【华为】IPsec VPN 实验配置（动态地址接入）

【华为】IPsec VPN 实验配置（动态地址接入）

• 注意
• 实验需求
• 配置思路
• 配置命令
• • 拓扑
  • R1
  • • 基础配置
    • 配置第一阶段 IKE SA
    • 配置第二阶段 IPsec SA
  • ISP_R2
  • • 基础配置
  • R3
  • • 基础配置
    • 配置第一阶段 IKE SA
    • 配置第二阶段 IPsec SA
  • PC
  • • PC1
    • PC2
• 检查
• • 建立成功
  • • 查看命令
    • 清除IKE / IPsec SA命令
• 配置文档

注意

因为本篇文章，就是IPsec的实验配置的话，是有一个IP地址不固定的情况下
我们这个就需要用到野蛮模式的，也就是第一阶段会更改模式啦，记得哦，两端都需要更改呀

对于地址固定的总部来说，需要以下注意的点：
① 动态模板 ：如拓扑图中，R1是地址固定那一段，然后它想和自己的分部R3建立IPsec VPN，在不清楚R3的IP地址下，是无法用常规的办法来配置，我们就只能用template来建立啦~
② 无需设置ACL： 因为我们并不清楚分部那边有哪些私网的网段

那如何去与一端地址不固定的设备建立IPsec 呢？

1. 用地址不固定的R3 去主动和R1发起IKE 协商
2. 在经过IKE的协商过后，R1 就在IKE 的SA中获取到需要保护的兴趣流，也就是ACL的内容

配置和解决办法都在后面哦，感兴趣的就可以继续往后看呀

实验需求

R1为企业总部网关，R3为企业分部网关，分部与总部通过公网建立通信。
分部子网不固定，而总部子网固定为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信，可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

配置思路

1. 基础配置, 配置接口的IP地址和到对端的静态路由，保证两端路由可达。

2. 第一阶段 IKE SA
   ① 配置IKE安全提议，定义IKE保护数据流方法
   ② 配置IKE对等体，定义对等体间IKE协商时的属性，在这边就要特别的小心，一定要记得去把主模式改为野蛮模式，两端都需要修改

3. 第二阶段 IPsec SA
   ① 配置ACL，以定义需要IPSec保护的数据流（R1不需要配置，R3 需要）
   ② 配置IPSec安全提议，定义IPSec的保护方法
   ③ 地址固定端（R1）：配置策略模板，模板内容（IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法），并在安全策略中引用该策略模板
   ③ 地址不固定端（R3）：配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法

4. 在接口上应用安全策略组，使接口具有IPSec的保护功能

IPsec VPN 本质：阶段一保护阶段二 阶段二保护数据

配置命令

拓扑

R1

基础配置

配置R1的基础配置，再用默认路由实现公网可达

[Huawei]sysn R1[R1]undo info-center enable## 关闭CLI系统提示消息[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip address 202.101.12.1 24[R1-GigabitEthernet0/0/0]qu[R1]int g0/0/1[R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24[R1-GigabitEthernet0/0/1]qu[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2##配置默认路由指向ISP_R2运营商，实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ，对第二阶段IPsecSA的协商过程做保护

## 创建R1的IKE安全提议，名字为 1[R1]ike proposal 1[R1-ike-proposal-1]encryption-algorithm 3des-cbc## 用3des-cbc来加密IKE[R1-ike-proposal-1]authentication-algorithm md5 ## 用md5来认证[R1-ike-proposal-1]dh group5## 启用DH组5[R1-ike-proposal-1]qu## 创建IKEv1对等体，名字为 1，配置预共享密钥和修改主模式[R1]ike peer 1 v1 [R1-ike-peer-1]exchange-mode aggressive## 记得修改为野蛮模式哦[R1-ike-peer-1]ike-proposal 1## 引用安全提议 1[R1-ike-peer-1]pre-shared-key simple 520 ## 预共享密钥 为 520[R1-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

## 配置IPSec安全提议，名字为 1[R1]ipsec proposal 1[R1-ipsec-proposal-1]esp encryption-algorithm 3des ## 用ESP头部封装IPsec，用3des加密[R1-ipsec-proposal-1]esp authentication-algorithm md5## 用ESP头部封装IPsec，用md5认证[R1-ipsec-proposal-1]encapsulation-mode tunnel ## 采用隧道模式[R1-ipsec-proposal-1]qu## 配置策略模板，名字为 1，优先级为 1，并在安全策略中引用该策略模板[R1]ipsec policy-template 1 1[R1-ipsec-policy-templet-1-1]ike-peer 1[R1-ipsec-policy-templet-1-1]proposal 1[R1-ipsec-policy-templet-1-1]qu[R1]ipsec policy mypolicy 1 isakmp template 1## 安全策略名字为 1,引用策略模板 1## 接口下调用安全策略 1[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ipsec policy mypolicy[R1-GigabitEthernet0/0/0]qu

ISP_R2

基础配置

[Huawei]sysn ISP_R2[ISP_R2]undo info-center enable[ISP_R2]int g0/0/0[ISP_R2-GigabitEthernet0/0/0]ip address 202.101.12.2 24[ISP_R2-GigabitEthernet0/0/0]qu[ISP_R2]int g0/0/1[ISP_R2-GigabitEthernet0/0/1]ip address 202.101.23.2 24[ISP_R2-GigabitEthernet0/0/1]qu

