IPsec VPN学习与配置

IPSec

作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完成性和防重放。

IPSec不是一个单独的协议,通过AH和ESP这两个安全协议来实现对IP数据报的安全传送(封装)。

IKE协议提供秘钥协商、建立和维护安全联盟SA等服务。

安全联盟SA:定义了IPSec对等体间使用的数据封装模式、认证、加密算法、密钥参数。安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA。建立SA的方法:手动和IKE自动。

AH和ESP

AH和ESP分为隧道模式和传输模式。

如果在NAT的网络环境下,传输模式下封装的数据报是无法通过路由器进行路由器的。所以在NAT的网络环境下使用的封装模式为隧道模式,因为路由器之间路由只看外层的IP Header的。

加密点不等于通讯点的模式为隧道模式
加密点等于通讯点的模式为传输模式

IPSec VPN配置

手动配置
拓扑如下:

需要保证网络畅通,从Inside可以ping通Private。主要配置需要在site1和site2上完成。配置如下:

site1:
#
sysname Site1
#
acl number 3000
rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal an-proposal
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
#
ipsec policy an-policy 1 manual
security acl 3000
proposal an-proposal
tunnel local 61.128.1.1
tunnel remote 202.100.1.1
sa spi inbound esp 12345
sa string-key inbound esp simple an321
sa spi outbound esp 54321
sa string-key outbound esp simple an123
#
interface GigabitEthernet0/0/0
ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 61.128.1.1 255.255.255.0
ipsec policy an-policy
#
ip route-static 0.0.0.0 0.0.0.0 61.128.1.10
#

 

Site2:
#
sysname Site2
#
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
#
ipsec proposal an-proposal
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
#
ipsec policy an-policy 1 manual
security acl 3000
proposal an-proposal
tunnel local 202.100.1.1
tunnel remote 61.128.1.1
sa spi inbound esp 54321
sa string-key inbound esp simple an123
sa spi outbound esp 12345
sa string-key outbound esp simple an321
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address 202.100.1.1 255.255.255.0
ipsec policy an-policy
#
interface GigabitEthernet0/0/1
ip address 10.1.1.254 255.255.255.0
#

验证:在配置完成后Insid和Private可以相互PING通。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据