02-网络管理配置指导

22-IPsec第三方对接

本章节下载  (417.98 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_CG(E6411_R6609)-6W105/02/202009/1334589_30005_0.htm

22-IPsec第三方对接


1 IPSec第三方对接配置

1.1  IPSec简介

1.1.1  IPSec

IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:

·     数据的机密性:IPSec的发送方对发给对端的数据进行加密。

·     数据的完整性:IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改。

·     数据来源的认证:IPSec接收方验证数据的起源。

·     抗重播:IPSec的接收方可以检测到重播的IP包并且丢弃。

使用IPSec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPSec的典型运用是构建VPN。IPSec使用“封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;使用ESP保障数据的机密性。密钥管理协议称为ISAKMP,根据安全策略数据库(SPDB)随IPSec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。

相关术语解释:

·     鉴别头(AH):用于验证数据包的安全协议。

·     封装安全有效载荷(ESP): 用于加密和验证数据包的安全协议;可与AH配合工作也可以单独工作。

·     加密算法:ESP所使用的加密算法。

·     验证算法:AH或ESP用来验证对方的验证算法。

·     密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是缺省的密钥自动交换协议。

1.1.2  IPSec日志简介

IPSec日志在系统日志里查看,主要记录设备IPSec各个状态事件。

 

1.2  IPSec参数简介

1.2.1  IKE协商策略创建

按照表1-1创建IKE协商策略:

表1-1 IKE协商策略创建

操作

命令

说明

进入系统视图

system-view

 

进入VPN一阶段配置视图

vpn ipsec phase1

 

进入IKE编辑视图

edit gateway IKE_NAME

必选。

设置一阶段协商模式

set mode {main|aggressive}

设置一阶段协商模式:主模式或野蛮模式,默认为主模式。国密认证方式只支持主模式

设置对端网关

set remotegw A.B.C.D

以IP地址方式设置对端网关

Set remotegw hostname HOSTNAME

以域名方式设置对端网关

set remotegw dynamic

设置对端网关为动态

设置NAT保活报文发送间隔

set nat <10-900>

设置NAT保活报文发送间隔

设置本端ID

set localid address A.B.C.D

设置本端ID

设置一阶段认证方式

authentication (pre-share|rsa-rig| sm2-de)

设置一阶段认证方式(预共享秘钥或RSA数字证书、国密证书)

设置预共享秘钥

set preshared-key KEY

设置预共享秘钥

设置证书认证所需要的用户证书

set local-cert NAME

设置证书认证所需要的用户证书(数字证书认证或国密证书认证)

设置证书认证所需要的对端证书

set peer-cert NAME

设置证书认证所需要的对端证书(国密证书认证)

设置证书认证所需要的CA证书

set ca-cert NAME

设置证书认证所需要的CA证书(数字证书认证或国密证书认证)

设置本地的fqdn

set localid fqdn NAME

设置本地的fqdn

设置本地的user-fqdn

set localid user-fqdn NAME

设置本地的user-fqdn

设置本地的id值

set localid address A.B.C.D

设置本地的id值

设置对端的fqdn

set peerid fqdn NAME

设置对端的fqdn

设置对端的user-fqdn

set peerid user-fqdn NAME

设置对端的user-fqdn

设置对端的id值

set peerid address A.B.C.D

设置对端的id值

设置dpd报文发送间隔

set dpd <30-120>

设置dpd报文发送间隔

启用或禁用dpd功能

dpd (enable|disable)

启用或禁用dpd功能

进入一阶段提案配置

set policy <1-3>

进入一阶段提案配置

指定DH组

group (1|2|5)

指定DH组

设置一阶段SA生命周期

lifetime <120-86400>

设置一阶段SA生命周期

开启或禁用扩展认证

xauth-server (enable|disable)

开启或禁用扩展认证

进入模式配置

set modecfg-server

进入模式配置

 

1.2.1  IPSec二阶段协商策略创建删除与编辑

按照表1-2创建IKE协商策略:

表1-2 IKE协商策略创建

操作

命令

说明

进入系统视图

system-view

 

进入VPN二阶段配置视图

vpn ipsec phase2

 

进入tunnel编辑视图

edit tunnel NAME

 

