IPsec技术部署实施

最新推荐文章于 2025-12-02 13:15:48 发布

原创最新推荐文章于 2025-12-02 13:15:48 发布 · 489 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#智能路由器

在教育科技集团公司的总部和分支公司之间建立IPSec VPN，需在公司总部和分支公司的出口路由器CE2和CE5上分别部署IPSec，主要包括：

①配置骨干网OSPF路由。规划PE3与PE4之间运行OSPF协议，区域为10，并声明各直连网络和环回接口。

②配置ACL，定义受保护的网段流量，本任务中总部受保护的网段为10.30.1.0/24，分支网络中受保护的网段为10.30.9.0/24和10.30.10.0/24。

③配置IPSec安全提议，采用隧道模式和安全协议ESP，并选择加密算法3DES、认证算法HMAC-SHA1。

④ 配置IKE协商方式的IPSec安全策略。

配置IKE keychain，设置与对端使用的预共享密钥为明文znwl。

配置IKE安全框架profile1，设置使用预共享密钥认证时采用的keychain，并设置匹配对端身份的规则为IP地址。

配置安全策略zbipsec和fbipsec，指定引用安全框架profile1、安全提议ZB2FB和ACL 3002、IPSec隧道的本端和对端IP地址。

⑤分别在路由器CE2的G5/1和CE5的Serial1/0端口上应用IPSec安全策略。

⑥修改NAT配置，将总部IT运维部去往分支公司的数据流量不做NAT转换，而是通过IPSec隧道在逻辑上直接转发到路由器CE5。因此，需要在CE1和CE2上的ACL列表中增加规则拒绝IPSec流量。在分支网络出口路由器CE5上，修改EasyIP的配置，新建高级ACL 3000，用于拒绝分支网络到总部IT运维部的IPSec流量，使得该数据流量不做NAT转换。

代码如下

PE3
ospf 1 router-id 172.16.1.11
area 10
network 100.10.112.0 0.0.0.3
network 100.20.11.0 0.0.0.255
network 100.20.22.0 0.0.0.255
network 172.16.1.11 0.0.0.0
quit
quit
 
PE4
ospf 1 router-id 172.16.1.12
area 10
network 100.10.112.0 0.0.0.3
network 100.30.25.0 0.0.0.3
network 172.16.1.12 0.0.0.0
quit
quit

CE2
acl advanced 3002
rule 5 permit ip source 10.30.1.0 0.0.0.255 destination 10.30.9.0 0.0.0.255
rule 10 permit ip source 10.30.1.0 0.0.0.255 destination 10.30.10.0 0.0.0.255
quit
ipsec transform-set ZB2FB
encapsulation-mode tunnel
protocol esp
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
quit
ike keychain keychain1
pre-shared-key address 100.30.25.2 key simple znwl
quit
ike profile profile1
keychain keychain1
match remote identity address 100.30.25.2 255.255.255.255  
quit
ipsec policy zbipsec 1 isakmp
transform-set ZB2FB
security acl 3002
local-address 100.20.22.2 
remote-address 100.30.25.2
ike-profile profile1 
quit
interface g5/1
ipsec apply policy zbipsec
quit

CE1
acl advanced 3000
rule 2 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.9.0 0.0.0.255
rule 3 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.10.0 0.0.0.255
quit

CE2
acl advanced 3000
rule 2 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.9.0 0.0.0.255
rule 3 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.10.0 0.0.0.255
quit

CE5
acl advanced 3002
rule 5 permit ip source 10.30.9.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
rule 10 permit ip source 10.30.10.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
quit
ipsec transform-set FB2ZB
encapsulation-mode tunnel
protocol esp
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
quit
ike keychain keychain1
pre-shared-key address 100.20.22.2 key simple znwl
quit
ike profile profile1
keychain keychain1
match remote identity address 100.20.22.2 255.255.255.255  
quit
ipsec policy fbipsec 1 isakmp
transform-set FB2ZB
security acl 3002
local-address 100.30.25.2 
remote-address 100.20.22.2
ike-profile profile1 
quit
interface s1/0
ipsec apply policy fbipsec
quit

CE5
acl advanced 3000
rule 5 deny ip source 10.30.9.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
rule 10 deny ip source 10.30.10.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
quit

代码解析

[CE2]ipsec transform-set ZB2FB                          //创建IPSec安全提议ZB2FB
[CE2-ipsec-transform-set-ZB2FB]encapsulation-mode tunnel   
//配置报文的封装形式为隧道模式，缺省，可省略
[CE2-ipsec-transform-set-ZB2FB]protocol esp               
//配置采用的安全协议为ESP，缺省，可省略
[CE2-ipsec-transform-set-ZB2FB]esp encryption-algorithm 3des-cbc    
//配置ESP协议采用的加密算法为3DES 
[CE2-ipsec-transform-set-ZB2FB]esp authentication-algorithm sha1     
//配置ESP协议采用的认证算法为HMAC-SHA1
[CE2-ipsec-transform-set-ZB2FB]quit
[CE2]ike keychain keychain1      // 创建并配置IKE keychain，名称为keychain1
[CE2-ike-keychain-keychain1]pre-shared-key address 100.30.25.2 key simple znwl
//配置与IP地址为100.30.25.2的对端使用的预共享密钥为明文znwl
[CE2-ike-keychain-keychain1]quit
[CE2]
[CE2]ike profile profile1           //创建并配置IKE profile，名称为profile1
[CE2-ike-profile-profile1]keychain keychain1     
//配置使用预共享密钥认证时采用的keychain 
[CE2-ike-profile-profile1]match remote identity address 100.30.25.2 255.255.255.255                    //匹配对端身份的规则
[CE2-ike-profile-profile1]quit
[CE2]
[CE2]ipsec policy zbipsec 1 isakmp     
//创建一条IKE协商方式的IPSec安全策略，名称为zbipsec，序列号为1
[CE2-ipsec-policy-isakmp-policy1-1]transform-set ZB2FB          
//指定引用的安全提议为ZB2FB
[CE2-ipsec-policy-isakmp-policy1-1]security acl 3002             
//指定引用ACL 3002
[CE2-ipsec-policy-isakmp-policy1-1]local-address 100.20.22.2      
//指定IPSec隧道的本端IP地址为100.20.22.2
[CE2-ipsec-policy-isakmp-policy1-1]remote-address 100.30.25.2   
//指定IPSec隧道的对端IP地址为100.30.25.2
[CE2-ipsec-policy-isakmp-policy1-1]ike-profile profile1          
//指定引用的IKE profile为profile1
[CE2-ipsec-policy-isakmp-policy1-1]quit
[CE2]
[CE2]interface GigabitEthernet 5/1
[CE2-GigabitEthernet5/1]ipsec apply policy zbipsec    //在端口上应用安全策略zbipsec
[CE2-GigabitEthernet5/1]quit
[CE2]


