre-shared-key simple 520
remote-address 202.101.12.1
quipsec proposal 1
encapsulation-mode tunnel
esp encryption-algorithm 3des
esp authentication-algorithm md5 acl 3000
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
quipsec policy mypolicy 1 isakmp
ike-peer 1
proposal 1
security acl 3000
quint g0/0/0
ipsec policy mypolicy
qu