指定一阶段策略

set peer GATEWAY-NAME

指定一阶段策略

指定ISPEC封装模式

mode tunnel

指定ISPEC封装模式

指定完美向前保密组

Ipsec sa最大流量限制

Ipsec sa最大生命周期

pfs {1|2|5}

指定完美向前保密组

set lifetime kilobytes <2560-536870912>

Ipsec sa最大流量限制

set lifetime seconds <120-86400>

Ipsec sa最大生命周期

开启或禁用自动连接

auto-connect {enable|disable}

开启或禁用自动连接

设置自动连接重连间隔

auto-connect interval <2-3600>

设置自动连接重连间隔

设置ipsec解密提案

set {proposal1|proposal2|proposal3|proposal4} {esp-3des-md5|esp-aes128-sha1|esp-aes256-null|

esp-null-md5|esp-3des-null|esp-aes192-md5|

esp-aes256-sha1|esp-null-null|esp-3des-sha1|

esp-aes192-null|esp-des-md5|esp-null-sha1|

esp-aes128-md5|esp-aes192-sha1|esp-des-null|

esp-aes128-null|esp-aes256-md5|esp-des-sha1| esp-3des-sm3|esp-aes128-sm3|esp-aes192-sm3| esp-aes256-sm3|esp-des-sm3|esp-null-sm3| esp-sm4-md5|esp-sm4-sha1|esp-sm4-sm3| esp-sm4-null} {ah-md5-hmac | ah-null | ah-sha-hmac }

设置ipsec解密提案

 

1.3  IPSec配置查看

在完成上述配置后,在任意视图下执行display命令显示IPSec的配置情况。

表1-3 IPSec显示和维护

操作

命令

说明

IPSec 配置显示

display run ipsec-vpn

-

ike sa查看

display ike sa

-

IPSec  sa查看

display ipsec sa

-

 

2 配置举例

2.1  商密IPSec配置举例

1. 组网需求

图2-1所示,ACG A和ACG B之间使用商密标准建立一个安全隧道,对Host A代表的子网(1.1.1.0/24)与Host B代表的子网(2.2.2.0/24)之间的数据流进行安全保护。

图2-1 IPSec组网图

v

 

2. 配置思路

按照组网图组网。

(1)     新建IKE协商

(2)     配置IPSec协商策略

(3)     新建所需地址对象

(4)     新建IPSec安全策略

(5)     新建IPSec隧道

(6)     配置静态路由

3. 配置步骤

(1)     新建IKE协商

ACG-A ike配置

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set remotegw 192.168.1.63

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication pre-share

host(config-phase1-ike_test)# set preshared-key 111111

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt 3des

host(config-phase1-ike_test-policy1)# hash md5

host(config-phase1-ike_test-policy1)# exit

ACG-B ike配置

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set remotegw 192.168.1.61

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication pre-share

host(config-phase1-ike_test)# set preshared-key 111111

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt 3des

host(config-phase1-ike_test-policy1)# hash md5

host(config-phase1-ike_test-policy1)# exit

(2)     配置IPSec协商策略

ACG-A IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# pfs 2

host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null

host(config-phase2-ipsec_test)# auto-connect enable

host(config-phase2-ipsec_test)# auto-connect interval 2

host(config-phase2-ipsec_test)#exit

ACG-B IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# pfs 2

host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null

host(config-phase2-ipsec_test)#exit

(3)     新建所需地址对象配置

host(config)# address hostA

host(config-address)# ip subnet 1.1.1.0/24

host(config-address)# exi

host(config)# address hostB

host(config-address)# ip subnet 2.2.2.0/24

host(config-address)# exit

(4)     新建IPSec安全策略配置

ACG A设备安全策略配置

host(config)# policy any any  hostA hostB  any  any any always noaudit

(5)     新建IPSEC隧道接口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec ipsec_test

host(config-tunnel10)#tunnel-ipsec interested-subnet 1.1.1.0/24 2.2.2.0/24

(6)     配置静态路由,分别在ACG_A 和 ACG_B配置。

host(config)#ip route 2.2.2.0/24 tunnel10

4. 验证配置

查看IKE sa

host# display ike sa

----------------------------------------------------

Name: ipsec2    id: 360

        local_addr:192.168.1.61

        peer_addr: 192.168.1.63

        stat: establish

        life time/cur_life_time: 6000/5700

*********************************************************

Data: ike sa    Total count: 1.

