手工方式IPSec VPN配置保障单位与分支之间的数据安全

目前有不少单位与分支（或其他单位）之间有业务需要，为了数据安全往往需要使用VPN，其中IPSec VPN就是常用的一种。它可以在Internet上建立安全的专用线路，通过加密与验证等方式，从数据来源验证、数据加密、数据完整性验证等方面保障了用户业务数据在Internet中的安全传输。

图1是对常见的一些中小单位的联网拓扑的概括。

下面以eNSP模拟软件进行手工方式IPSec VPN配置的实验。

一、实验内容

模拟某单位总部与分公司的联网场景：总部的局域网（图1蓝色矩形区）通过防火墙FW1连接因特网（图1红色矩形区），分公司1的局域网通过防火墙FW2连接因特网，总部与分公司1之间需要业务互通，为安全起见，需要配置IPSec VPN。

总部和分公司1均申请了静态公网IP地址，用于防火墙连接互联网的外网口。

本次实验将主要配置：

1、基本网络配置，使FW1和FW2之间公网路由可达。

2、FW1和FW2上的安全策略临时设置成默认允许，以方便配置IPSec VPN。

3、定义需要保护的数据流。总部和分公司1内部网络之间的通信通过IPSec VPN保护，其他通信不进入IPSec VPN。

4、配置IPSec安全提议。指定总部和分公司1双方采用的封装模式、安全协议、加密算法和验证算法等，以便双方形成安全联盟SA（Security Association）。

5、手工方式配置IPSec安全策略。引用ACL和IPSec安全提议，指定总部和分公司1双方的公网地址、安全联盟标识符SPI，以及加密密钥和验证密钥。

6、在接口上应用IPSec安全策略。

7、私网路由配置，用于IPSec VPN。

8、观察总部和分公司1之间的IPSec VPN是否正常。

二、实验配置

(一) 基本网络配置

1、配置接口IP地址

FW1：

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ip address 12.12.12.1 24

[FW1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/8

[FW1-GigabitEthernet0/0/8]ip address 192.168.1.254 24

[FW1-GigabitEthernet0/0/8]quit

R1：

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 12.12.12.2 24

[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2

[R1-GigabitEthernet0/0/2]ip address 23.23.23.2 24

[R1-GigabitEthernet0/0/2]quit

FW2：

[FW2]interface GigabitEthernet 0/0/1

[FW2-GigabitEthernet0/0/1]ip address 23.23.23.3 24

[FW2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/8

[FW2-GigabitEthernet0/0/8]ip address 192.168.2.254 24

[FW2-GigabitEthernet0/0/8]quit

2、配置基本路由，使FW1和FW2之间公网路由可达。

FW1：

[FW1]ip route-static 0.0.0.0 0.0.0.0 12.12.12.2

FW2：

[FW2]ip route-static 0.0.0.0 0.0.0.0 23.23.23.2

注：

1、本实验并没有在R1上进行路由配置，是因为R1到FW1或FW2都是直连，类似于营运商的设备通过网桥连接到单位的路由器/防火墙。另外在实际网络中，营运商也一般不会配置到防火墙的内部私网的路由。

