分类
经验 协议

IPSec VPN配置(华为)

基于上一篇文章《IPSec VPN原理》的基础上,我们继续来深入了解IPSec VPN的配置。

IPSec VPN实验拓扑
IPSec VPN实验拓扑

第一种方式:手工方式
第一步:根据图示地址分配,3台设备运行OSPF路由协议,确保网络可达
R1
undo ter mo
sys
sys R1
int loo0
ip add 1.1.1.1 24
int loo1
ip add 10.10.10.10 24
int g0/0/0
ip add 192.168.12.1 24
quit
ospf 1 rou 1.1.1.1
area 0
net 1.1.1.1 0.0.0.0
net 10.10.10.10 0.0.0.0
net 192.168.12.1 0.0.0.0
quit
quit

R2
undo ter mo
sys
sys R2
int g0/0/0
ip add 192.168.12.2 24
int g0/0/1
ip add 192.168.23.2 24
quit
ospf 1 rou 2.2.2.2
area 0
net 192.168.12.2 0.0.0.0
net 192.168.23.2 0.0.0.0
quit
quit

R3
undo ter mo
sys
sys R3
int loo0
ip add 3.3.3.3 24
int loo1
ip add 30.30.30.30 24
int g0/0/1
ip add 192.168.23.3 24
quit
ospf 1 rou 3.3.3.3
area 0
net 3.3.3.3 0.0.0.0
net 30.30.30.30 0.0.0.0
net 192.168.23.3 0.0.0.0
quit
quit

以上配置完成,在R2上查看OSPF邻居表

查看OSPF邻居关系
查看OSPF邻居关系

第二步:配置感兴趣流
使用高级ACL来定义IPSec VPN的感兴趣流,R1、R3的源目地址相反
R1
acl 3000
rule permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

R3
acl 3000
rule permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255

第三步:配置IPSec VPN提议
创建IPSec提议,进入IPSec提议视图下指定安全协议,隧道两端需要使用相同的安全协议,R1、R3的配置相同
ipsec proposal Prop10 ##创建IPSec提议并命名为Prop10
encapsulation-mode transport ##配置报文的封装模式,默认为tunnel模式
esp authentication-algorithm sha2-512 ##配置ESP协议使用的认证算法
esp encryption-algorithm aes-256 ##配置ESP加密算法
R1
ipsec proposal Prop10
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
quit

R3
ipsec proposal Prop10
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
quit

使用命令display ipsec proposal查看配置

使用命令display ipsec proposal查看配置
使用命令display ipsec proposal查看配置

第四步:创建IPSec策略
ipsec policy Policy10 10 manual ##创建IPSec策略并命名为Policy10
security acl 3000 ##指定IPSec策略所引用的访问控制列表
proposal Prop10 ##指定IPSec策略所引用的提议为Prop10
tunnel remote 192.168.23.3 ##指定隧道对端地址
tunnel local 192.168.12.1 ##指定隧道本端地址
sa spi outbound esp 54321 ##指定安全索引参数
sa string-key outbound esp simple huawei123 ##指定安全联盟的认证密钥
R1
ipsec policy Policy10 10 manual
security acl 3000
proposal Prop10
tunnel remote 192.168.23.3
tunnel local 192.168.12.1
sa spi outbound esp 54321
sa spi inbound esp 12345
sa string-key outbound esp simple huawei123
sa string-key inbound esp simple huawei123
quit
R3
ipsec policy Policy10 10 manual
security acl 3000
proposal Prop10
tunnel remote 192.168.12.1
tunnel local 192.168.23.3
sa spi outbound esp 12345
sa spi inbound esp 54321
sa string-key outbound esp simple huawei123
sa string-key inbound esp simple huawei123
quit
使用命令display ipsec policy查看配置

使用命令display ipsec policy查看配置
使用命令display ipsec policy查看配置

第五步:在接口下应用IPSec策略
在物理接口下应用IPSec策略,将接口对感兴趣流量进行IPSec加密处理
R1
int g0/0/0
ipsec policy Policy10
quit

R3
int g0/0/1
ipsec policy Policy10
quit
验证设备是否对感兴趣流进行IPSec加密

验证设备是否对感兴趣流进行IPSec加密
验证设备是否对感兴趣流进行IPSec加密

非感兴趣流的流量没有进行IPSec加密(还是5个)

非感兴趣流的流量没有进行IPSec加密(还是5个)
非感兴趣流的流量没有进行IPSec加密(还是5个)

第二种方式:配置动态IKEv2 IPSec VPN
先删除第一种方式的有关配置
R1
int g0/0/0
undo ipsec policy
quit
undo ipsec policy Policy10
undo ipsec proposal Prop10

R3
int g0/0/1
undo ipsec policy
quit
undo ipsec policy Policy10
undo ipsec proposal Prop10

下面开始新的配置
R1
ipsec proposal Prop20
quit
ike peer huawei v2
pre-shared-key simple huawei123
remote-address 192.168.23.3
quit
ipsec policy Policy20 15 isakmp
security acl 3000
proposal Prop20
ike-peer huawei
quit
int g0/0/0
ipsec policy Policy20
quit

R3
ipsec proposal Prop20
quit
ike peer huawei v2
pre-shared-key simple huawei123
remote-address 192.168.12.1
quit
ipsec policy Policy20 15 isakmp
security acl 3000
proposal Prop20
ike-peer huawei
quit
int g0/0/1
ipsec policy Policy20
quit

以上配置完成,使用命令display ike proposal查看提议配置

使用命令display ike proposal查看提议配置
使用命令display ike proposal查看提议配置

以上配置完成,使用命令display ipsec sa查看IPSec安全联盟信息

使用命令display ipsec sa查看IPSec安全联盟信息
使用命令display ipsec sa查看IPSec安全联盟信息

使用命令display ipsec statistics esp验证IKE相关配置是否对感兴趣流进行IPSec加密(在原有5的基础上,增加了5个)
而使用ping -a 10.10.10.10 30.30.30.30测试,数量没有变化。

使用命令display ipsec statistics esp验证IKE相关配置是否对感兴趣流进行IPSec加密
使用命令display ipsec statistics esp验证IKE相关配置是否对感兴趣流进行IPSec加密

发表评论

电子邮件地址不会被公开。 必填项已用*标注