IKE方式IPSec VPN配置保障单位与分支之间的数据安全

在《手工方式IPSec VPN配置保障单位与分支之间的数据安全》需要手工配置双向的IPSec SA所需参数、认证/加密秘钥，定期修改密码比较麻烦。IKE（Internet Key Exchange）方式则有一套自保护机制，可以在网络上安全地认证身份、分发密钥、建立IPSec SA。IKE与IPSec的关系如图1

IKE有两个版本：IKEv1、IKEv2。IKEv2与IKEv1相比：协商效率更高，安全性也更高。

图2是对常见的一些中小单位的联网拓扑的概括。

下面以eNSP模拟软件进行IKE方式IPSec VPN配置的实验（使用IKEv2）。

一、实验内容

模拟某单位总部与分公司的联网场景：总部的局域网（图1蓝色矩形区）通过防火墙FW1连接因特网（图1红色矩形区），分公司1的局域网通过防火墙FW2连接因特网，总部与分公司1之间需要业务互通，为安全起见，需要配置IPSec VPN。

总部和分公司1均申请了静态公网IP地址，用于防火墙连接互联网的外网口。

本次实验将主要配置：

1、基本网络配置，使FW1和FW2之间公网路由可达。

2、FW1和FW2上的安全策略临时设置成默认允许，以方便配置IPSec VPN。

3、定义需要保护的数据流。总部和分公司1内部网络之间的通信通过IPSec VPN保护，其他通信不进入IPSec VPN。

4、配置IKE安全提议。总部和分公司1双方的认证方法、认证算法、加密算法、DH组、完整性算法、SA持续时间等，以供IKE对等体使用。

5、配置IKE对等体。引用IKE安全提议，指定IKE版本，根据选择的认证方法配置身份认证参数。

6、配置IPSec安全提议。指定总部和分公司1双方采用的封装模式、安全协议、加密算法和验证算法等，以供IPSec安全策略使用。

7、配置IPSec安全策略。引用ACL、IKE对等体、安全提议。

8、在接口上应用IPSec安全策略。

9、私网路由配置，用于IPSec VPN。

10、观察总部和分公司1之间的IPSec VPN是否正常。

二、实验配置

(一) 基本网络配置

1、配置接口IP地址

FW1：

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ip address 12.12.12.1 24

[FW1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/8

[FW1-GigabitEthernet0/0/8]ip address 192.168.1.254 24

[FW1-GigabitEthernet0/0/8]quit

R1：

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 12.12.12.2 24

[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2

[R1-GigabitEthernet0/0/2]ip address 23.23.23.2 24

[R1-GigabitEthernet0/0/2]quit

FW2：

[FW2]interface GigabitEthernet 0/0/1

[FW2-GigabitEthernet0/0/1]ip address 23.23.23.3 24

[FW2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/8

[FW2-GigabitEthernet0/0/8]ip address 192.168.2.254 24

[FW2-GigabitEthernet0/0/8]quit

2、配置基本路由，使FW1和FW2之间公网路由可达。

FW1：

[FW1]ip route-static 0.0.0.0 0.0.0.0 12.12.12.2

FW2：

[FW2]ip route-static 0.0.0.0 0.0.0.0 23.23.23.2

注：

1、本实验并没有在R1上进行路由配置，是因为R1到FW1或FW2都是直连，类似于营运商的设备通过网桥连接到单位的路由器/防火墙。另外在实际网络中，营运商也一般不会配置到防火墙的内部私网的路由。