2、单位总部和分公司1内部局域网使用的私有IP地址，如果要访问互联网一般是配置NAT，因此营运商也不用知道防火墙的内部私网。

3、单位总部或者分公司1如果需要配置NAT，因为IPSec VPN的存在，到对方局域网网段一般不进行NAT——可通过NAT策略避开。

(二) FW1和FW2上的安全策略临时设置成默认允许

1、将防火墙接口加入安全区域

FW1

[FW1]firewall zone trust

[FW1-zone-trust]add interface GigabitEthernet 0/0/8

[FW1-zone-trust]firewall zone untrust

[FW1-zone-untrust]add interface GigabitEthernet 0/0/1

[FW1-zone-untrust]quit

FW2

[FW2]firewall zone trust

[FW2-zone-trust]add interface GigabitEthernet 0/0/8

[FW2-zone-trust]firewall zone untrust

[FW2-zone-untrust]add interface GigabitEthernet 0/0/1

[FW2-zone-untrust]quit

2、将防火墙的缺省安全策略从禁止临时修改为允许

FW1：

[FW1]firewall packet-filter default permit all

FW2：

[FW2]firewall packet-filter default permit all

注：

这样就不用考虑防火墙的安全策略配置问题，将IPSec VPN相关的数据拦截问题。待IPSec VPN调通之后，可以像《如何快速、准确的配置防火墙安全策略？》那样通过观察会话来确定安全策略配置。

(三) 定义需要保护的数据流

FW1：

[FW1]acl 3000

[FW1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[FW1-acl-adv-3000]quit

FW2：

[FW2]acl 3000

[FW2-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[FW2-acl-adv-3000]quit

注：

定义ACL是为了引导总部和分公司1内部网络之间的通信时，进入IPSec VPN隧道。

(四) 配置IPSec安全提议

FW1：

[FW1]ipsec proposal pro1

[FW1-ipsec-proposal-pro1]encapsulation-mode tunnel

[FW1-ipsec-proposal-pro1]transform esp

[FW1-ipsec-proposal-pro1]esp authentication-algorithm sha1

[FW1-ipsec-proposal-pro1]esp encryption-algorithm aes

[FW1-ipsec-proposal-pro1]quit

FW2：

[FW2]ipsec proposal pro1

[FW2-ipsec-proposal-pro1]encapsulation-mode tunnel

[FW2-ipsec-proposal-pro1]transform esp

[FW2-ipsec-proposal-pro1]esp authentication-algorithm sha1

[FW2-ipsec-proposal-pro1]esp encryption-algorithm aes

[FW2-ipsec-proposal-pro1]quit

注：

1、首先在FW1、FW2分别创建创建一个在名为pro1的安全提议。接下来的几条命令均在该安全题中。

2、封装模式：

隧道模式（tunnel），该模式安全更高，比较适合两台VPN网关之间互联，保护两端的局域网，也是本实验采用的封装方式。隧道模式下报文封装如图2

传输模式（transport），该模式安全性不如前者，但效率高于前者，较适合两台主机之间通信。传输模式模式下报文封装如图3

3、安全协议：

AH：只认证。

ESP：认证 + 加密。本实验采用esp。

AH+ESP认证 + 加密。

本实验选用的是esp。

4、esp（AH）所支持的认证算法有多种（MD5（Message Digest 5）、SHA1（Secure Hash Algorithm 1）、SHA2等，设备支持哪些和其型号有关。其中，MD5、SHA1算法安全性低，存在安全风险。）。因为模拟器的原因，本实验使用的是sha1。

5、esp所支持的加密算法多种（DES（Data Encryption Standard）、3DES（Triple Data Encryption Standard）、AES（Advanced Encryption Standard）等。其中，DES和3DES算法安全性低，存在安全风险。），本实验使用的是aes。

(五) 手工方式配置IPSec安全策略

FW1：

[FW1]ipsec policy pol1 10 manual

[FW1-ipsec-policy-manual-pol1-10]security acl 3000

[FW1-ipsec-policy-manual-pol1-10]proposal pro1

[FW1-ipsec-policy-manual-pol1-10]tunnel local 12.12.12.1

[FW1-ipsec-policy-manual-pol1-10]tunnel remote 23.23.23.3

[FW1-ipsec-policy-manual-pol1-10]sa spi inbound esp 123456

[FW1-ipsec-policy-manual-pol1-10]sa string-key inbound esp abc@123

[FW1-ipsec-policy-manual-pol1-10]sa spi outbound esp 654321

[FW1-ipsec-policy-manual-pol1-10]sa string-key outbound esp abc@123

[FW1-ipsec-policy-manual-pol1-10]quit

注：

1、首先创建一个在名为pol1的安全联盟，序号10，为手工方式。接下来的几条命令在这个10号策略里配置。

IPSec 中通信双方建立的连接叫作安全联盟SA（Security Association）。它规定了双方使用何种安全协议、需要保护的数据流特征、传输的数据的封装模式、协议采用的加密和验证算法，以及用于数据安全转换、传输的密钥和SA的生存周期等。

