IPsec VPN的实际网络配置应用——通信老姜的案例分析

今天来介绍IPSec VPN在实际网络中的配置应用，指采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，在两个公共网关间提供私密数据封包服务。IPSec是一个框架性架构，具体由两类协议组成：

1. AH协议（Authentication Header，使用较少）：可以同时提供数据完整性确认、数据来源确认、防重放等安全特性；AH常用摘要算法（单向Hash函数）MD5和SHA1实现该特性。

2. ESP协议（Encapsulated Security Payload，使用较广）：可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。

IPSec VPN在实际网络中大量应用，典型应用总部——分部模式，使得总部和分部的内网系统，通过建立的虚拟专用通道可以互通，包括总部可以监管分部的网络设备，服务器，视频监控，接管分部的无线AP等等功能。本文介绍实际网络中要如何进行配置。

拓扑图如下：

要求：总部的内网192.168.10.0/24和分部的内网192.168.20.0/24，可以进行互通。

总部和分部各有一台防火墙部署在互联网出口，因业务需要两端内网需要通过VPN相互访问。IP地址及接口规划如下表所示：

本次只针对IPSEC VPN配置进行介绍：

1、总部侧排除IPSEC兴趣流不做NAT

#创建acl 3888调用在外网接口用于排除IPSEC兴趣流不做NAT。

[H3C]acl advanced 3888

[H3C-acl-ipv4-adv-3888]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

[H3C-acl-ipv4-adv-3888]rule permit ip source any

[H3C-acl-ipv4-adv-3888]quit

2、总部侧创建IPSEC安全提议

#加密类型设置为aes-cbc-128，认证类型设置为sha1。

[H3C]ipsec transform-set GE1/0/3_IPv4_1

[H3C-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128

[H3C-ipsec-transform-set-1] esp authentication-algorithm sha1

[H3C-ipsec-transform-set-1]quit

3、总部侧创建IKE安全提议

#IKE安全提议默认的认证类型为sha1，加密类型为DES-CBC，DH组为DH1，所以不需要配置也存在这些参数。

[H3C]ike proposal 1

[H3C-ike-proposal-1]quit

4、总部侧创建IKE安全密钥

#创建IKE密钥，地址填写0.0.0.0/0，密码设置为123456。

[H3C]ike keychain 1

[H3C-ike-keychain-1]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456

[H3C-ike-keychain-1]quit

5、总部侧创建IKE安全框架

#创建IKE安全框架，协商模式调整为野蛮模式。本端身份识别为center，分部身份识别为branch。

[H3C]ike profile 1

[H3C-ike-profile-1]keychain 1

[H3C-ike-profile-1] exchange-mode aggressive

[H3C-ike-profile-1] local-identity fqdn center

[H3C-ike-profile-1]match remote identity address 0.0.0.0 0.0.0.0

[H3C-ike-profile-1]match remote identity fqdn branch

[H3C-ike-profile-1]proposal 1

[H3C-ike-profile-1]quit

6、总部侧创建IPSEC安全策略模板

[H3C]ipsec policy-template GE1/0/3 1

[H3C-ipsec-policy- template-GE1/0/3-1]transform-set GE1/0/3_IPv4_1

[H3C-ipsec-policy- template-GE1/0/3-1]local-address 101.88.26.34

[H3C-ipsec-policy- template-GE1/0/3-1]ike-profile 1

[H3C-ipsec-policy- template-GE1/0/3-1]quit

7、总部侧创建IPSEC安全策略

#创建IKE安全策略GE1/0/3将安全策略模板和安全策略绑定。

[H3C]ipsec policy GE1/0/3 1 isakmp template GE1/0/3

8、总部侧外网接口调用IPSEC策略和NAT动态转换策略

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]ipsec apply policy GE1/0/3

[H3C-GigabitEthernet1/0/3]nat outbound 3888

[H3C-GigabitEthernet1/0/3]quit

9、保存配置

[H3C]save force

1、分部侧创建IPSEC兴趣流匹配到总部的数据

#创建IPSEC的感兴趣流，用于匹配IPSEC数据。

<H3C>system

[H3C]acl advanced 3999

[H3C-acl-ipv4-adv-3999]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

[H3C-acl-ipv4-adv-3999]quit

#创建acl 3888调用在外网接口用于排除IPSEC兴趣流不做NAT。

[H3C]acl advanced 3888

[H3C-acl-ipv4-adv-3888]rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

[H3C-acl-ipv4-adv-3888]rule permit ip source any

[H3C-acl-ipv4-adv-3888]quit

2、分部侧创建IPSEC安全提议

#加密类型设置为aes-cbc-128，认证类型设置为sha1。

[H3C]ipsec transform-set GE1/0/3_IPv4_1

[H3C-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128

[H3C-ipsec-transform-set-1] esp authentication-algorithm sha1

[H3C-ipsec-transform-set-1]quit

3、分部侧创建IKE安全提议

#IKE安全提议默认的认证类型为sha1，加密类型为DES-CBC，DH组为DH1，所以不需要配置也存在这些参数。

[H3C]ike proposal 1

[H3C-ike-proposal-1]quit

4、分部侧创建IKE安全密钥

#创建IKE密钥，地址填写总部侧设备的公网IP，密码设置为123456。

[H3C]ike keychain 1

[H3C-ike-keychain-1] pre-shared-key address 101.88.26.34 255.255.255.255 key simple 123456

[H3C-ike-keychain-1]quit

5、分部侧创建IKE安全框架

#创建IKE安全框架，匹配keychain 1安全密匙，协商模式调整为野蛮模式。本端身份识别为branch，分部身份识别为center，并制定对端地址为总部侧公网地址。

[H3C]ike profile 1

[H3C-ike-profile-1]keychain 1

[H3C-ike-profile-1]exchange-mode aggressive

[H3C-ike-profile-1] local-identity fqdn branch

[H3C-ike-profile-1] match remote identity fqdn center

[H3C-ike-profile-1] match remote identity address 101.88.26.34 255.255.255.255

[H3C-ike-profile-1]proposal 1

[H3C-ike-profile-1]quit

6、分部侧创建IPSEC安全策略

#创建IKE安全策略GE1/0/3将transform-set、acl、ike-profile、本端地址、对端地址关联起来。

[H3C]ipsec policy GE1/0/3 1 isakmp

[H3C-ipsec-policy-isakmp-GE1/0/3-1] transform-set GE1/0/3_IPv4_1

[H3C-ipsec-policy-isakmp-GE1/0/3-1]security acl 3999

[H3C-ipsec-policy-isakmp-GE1/0/3-1] remote-address 101.88.26.34

[H3C-ipsec-policy-isakmp-GE1/0/3-1]ike-profile 1

[H3C-ipsec-policy-isakmp-GE1/0/3-1]quit

7、分部侧外网接口调用IPSEC策略和NAT动态转换策略

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]ipsec apply policy GE1/0/3

[H3C-GigabitEthernet1/0/3]nat outbound 3888

[H3C-GigabitEthernet1/0/3]quit

8、保存配置

[H3C]save force

搭建模拟器以及登录到空闲设备进行配置和拉取命令行不容易，请大家多多支持，关注并转发，后期介绍VRRP协议，OSPF协议等等，在RFC2328文档中的介绍点太多，介绍的内容也较复杂，老姜还是会主要以典型组网以及典型应用中进行相关配置来介绍，希望多多支持老姜，关注并转发，老姜会再加再励进行各种配置介绍和典型组网应用。