2、单位总部和分公司1内部局域网使用的私有IP地址，如果要访问互联网一般是配置NAT，因此营运商也不用知道防火墙的内部私网。

3、单位总部或者分公司1如果需要配置NAT，因为IPSec VPN的存在，到对方局域网网段一般不进行NAT——可通过NAT策略避开。

(二) FW1和FW2上的安全策略临时设置成默认允许

1、将防火墙接口加入安全区域

FW1

[FW1]firewall zone trust

[FW1-zone-trust]add interface GigabitEthernet 0/0/8

[FW1-zone-trust]firewall zone untrust

[FW1-zone-untrust]add interface GigabitEthernet 0/0/1

[FW1-zone-untrust]quit

FW2

[FW2]firewall zone trust

[FW2-zone-trust]add interface GigabitEthernet 0/0/8

[FW2-zone-trust]firewall zone untrust

[FW2-zone-untrust]add interface GigabitEthernet 0/0/1

[FW2-zone-untrust]quit

2、将防火墙的缺省安全策略从禁止临时修改为允许

FW1：

[FW1]firewall packet-filter default permit all

FW2：

[FW2]firewall packet-filter default permit all

注：

这样就不用考虑防火墙的安全策略配置，将IPSec VPN相关的数据拦截问题。待IPSec VPN调通之后，可以像《如何快速、准确的配置防火墙安全策略？》那样通过观察会话来确定安全策略配置。

(三) 定义需要保护的数据流

FW1：

[FW1]acl 3000

[FW1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[FW1-acl-adv-3000]quit

FW2：

[FW2]acl 3000

[FW2-acl-adv-3000]rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[FW2-acl-adv-3000]quit

注：

定义ACL是为了引导总部和分公司1内部网络之间的通信时，进入IPSec VPN隧道。

(四) 配置IKE安全提议

FW1：

[FW1]ike proposal 1

[FW1-ike-proposal-1]authentication-method pre-share

[FW1-ike-proposal-1]authentication-algorithm sha1

[FW1-ike-proposal-1]encryption-algorithm aes-cbc

[FW1-ike-proposal-1]integrity-algorithm aes-xcbc-96

[FW1-ike-proposal-1]dh group5

[FW1-ike-proposal-1]sa duration 86400

[FW1-ike-proposal-1]quit

FW2：

[FW2]ike proposal 1

[FW2-ike-proposal-1]authentication-method pre-share

[FW2-ike-proposal-1]authentication-algorithm sha1

[FW2-ike-proposal-1]encryption-algorithm aes-cbc

[FW2-ike-proposal-1]integrity-algorithm aes-xcbc-96

[FW2-ike-proposal-1]dh group5

[FW2-ike-proposal-1]sa duration 86400

[FW2-ike-proposal-1]quit

注：

1、首先在FW1、FW2分别创建创建一个编号为1的IKE安全提议。接下来的几条命令均在该安全提议中，防火墙中对这些算法均有默认值，也可不用配置；另外设备支持哪些算法和其型号有关。

2、配置认证方法为预共享秘钥方式，是比较常用的方式。另外两种分别是rsa-signature、 digital-envelope。

3、配置认证算法为sha1。认证算法安全级别由高到低的顺序是SM3 > SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。其中，MD5、SHA1算法安全性低，存在安全风险。因为模拟器的原因，本实验使用的是sha1。

4、配置加密算法为aes-cbc。加密算法安全级别由高到低的顺序是SM4 > SM1 > AES-256 > AES-192 > AES-128 > 3DES > DES。其中，DES和3DES算法安全性低，存在安全风险。

5、配置完整性算法为aes-xcbc-96。

6、配置DH组为group5。DH密钥交换组安全级别由高到低的顺序是group21 > group20 > group19 > group14 > group5 > group2 > group1。其中group1、group2和group5安全性低，存在安全风险。