R3

基础配置

配置R3的基础配置，再用默认路由实现公网可达
像本篇中，R3 的地址如何实现不固定呢？
是公司向运营商申请的公网IP地址是有租期的，用PPPoE来获取，那每一段时间都会变更一下，这个才是现在的常态，但总部的IP地址，尽量就是固定的

[Huawei]sysn R3[R3]undo info-center enableInfo: Information center is disabled.[R3]int g0/0/0[R3-GigabitEthernet0/0/0]ip address 202.101.23.3 24[R3-GigabitEthernet0/0/0]qu[R3]int g0/0/1[R3-GigabitEthernet0/0/1]ip address 192.168.20.254 24[R3-GigabitEthernet0/0/1]qu[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2##配置默认路由指向ISP_R2运营商，实现公网可达

配置第一阶段 IKE SA

协商出IKE SA ，对第二阶段IPsecSA的协商过程做保护

[R3]ike proposal 1[R3-ike-proposal-1]encryption-algorithm 3des-cbc [R3-ike-proposal-1]authentication-algorithm md5 [R3-ike-proposal-1]dh group5[R3-ike-proposal-1]qu[R3]ike peer 1 v1[R3-ike-peer-1]exchange-mode aggressive [R3-ike-peer-1]ike-proposal 1[R3-ike-peer-1]pre-shared-key simple 520[R3-ike-peer-1]remote-address 202.101.12.1[R3-ike-peer-1]qu

配置第二阶段 IPsec SA

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

[R3]ipsec proposal 1[R3-ipsec-proposal-1]encapsulation-mode tunnel [R3-ipsec-proposal-1]esp encryption-algorithm 3des [R3-ipsec-proposal-1]esp authentication-algorithm md5 [R3-ipsec-proposal-1] qu[R3]acl 3000[R3-acl-adv-3000]rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 [R3-acl-adv-3000]qu[R3]ipsec policy mypolicy 1 isakmp [R3-ipsec-policy-isakmp-mypolicy-1]ike-peer 1[R3-ipsec-policy-isakmp-mypolicy-1]proposal 1[R3-ipsec-policy-isakmp-mypolicy-1]security acl 3000[R3-ipsec-policy-isakmp-mypolicy-1]qu[R3]int g0/0/0[R3-GigabitEthernet0/0/0]ipsec policy mypolicy [R3-GigabitEthernet0/0/0]qu

PC

PC1

PC2

检查

那么大家在这个地址不固定的情况下，记得是用R3那边的主机来发起链接
因为R1它并不知道对方的情况，就只能等待R3来发起连接啦
但华为的话，它是可以自动发起连接的，能Ping 通就好啦

建立成功

细心的就能发现，里面野蛮模式交换的是三个报文，然后成功协商IKE SA
而快速模式的三个报文，就成功的协商IPsec SA
这两个出来就成功建立了 IPsec VPN，对流量实施了加密啦~
这个就是和主模式的六个报文有了区分咯

查看命令

查看IKE SA的基本信息
[R1]display ike sa

查看IPsec SA的基本信息
[R1]display ipsec sa
大家可以在图中看到，里面有tunnel的源和目的，就是总部R1上查看IPsec SA信息
可以看到R3此时的IP地址是202.101.23.3 ，这个是它自己获取到的，我们什么都没有动
还有R1 也能通过IPsec SA获取到类似于ACL中，需要匹配保护的流量
所以刚才在上面讲的那么多，都是为了这个而铺垫哒

清除IKE / IPsec SA命令

在IPsec VPN 建立完成后，我们想修改一些东西的时候，需要把SA清除干净，这个时候才会去重新建立IPsec VPN,我们所添加的东西才会生效
提醒一下呀，就是先把自己需要改的东西先改好，然后再刷新一下
因为华为的IPsec是自动建立的

reset ike sa all
reset ipsec sa

配置文档

R1

syssysn R1 undo info-center enable int g0/0/0ip address 202.101.12.1 24quint g0/0/1ip address 192.168.10.254 24quip route-static 0.0.0.0 0.0.0.0 202.101.12.2ike proposal 1encryption-algorithm 3des-cbc authentication-algorithm md5 dh group5quike peer 1 v1exchange-mode aggressive ike-proposal 1pre-shared-key simple 520quipsec proposal 1esp encryption-algorithm 3des esp authentication-algorithm md5 encapsulation-mode tunnel ipsec policy-template 1 1ike-peer 1proposal 1quipsec policy mypolicy 1 isakmp template 1 int g0/0/0ipsec policy mypolicyqu

R2

syssysn ISP_R2int g0/0/0ip address 202.101.12.2 24quint g0/0/1ip address 202.101.23.2 24qu

R3

syssysn R3undo info-center enableint g0/0/0ip address 202.101.23.3 24quint g0/0/1ip address 192.168.20.254 24quip route-static 0.0.0.0 0.0.0.0 202.101.23.2ike proposal 1encryption-algorithm 3des-cbc authentication-algorithm md5 dh group5quike peer 1 v1exchange-mode aggressive ike-proposal 1pre-shared-key simple 520remote-address 202.101.12.1quipsec proposal 1encapsulation-mode tunnel esp encryption-algorithm 3des esp authentication-algorithm md5 acl 3000rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 quipsec policy mypolicy 1 isakmp ike-peer 1proposal 1security acl 3000quint g0/0/0ipsec policy mypolicy qu