[CE1]acl advanced 3000                             //进入高级ACL 3000视图
[CE1-acl-ipv4-adv-3000]rule 2 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.9.0 0.0.0.255
//禁止源网段10.30.1.0/24发往目的网段10.30.9.0/24的IP报文通过
[CE1-acl-ipv4-adv-3000]rule 3 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.10.0 0.0.0.255
//禁止源网段10.30.1.0/24发往目的网段10.30.10.0/24的IP报文通过


[CE2]acl advanced 3000                             //进入高级ACL 3000视图
[CE2-acl-ipv4-adv-3000]rule 2 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.9.0 0.0.0.255
[CE2-acl-ipv4-adv-3000]rule 3 deny ip source 10.30.1.0 0.0.0.255 destination 10.30.10.0 0.0.0.255
[CE2-acl-ipv4-adv-3000]


[CE5]acl advanced 3002
[CE5-acl-ipv4-adv-3002]rule 5 permit ip source 10.30.9.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
//允许源网段10.30.9.0/24发往目的网段10.30.1.0/24的IP报文通过
[CE5-acl-ipv4-adv-3002]rule 10 permit ip source 10.30.10.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
//允许源网段10.30.10.0/24发往目的网段10.30.1.0/24的IP报文通过
[CE5-acl-ipv4-adv-3002]quit
[CE5]ipsec transform-set FB2ZB                          
//创建IPSec安全提议FB2ZB,命名也可总部一致
[CE5-ipsec-transform-set-FB2ZB]encapsulation-mode tunnel   
//配置报文的封装形式为隧道模式，缺省，可省略
[CE5-ipsec-transform-set-FB2ZB]protocol esp               
//配置采用的安全协议为ESP，缺省，可省略
[CE5-ipsec-transform-set- FB2ZB]esp encryption-algorithm 3des-cbc    
//配置ESP协议采用的加密算法为3DES 
[CE5-ipsec-transform-set- FB2ZB]esp authentication-algorithm sha1     
//配置ESP协议采用的认证算法为HMAC-SHA1
[CE5-ipsec-transform-set- FB2ZB ]quit
[CE5]ike keychain keychain1      // 创建并配置IKE keychain，名称为keychain1
[CE5-ike-keychain-keychain1]pre-shared-key address 100.20.22.2 key simple znwl
//配置与IP地址为100.20.22.2的对端使用的预共享密钥为明文znwl,两端要保持一致
[CE5-ike-keychain-keychain1]quit
[CE5]ike profile profile1    //创建并配置IKE profile，名称为profile1
[CE5-ike-profile-profile1]keychain keychain1    
 //配置使用预共享密钥认证时采用的keychain 
[CE5-ike-profile-profile1]match remote identity address 100.20.22.2 255.255.255.255             //匹配对端身份的规则
[CE5-ike-profile-profile1]quit
[CE5]ipsec policy fbipsec 1 isakmp     
//创建一条IKE协商方式的IPSec安全策略，名称为fbipsec，序列号为1
[CE5-ipsec-policy-isakmp-policy1-1]transform-set FB2ZB          
//指定引用的安全提议为FB2ZB
[CE5-ipsec-policy-isakmp-policy1-1]security acl 3002            //指定引用ACL 3002
[CE5-ipsec-policy-isakmp-policy1-1]local-address 100.30.25.2      
//指定IPSec隧道的本端IP地址为100.30.25.2
[CE5-ipsec-policy-isakmp-policy1-1]remote-address 100.20.22.2    
//指定IPSec隧道的对端IP地址为100.20.22.2
[CE5-ipsec-policy-isakmp-policy1-1]ike-profile profile1          
//指定引用的IKE profile为profile1
[CE5-ipsec-policy-isakmp-policy1-1]quit
[CE5]interface Serial 1/0
[CE5-Serial1/0]ipsec apply policy fbipsec    //在端口上应用安全策略fbipsec
[CE5-Serial1/0]quit
[CE5]
[CE5]acl advanced 3000
[CE5-acl-ipv4-adv-3000]rule 5 deny ip source 10.30.9.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
//禁止源网段10.30.9.0/24发往目的网段10.30.1.0/24的IP报文通过
[CE5-acl-ipv4-adv-3000]rule 10 deny ip source 10.30.10.0 0.0.0.255 destination 10.30.1.0 0.0.0.255
//禁止源网段10.30.10.0/24发往目的网段10.30.1.0/24的IP报文通过