HCIE2020__路由交换专家__配置 IPSec VPN

1.1.1 关于本实验

IPSec（Internet Protocol Security）是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。

IPSec VPN的主要应用场景是保证远端点对点用户能够安全、高效地互访共享内部网络资源。

1.1.2 实验目的

在点对点部署、两端设备公网IP地址固定的场景下，掌握通过IKE协商方式建立IPSec隧道的配置方法。

1.1.3 实验组网介绍

1.1.4 实验规划

PC1是企业总部员工，PC2是企业分部员工。通过相应配置，使企业总部、分部用户能够安全、高效的访问企业内部的网络资源。

1.2 实验任务配置

1.2.1 配置思路

1. 配置接口IP地址。
2. 配置静态路由。
3. 配置IPSec策略。

1.2.2 配置步骤

步骤 1 分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由

# 在RouterA上配置接口的IP地址。

<Huawei>system-view
[Huawei]sysname RouterA
[RouterA]interface gigabitethernet 0/0/2
[RouterA-GigabitEthernet0/0/2]ip address 10.1.100.1 255.255.255.0
[RouterA-GigabitEthernet0/0/2]quit
[RouterA]interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1]ip address 10.1.1.1 255.255.255.0
[RouterA-GigabitEthernet0/0/1]quit

# 在RouterA上配置到对端的静态路由，此处假设到对端的下一跳地址为10.1.1.2。

[RouterA]ip route-static 10.1.200.0 255.255.255.0 10.1.1.2

# 在RouterB上配置接口的IP地址。

<Huawei>system-view
[Huawei]sysname RouterB
[RouterB]interface gigabitethernet 0/0/2
[RouterB-GigabitEthernet0/0/2]ip address 10.1.1.2 255.255.255.0
[RouterB-GigabitEthernet0/0/2]quit
[RouterB]interface gigabitethernet 0/0/1
[RouterB-GigabitEthernet0/0/1]ip address 10.1.200.1 255.255.255.0
[RouterB-GigabitEthernet0/0/1]quit

# 在RouterB上配置到对端的静态路由，此处假设到对端下一跳地址为10.1.1.1。

[RouterB]ip route-static 10.1.100.0 255.255.255.0 10.1.1.1

步骤 2 分别在RouterA和RouterB上配置ACL，定义各自要保护的数据流

# 在RouterA上配置ACL，定义由子网10.1.100.0/24去子网10.1.200.0/24的数据流。

[RouterA]acl number 3001
[RouterA-acl-adv-3001]rule permit ip source 10.1.100.0 0.0.0.255 destination 10.1.200.0 0.0.0.255
[RouterA-acl-adv-3101]quit

# 在RouterB上配置ACL，定义由子网10.1.200.0/24去子网10.1.100.0/24的数据流。

[RouterB]acl number 3001
[RouterB-acl-adv-3001]rule permit ip source 10.1.200.0 0.0.0.255 destination 10.1.100.0 0.0.0.255
[RouterB-acl-adv-3101]quit

步骤 3 分别在RouterA和RouterB上创建IPSec安全提议

# 在RouterA上配置IPSec安全提议。

[RouterA]ipsec proposal tran1
[RouterA-ipsec-proposal-tran1]esp authentication-algorithm sha2-256
[RouterA-ipsec-proposal-tran1]esp encryption-algorithm aes-128
[RouterA-ipsec-proposal-tran1]quit

# 在RouterB上配置IPSec安全提议。

[RouterB]ipsec proposal tran1
[RouterB-ipsec-proposal-tran1]esp authentication-algorithm sha2-256
[RouterB-ipsec-proposal-tran1]esp encryption-algorithm aes-128
[RouterB-ipsec-proposal-tran1]quit

此时分别在RouterA和RouterB上执行display ipsec proposal会显示所配置的信息。

步骤 4 分别在RouterA和RouterB上配置IKE对等体

# 在RouterA上配置IKE安全提议。

[RouterA]ike proposal 5
[RouterA-ike-proposal-5]encryption-algorithm aes-cbc-128
[RouterA-ike-proposal-5]authentication-algorithm sha1
[RouterA-ike-proposal-5]quit

# 在RouterA上配置IKE对等体，并根据默认配置，配置预共享密钥和对端ID。

[RouterA]ike peer spub v1
[RouterA-ike-peer-spub]ike-proposal 5
[RouterA-ike-peer-spub]pre-shared-key cipher huawei
[RouterA-ike-peer-spub]remote-address 10.1.1.2
[RouterA-ike-peer-spub]quit

# 在RouterB上配置IKE安全提议。

[RouterB]ike proposal 5
[RouterB-ike-proposal-5]encryption-algorithm aes-cbc-128
[RouterB-ike-proposal-5]authentication-algorithm sha1
[RouterB-ike-proposal-5]quit

# 在RouterB上配置IKE对等体，并根据默认配置，配置预共享密钥和对端ID。

[RouterB]ike peer spua v1
[RouterB-ike-peer-spua]ike-proposal 5
[RouterB-ike-peer-spua]pre-shared-key cipher huawei
[RouterB-ike-peer-spua]remote-address 10.1.1.1
[RouterB-ike-peer-spua]quit