*********************************************************

查看IPSec sa

host# display ipsec  sa

----------------------------------------------------

Name: vpn2    id: 15068

        local_addr: 192.168.1.61   peer_addr: 192.168.1.63

        esp: yes    mode: tunnel

            enc_algo/auth_algo: esp-aes256-sha1

            inbound_spi/outbound_spi: 251032793/80892567

        ah: no

        stat: establish

        life time/cur_life_time: 3600/3560

        inbound/outbound: 0/101126 kbytes

        local_net: 0.0.0.0/0

        peer_net: 0.0.0.0/0

        connect time: 2017-12-01,18:06:07

*********************************************************

2.2  国密IPSec配置举例

1. 组网需求

图2-2所示,在ACG A和ACG B之间使用国密标准建立一个安全隧道,对Host A代表的子网(1.1.1.0/24)与Host B代表的子网(2.2.2.0/24)之间的数据流进行安全保护。

图2-2 IPSec组网图

v

 

2. 配置思路

按照组网图组网。

(1)     导入国密CA证书

(2)     导入国密用户证书

(3)     新建IKE协商

(4)     配置IPSec协商策略

(5)     新建所需地址对象

(6)     新建IPSec安全策略

(7)     新建IPSec隧道

(8)     配置静态路由

3. 配置步骤

(1)     导入国密CA证书

注:国密证书需要向国密局申请,本案例中的国密证书是已申请下来的。

ACG A:进入对象管理>CA服务器>本地证书>证书>CA,点击导入。配置如下图2-3所示。

图2-3 在ACG A上导入国密CA证书

 

ACG B:进入对象管理>CA服务器>本地证书>证书>CA,点击导入。配置如下图2-4所示。

图2-4 在ACG B上导入国密CA证书

 

(2)     导入国密用户证书

ACG A:进入对象管理>CA服务器>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如下图2-5所示。

图2-5 在ACG A上导入国密用户证书

 

ACG B:进入对象管理>CA服务器>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如下图2-6所示。

图2-6 在ACG A上导入国密用户证书

 

(3)     新建IKE协商

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

ACG-A ike配置

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set local ge1

host(config-phase1-ike_test)# set remotegw 192.168.1.63

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication sm2-de

host(config-phase1-ike_test)# set ca-cert topsecca.pem.cer

host(config-phase1-ike_test)# set local-cert topsecca1.pem.cer

host(config-phase1-ike_test)# set peer-cert topsecca2_myself.pem.cer

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt sm4

host(config-phase1-ike_test-policy1)# hash sm3

host(config-phase1-ike_test-policy1)# exit

ACG-B ike配置

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set remotegw 192.168.1.61

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication sm2-de

host(config-phase1-ike_test)# set ca-cert topsecca.pem.cer

host(config-phase1-ike_test)# set local-cert topsecca2_myself.pem.cer

host(config-phase1-ike_test)# set peer-cert topsecca1.pem.cer

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt sm4

host(config-phase1-ike_test-policy1)# hash sm3

host(config-phase1-ike_test-policy1)# exit

(4)     配置IPSec协商策略

ACG-A IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# set proposal1 esp-sm4-sm3 ah-null

host(config-phase2-ipsec_test)# auto-connect enable

host(config-phase2-ipsec_test)# auto-connect interval 2

host(config-phase2-ipsec_test)#exit

ACG-B IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# set proposal1 esp-sm4-sm3 ah-null

host(config-phase2-ipsec_test)#exit

(5)     新建所需地址对象配置

host(config)# address hostA

host(config-address)# ip subnet 1.1.1.0/24

host(config-address)# exi

host(config)# address hostB

host(config-address)# ip subnet 2.2.2.0/24

host(config-address)# exit

(6)     新建IPSec安全策略配置

ACG A设备安全策略配置

host(config)# policy any any  hostA hostB  any  any any always noaudit

(7)     新建IPSEC隧道接口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec ipsec_test

host(config-tunnel10)#tunnel-ipsec interested-subnet 1.1.1.0/24 2.2.2.0/24

(8)     配置静态路由,分别在ACG_A 和 ACG_B配置。

host(config)#ip route 2.2.2.0/24 tunnel10

4. 验证配置

查看IKE sa

host# display ike sa

----------------------------------------------------

Name: ipsec2    id: 360

        local_addr:192.168.1.61

        peer_addr: 192.168.1.63

        stat: establish

        life time/cur_life_time: 6000/70

*********************************************************

Data: ike sa    Total count: 1.