7、配置SA持续时间为86400。

(五) 配置IKE对等体

FW1：

[FW1]ike peer 1

[FW1-ike-peer-1]ike-proposal 1

[FW1-ike-peer-1]version 2

[FW1-ike-peer-1]pre-shared-key 123456

[FW1-ike-peer-1]remote-address 23.23.23.3

[FW1-ike-peer-1]quit

FW2：

[FW2]ike peer 1

[FW2-ike-peer-1]ike-proposal 1

[FW2-ike-peer-1]version 2

[FW2-ike-peer-1]pre-shared-key 123456

[FW2-ike-peer-1]remote-address 12.12.12.1

[FW2-ike-peer-1]quit

1、在FW1、FW2分别创建一个序号为pr1的IKE对等体。接下来的几条命令均在该IKE对等体中

2、分别引用前面创建的IKE安全提议，

3、指定IKE版本为v2，也是防火墙的默认值，可不进行配置。

4、配置双方的预共享秘钥，该秘钥参与认证秘钥、加密秘钥等的计算，但IKE和IPSec均不会直接使用该秘钥进行认证、加密。

5、指定指定对端的IP地址，会参与身份认证。

(六) 配置IPSec安全提议

FW1：

[FW1]ipsec proposal pro1

[FW1-ipsec-proposal-pro1]encapsulation-mode tunnel

[FW1-ipsec-proposal-pro1]transform esp

[FW1-ipsec-proposal-pro1]esp authentication-algorithm sha1

[FW1-ipsec-proposal-pro1]esp encryption-algorithm aes

[FW1-ipsec-proposal-pro1]quit

FW2：

[FW2]ipsec proposal pro1

[FW2-ipsec-proposal-pro1]encapsulation-mode tunnel

[FW2-ipsec-proposal-pro1]transform esp

[FW2-ipsec-proposal-pro1]esp authentication-algorithm sha1

[FW2-ipsec-proposal-pro1]esp encryption-algorithm aes

[FW2-ipsec-proposal-pro1]quit

注：

1、在FW1、FW2分别创建一个在名为pro1的安全提议。接下来的几条命令均在该安全提议中，分别指定指定封装模式、安全协议、认证算法、加密算法。

(七) 配置IPSec安全策略

FW1：

[FW1]ipsec policy pol_ikev2 10 isakmp

[FW1-ipsec-policy-isakmp-pol_ikev2-10]security acl 3000

FW1-ipsec-policy-isakmp-pol_ikev2-10]ike-peer 1

[FW1-ipsec-policy-isakmp-pol_ikev2-10]proposal pro1

[FW1-ipsec-policy-isakmp-pol_ikev2-10]quit

FW2：

[FW2]ipsec policy pol_ikev2 10 isakmp

[FW2-ipsec-policy-isakmp-pol_ikev2-10]security acl 3000

FW2-ipsec-policy-isakmp-pol_ikev2-10]ike-peer 1

[FW2-ipsec-policy-isakmp-pol_ikev2-10]proposal pro1

[FW2-ipsec-policy-isakmp-pol_ikev2-10]quit

注：

在FW1、FW2分别创建一个在名为pol_ikev2的安全联盟，序号10，为isakmp方式（IKE建立在isakmp框架上）。接下来的几条命令分别引用前面创建的ACL、IKE对等体、IPSec安全策略。与手工方式相比，不用再指定SA SPI、加密/认证秘钥。

(八) 在接口上应用IPSec安全策略

FW1：

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ipsec policy pol_ikev2

[FW1-GigabitEthernet0/0/8]quit

FW2：

[FW2]interface GigabitEthernet 0/0/1

[FW2-GigabitEthernet0/0/1]ipsec policy pol_ikev2

[FW2-GigabitEthernet0/0/8]quit

注：

在防火墙FW1、FW2出接口上应用ipsec安全策略。

(九) 私网路由配置

FW1：

[FW1]ip route-static 192.168.2.0 255.255.255.0 12.12.12.2

FW2：

[FW1]ip route-static 192.168.1.0 255.255.255.0 23.23.23.2

(十) 观察总部和分公司1之间的IPSec VPN是否正常

用总部的PC1对分公司的PC2进行ping ，然后在FW1和FW2之间的链路上进行抓包，如图3

可以看到它们之间的通信经过了封装和加密，符合实验预期。

之后可以通过命令display firewall session table分别观察FW1、FW2上的会话，来获取状态检测的安全策略配置，最后恢复默认的包过滤规则为禁止，否则防火墙就是一台传统的路由器。

如果需要访问Internet，则在配置NAT时需要避开192.168.1.0/24和192.168.2.0/24之间的数据流。

以上输入和描述可能有疏漏、错误，欢迎大家在下方评论区留言指正！

另以上文字如有帮助，望不吝转发！