步骤 5 分别在RouterA和RouterB上创建安全策略

# 在RouterA上配置IKE动态协商方式安全策略。

[RouterA]ipsec policy map1 10 isakmp
[RouterA-ipsec-policy-isakmp-map1-10]ike-peer spub
[RouterA-ipsec-policy-isakmp-map1-10]proposal tran1
[RouterA-ipsec-policy-isakmp-map1-10]security acl 3001
[RouterA-ipsec-policy-isakmp-map1-10]quit

# 在RouterB上配置IKE动态协商方式安全策略。

[RouterB]ipsec policy use1 10 isakmp
[RouterB-ipsec-policy-isakmp-use1-10]ike-peer spua
[RouterB-ipsec-policy-isakmp-use1-10]proposal tran1
[RouterB-ipsec-policy-isakmp-use1-10]security acl 3001
[RouterB-ipsec-policy-isakmp-use1-10]quit

此时分别在RouterA和RouterB上执行display ipsec policy会显示所配置的信息。

步骤 6 分别在RouterA和RouterB的接口上应用各自的安全策略组，使接口具有IPSec的保护功能

# 在RouterA的接口上引用安全策略组。

[RouterA]interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1]ipsec policy map1
[RouterA-GigabitEthernet0/0/1]quit

# 在RouterB的接口上引用安全策略组。

[RouterB]interface gigabitethernet 0/0/2
[RouterB-GigabitEthernet0/0/2]ipsec policy use1
[RouterB-GigabitEthernet0/0/2]quit

1.3 结果验证

1.3.1 检查配置结果

# 在RouterA上执行display ike sa操作，结果如下。

<RouterA>display ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase 
  ---------------------------------------------------------------
        3    10.1.1.2        0     RD                     2    
        1    10.1.1.2        0     RD                     1    
 
  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

# 分别在RouterA和RouterB上执行display ipsec sa会显示所配置的信息，以RouterA为例。

<RouterA>display ipsec sa
 
===============================
Interface: GigabitEthernet0/0/1
 Path MTU: 1500
===============================
 
  -----------------------------
  IPSec policy name: "map1"
  Sequence number  : 10
  Acl Group        : 3001
  Acl rule         : 5
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 3
    Encapsulation mode: Tunnel
    Tunnel local      : 10.1.1.1
    Tunnel remote     : 10.1.1.2
    Flow source       : 10.1.100.0/255.255.255.0 0/0
    Flow destination  : 10.1.200.0/255.255.255.0 0/0
    Qos pre-classify  : Disable
 
    [Outbound ESP SAs]
      SPI: 1450485947 (0x5674a8bb)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887436800/3411
      Max sent sequence-number: 0
      UDP encapsulation used for NAT traversal: N
 
    [Inbound ESP SAs]
      SPI: 2211280252 (0x83cd757c)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887436800/3411
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

1.3.2 查看加密报文

# 配置成功后，在主机PC 1执行ping操作仍然可以ping通主机PC 2，它们之间的数据传输将被加密，执行命令display ipsec statistics esp可以查看数据包的统计信息。

<RouterA>display ipsec statistics esp
 Inpacket count            : 23
 Inpacket auth count       : 0
 Inpacket decap count      : 0
 Outpacket count           : 24
 Outpacket auth count      : 0
 Outpacket encap count     : 0
 Inpacket drop count       : 0
 Outpacket drop count      : 0
 BadAuthLen count          : 0
 AuthFail count            : 0
 InSAAclCheckFail count    : 0
 PktDuplicateDrop count    : 0
 PktSeqNoTooSmallDrop count: 0
 PktInSAMissDrop count     : 0

# 抓包查看加密报文，加密部分不能被查看到。

1.4 配置参考

1.4.1 RouterA的配置

#
 sysname RouterA
#
acl number 3001 
 rule 5 permit ip source 10.1.100.0 0.0.0.255 destination 10.1.200.0 0.0.0.255
#
ipsec proposal tran1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128
#
ike proposal 5
 encryption-algorithm aes-cbc-128
#
ike peer spub v1
 pre-shared-key cipher huawei
 ike-proposal 5
 remote-address 10.1.1.2
#
ipsec policy map1 10 isakmp
 security acl 3001
 ike-peer spub
 proposal tran1
#
interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0
 ipsec policy map1
#
interface GigabitEthernet0/0/2
 ip address 10.1.100.1 255.255.255.0
#
ip route-static 10.1.200.0 255.255.255.0 10.1.1.2
#
Return

1.4.2 RouterB的配置

#
 sysname RouterB
#
acl number 3001 
 rule 5 permit ip source 10.1.200.0 0.0.0.255 destination 10.1.100.0 0.0.0.255
#
ipsec proposal tran1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128
#
ike proposal 5
 encryption-algorithm aes-cbc-128
#
ike peer spua v1
 pre-shared-key cipher huawei
 ike-proposal 5
 remote-address 10.1.1.1
#
ipsec policy use1 10 isakmp
 security acl 3001
 ike-peer spua
 proposal tran1
#
interface GigabitEthernet0/0/1
 ip address 10.1.200.1 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 10.1.1.2 255.255.255.0
 ipsec policy use1
#
ip route-static 10.1.100.0 255.255.255.0 10.1.1.1
#
return