*********************************************************

查看IPSec sa

host(config)# display ipse sa

----------------------------------------------------

Name: vpn2    id: 15068

        local_addr: 192.168.1.61  peer_addr: 192.168.1.63

        esp: yes    mode: tunnel

            enc_algo/auth_algo: sm4/hmac_sm3

            inbound_spi/outbound_spi: 251032793/80892567

        ah: no

        stat: establish

        life time/cur_life_time: 3600/3502

        inbound/outbound: 0/101126 kbytes

        local_net: 0.0.0.0/0

        peer_net: 0.0.0.0/0

        connect time: 2017-12-01,18:06:07

*********************************************************

2.3  HuB-Spoke组网IPSec配置举例

1. 组网需求

图2-7所示,公司总部需要与两个分支建立IPSec,保证分支可以和总部内网互通,并且在ACG A 和ACG B之间通过总部的IPSec也可以互通。总部公网IP为固定地址(202.38.160.1),两分支出口IP为动态地址.需要对总部Sever子网(30.1.1.1/24),分支Host A 的子网(10.1.1.1/24)与分支Host B 的子网(20.1.1.0/24)之间的数据流进行安全保护。

图2-7 IPSec组网图

v

 

2. 配置思路

按照组网图组网。

(1)     配置路由模式以及接口,使设备可以访问外网;

(2)     配置IKE;

(3)     配置IPSec;

(4)     配置地址对象

(5)     配置Tunnel口;

(6)     配置路由使Tunnel口互通;

(7)     配置安全策略;

(8)     查看IPSEC SA是否协商成功;

3. 配置步骤

(1)     配置路由模式,使3台设备能够访问外网(基本访问外网的配置不再截图)。

(2)     配置IKE

HUB配置

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway HUB

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set local ge1

host(config-phase1-ike_test)# set remotegw dynamic

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication pre-share

host(config-phase1-ike_test)# set preshared-key 111111

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt 3des

host(config-phase1-ike_test-policy1)# hash md5

host(config-phase1-ike_test-policy1)# exit

SPOKE_A ike配置

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway SPOKE_A

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set remotegw 202.38.160.1

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication pre-share

host(config-phase1-ike_test)# set preshared-key 111111

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt 3des

host(config-phase1-ike_test-policy1)# hash md5

host(config-phase1-ike_test-policy1)# exit

在SPOKE_B上配置与SPOKE_A协商参数一致的IKE,对端网关配置静态IP地址:202.38.160.1。

(3)     配置IPSec协商策略

HUB IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel hub

host(config-phase2-ipsec_test)# set peer HUB

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# esp-aes256-sha1 ah-null

host(config-phase2-ipsec_test)#exit

SPOKE_A IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)# set peer SPOKE_A

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# auto-connect enable

host(config-phase2-ipsec_test)# auto-connect interval 2

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# esp-aes256-sha1 ah-null

host(config-phase2-ipsec_test)#exit

SPOKE_B IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)# set peer SPOKE_B

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# auto-connect enable

host(config-phase2-ipsec_test)# auto-connect interval 2

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# esp-aes256-sha1 ah-null

host(config-phase2-ipsec_test)#exit

(4)     在三台设备新建所需地址对象配置

host(config)# address HUB

host(config-address)# ip subnet 30.1.1.0/24

host(config-address)# exi

host(config)# address SPOKE_A

host(config-address)# ip subnet 10.1.1.0/24

host(config-address)# exit

host(config)# address SPOKE_B

host(config-address)# ip subnet 20.1.1.0/24

host(config-address)# exit

(5)     新建IPSec安全策略配置

HUB设备安全策略配置

host(config)# policy any any  HUB  SPOKE_A  any  any any always noaudit

host(config)# policy any any  HUB  SPOKE_B  any  any any always noaudit

SPOKE_A设备安全策略配置

host(config)# policy any any  SPOKE_A  HUB any  any any always noaudit

host(config)# policy any any  SPOKE_A  SPOKE_B  any  any any always noaudit

SPOKE_B设备安全策略配置

host(config)# policy any any    SPOKE_B  HUB any  any any always noaudit

host(config)# policy any any  SPOKE_B  SPOKE_A  any  any any always noaudit

(6)     新建IPSEC隧道接口

HUB设备隧道口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec hub

host(config-tunnel10)#tunnel-ipsec interested-subnet 30.1.1.0/24 10.1.1.0/24

host(config-tunnel10)#tunnel-ipsec interested-subnet 30.1.1.0/24 20.1.1.0/24

SPOKE_A设备隧道口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec SPOKE_A

host(config-tunnel10)#tunnel-ipsec interested-subnet 10.1.1.0/24 30.1.1.0/24

host(config-tunnel10)#tunnel-ipsec interested-subnet 10.1.1.0/24 20.1.1.0/24

SPOKE_B设备隧道口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec SPOKE_B

host(config-tunnel10)#tunnel-ipsec interested-subnet 20.1.1.0/24 30.1.1.0/24

host(config-tunnel10)#tunnel-ipsec interested-subnet 20.1.1.0/24 10.1.1.0/24

(7)     配置静态路由

HUB设备静态路由

host(config)#ip route 20.1.1.0/24 tunnel10

host(config)#ip route 30.1.1.0/24 tunnel10

SPOKE_A设备静态路由

host(config)#ip route 30.1.1.0/24 tunnel10

host(config)#ip route 20.1.1.0/24 tunnel10

SPOKE_B设备静态路由

host(config)#ip route 30.1.1.0/24 tunnel10

host(config)#ip route 10.1.1.0/24 tunnel10

4. 验证配置

查看IKE sa

host# display ike sa

----------------------------------------------------

Name: ipsec2    id: 360

        local_addr:202.38.160.2

        peer_addr: 202.38.160.1

        stat: establish

        life time/cur_life_time: 6000/70

*********************************************************

Data: ike sa    Total count: 1.