安全联盟是单向的逻辑连接，为了使每个方向都得到保护，单位总部和分公司1通信的两个方向（Inbound和Outbound）上都要建立安全联盟（用SPI区别），如图4。

如安全协议只使用AH或ESP中的一种，则单位总部和分公司1之间分别需要Inbound和Outbound方向的一对SA；如同时使用AH和ESP，单位总部和分公司1就需要Inbound和Outbound方向的两对SA，一对用于AH，一对用于ESP。

建立IPSec SA有两种方式：手工方式和IKE方式。本实验是手工方式。

2、引用前面定义的acl 3000。

3、接着引用前面创建的安全提议pro1。

4、指定FW1的VPN隧道本端地址，即其外网口G0/0/1上的公网IP地址。

5、指定FW1的VPN隧道对端地址，即FW2的外网口G0/0/1上的公网IP地址。

6、指定FW1上安全联盟SA的inbound方向的spi为123456，要与FW2的SA的outbound方向的spi一致。

7、指定FW1上安全联盟SA的outbound方向的spi为654321，要与FW2的SA的inbound方向的spi一致。

8、指定FW1上安全协议esp的inbound方向的秘钥（包括了认证和加密）为abc@123，要与FW2的outbound方向的一致。

9、指定FW1上安全协议esp的outbound方向的秘钥（包括了认证和加密）为abc@123，要与FW2的inbound方向的一致。

FW2：

[FW2]ipsec policy pol1 10 manual

[FW2-ipsec-policy-manual-pol1-10]security acl 3000

[FW2-ipsec-policy-manual-pol1-10]proposal pro1

[FW2-ipsec-policy-manual-pol1-10]tunnel local 23.23.23.3

[FW2-ipsec-policy-manual-pol1-10]tunnel remote 12.12.12.1

[FW2-ipsec-policy-manual-pol1-10]sa spi inbound esp 654321

[FW2-ipsec-policy-manual-pol1-10]sa string-key inbound esp abc@123

[FW2-ipsec-policy-manual-pol1-10]sa spi outbound esp 123456

[FW2-ipsec-policy-manual-pol1-10]sa string-key outbound esp abc@123

注：

FW2的配置与FW1类似，但要注意方向相反。

(六) 在接口上应用IPSec安全策略

FW1：

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ipsec policy pol1

[FW1-GigabitEthernet0/0/8]quit

FW2：

[FW2]interface GigabitEthernet 0/0/1

[FW2-GigabitEthernet0/0/1]ipsec policy pol1

[FW2-GigabitEthernet0/0/8]quit

注：

在防火墙FW1、FW2出接口上应用ipsec安全策略。

(七) 私网路由配置

FW1：

[FW1]ip route-static 192.168.2.0 255.255.255.0 12.12.12.2

FW2：

[FW1]ip route-static 192.168.1.0 255.255.255.0 23.23.23.2

注：

不像GRE VPN可以在防火墙中配置动态路由相互通告两端的私网路由，而只能配置静态路由。

(八) 观察总部和分公司1之间的IPSec VPN是否正常

用总部的PC1对分公司的PC2进行ping ，然后在FW1和FW2之间的链路上进行抓包，如图5

可以看到它们之间的通信经过了封装和加密，符合实验预期。

之后可以通过命令display firewall session table分贝观察FW1、FW2上的会话，来获取状态检测的安全策略配置，最后恢复默认的包过滤规则为禁止，否则防火墙就是一台传统的路由器。

以上输入和描述可能有疏漏、错误，欢迎大家在下方评论区留言指正！

另以上文字如有帮助，望不吝转发！