*********************************************************

查看IPSec sa

host(config)# display ipse sa

----------------------------------------------------

Name: vpn2    id: 15068

        local_addr: 202.38.160.2  peer_addr: 202.38.160.1

        esp: yes    mode: tunnel

            enc_algo/auth_algo: esp-aes256-sha1

            inbound_spi/outbound_spi: 251032793/80892567

        ah: no

        stat: establish

        life time/cur_life_time: 3600/3502

        inbound/outbound: 0/101126 kbytes

        local_net: 0.0.0.0/0

        peer_net: 0.0.0.0/0

        connect time: 2017-12-01,18:06:07

*********************************************************

5. 验证配置结果

PC访问Server;Host A ping Host BPsec SA。

ACG A的IPSec SA

 

 

2.4  客户端接入IPSec配置举例

1. 组网需求

图2-8所示,由于公司业务扩大,在外办公人员较多,为了方便在外人员能够及时的访问到公司内部资料。在公司出口搭建remote IPSec建立一个安全隧道,对IPSec客户端的子网(172.16.190.1/24)与Server的子网(192.168.1.0/24)之间的数据流进行安全保护。

图2-8 IPSec组网图

v

 

2. 配置思路

按照组网图组网。配置接口ip,路由以及NAT,使内网pc可以访问外网(基本配置不再赘述)

(1)     配置IPSec地址池

(2)     配置IPSec IKE

(3)     配置IPSec VPN

(4)     配置本地用户

(5)     配置IPSec隧道接口

(6)     配置路由

(7)     配置策略

(8)     配置客户端

3. 配置步骤

4. 配置ACG1000系列产品

(1)     配置IPSec地址池

host(config)#address  vpn_pool

host(config-phase1)# ip  subnet  172.16.190.1/24

(2)     新建IKE协商

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway remote

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set remotegw dynamic

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication pre-share

host(config-phase1-ike_test)# set preshared-key 111111

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt 3des

host(config-phase1-ike_test-policy1)# hash md5

host(config-phase1-ike_test-policy1)# xauth-server enable

host(config-phase1-ike_test-policy1)# set modecfg-server

host(config-phase1-ike_test-policy1)# ip-range vpn-pool

host(config-phase1-ike_test-policy1)# dns 192.168.0.243

host(config-phase1-ike_test-policy1)# modecfg-server enable

host(config-phase1-ike_test-policy1)# exit

(3)     配置IPSec协商策略

ACG-A IPSec配置

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel dy_vpn

host(config-phase2-ipsec_test)# set peer remote

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null

host(config-phase2-ipsec_test)#exit

(4)     新建本地用户

host(config)# user test

host(config-user)# enable authenticate

host(config-user)# authenticate local 123456 change-password  enable

(5)     新建IPSEC隧道接口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec dy-vpn

host(config-tunnel10)#tunnel-ipsec interested-subnet 192.168.1.0/24 172.16.190.1/24

(6)     配置静态路由

host(config)#ip route 172.16.190.1/24 tunnel10

(7)     新建IPSec安全策略配置

host(config)# policy any any  any  any  any  any any always noaudit

(8)     PC客户端配置(vpn客户端使用的开源TheGreenBow IPSec VPN Client

PC安装好IPSec VPN客户端,新建一条隧道,网关ip地址为124.202.226.34,远端子网配置想要访问的子网(设置为192.168.1.0/24),认证方式:与共享密钥;密钥:123456,选择扩展认证,点设置,用户名为test,密码默认为123456。配置如下图2-9所示。

图2-9 TheGreenBow IPSec VPN Client配置

 

点高级,网关VPN的协商模式为主模式,具体参数与网关IPSec VPN的参数一致。

 

 

提交后,在二阶段tgbtest鼠标右键开启隧道出现认证页面输入用户名密码点击ok,详见下图。

5. 验证配置

连接成功后,分配的ip地址为172.16.190.0/24,pc可以访问公司server。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们