通过IKE协商方式建立IPSec隧道

发布于:2024-12-18 ⋅ 阅读:(98) ⋅ 点赞:(0)

我们前面学习了H3C的IPsec VPN配置为什么IPsec两端内网的网段能不能重复?分明可以实现!,学习了Juniper的IPsec VPN配置,学习了Windows的IPsec VPN配置配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式),学习了Windows的IPsec VPN配置还能这么玩?Windows通过netsh命令配置IPsec,学习了Linux的IPsec VPN配置对比华三设备配置,讲解Linux主机如何配置strongSwan,还有很多其他的IPsec配置,我们有一个合集,就是介绍IPsec VPN的IPsec合集

但是,我们貌似对业界顶流的华为缺少介绍。今天,我们来简单学习一下华为AR1000V如何通过IKE协商方式配置IPsec VPN隧道。

组网拓扑如下所示:

a59e9e0359af699f69b20934883d2730.png

首先配置HW-AR1和HW-AR2之间的互通。

HW-AR1 

#
interface GigabitEthernet0/0/1
 ip address 12.1.1.1 255.255.255.0
#
ip route-static 23.1.1.0 255.255.255.0 12.1.1.2

H3C-MSR 

#
interface GigabitEthernet1/0
 ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet2/0
 ip address 23.1.1.2 255.255.255.0

HW-AR2 

#
interface GigabitEthernet0/0/1
 ip address 23.1.1.3 255.255.255.0
#
ip route-static 12.1.1.0 255.255.255.0 23.1.1.2

接下来,我们配置HW-AR1和HW-AR2采用IKE协商方式建立IPSec隧道。配置思路和H3C一样,需要通过ACL定义IPsec保护的数据流,配置IKE对等体,配置IPsec安全提议,再配置IPsec安全策略,最后在接口上应用IPsec安全策略即可。

首先,我们在HW-AR1上配置IPsec保护数据流的ACL。

#
acl number 3401
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

接下来,我们创建对应HW-AR2的IKE对等体,IKE安全提议使用默认配置。

37a57030dad886b7403d92d5cb797d12.png

默认情况下,IKE版本使用IKEv2版本,我们修改IKE版本使用IKEv1;同样的,指定对端IP地址,并设置PSK预共享密钥。注意:预共享密钥需要满足一定的复杂度要求。

#
ike peer ar2
 version 1
 pre-shared-key cipher HwIPsec.2024
 remote-address 23.1.1.3

然后,我们配置IPsec安全提议,默认的加密方式为ESP,使用的认证算法为SHA2-256,加密算法为AES-256;我们可以按需进行调整。   

732484e00f84d84041e337c495d7fea8.png

#
ipsec proposal ipsec
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128

接下来,我们就可以创建使用IKE动态协商的安全策略了。

#
ipsec policy aripsec 10 isakmp
 security acl 3401
 ike-peer ar2
 proposal ipsec

最后,我们将创建好的IPsec安全策略应用到互联接口上。

#
interface GigabitEthernet0/0/1
 ipsec policy aripsec

当然,如果没有配置默认路由,我们还要添加一条去往对端私网的明细路由。

#
ip route-static 10.1.2.0 255.255.255.0 12.1.1.2

至此,HW-AR1的配置就结束了。我们参考以上配置,完成HW-AR2的配置,配置命令如下:

#
acl number 3402
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ike peer ar1
 version 1
 pre-shared-key cipher HwIPsec.2024
 remote-address 12.1.1.1
#
ipsec proposal ipsec
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128
#
ipsec policy aripsec 10 isakmp
 security acl 3402
 ike-peer ar1   
 proposal ipsec
#
interface GigabitEthernet0/0/1
 ipsec policy aripsec
#
ip route-static 10.1.1.0 255.255.255.0 23.1.1.2

7019983954f0fbdff1dc89f571e1b1f7.png

配置完成之后,执行ping操作触发IPsec协商。

08cd8f633bbb622ad43e48f831eeb578.png    

与H3C不同,首包只是时延稍大,但并没有丢包。

查看IKE SA信息。   

b36aefa8fb69288b5dcb5a55528a9ca8.png    

竟然显示有两个IKE SA,区别的话是一个的Phase是1,另一个是2;也就是一个是一阶段,另一个是二阶段。不过,为什么二阶段在IKE这里显示呢?

我们再看一下IPsec SA信息。

7a95f79c665a82aa13b89704a2d54cf6.png

成了,是不是非常简单呢?   

***推荐阅读***

如何配置使用Telnet远程登录华为AR1000V路由器?

Telnet不安全?如何配置使用更安全的STelnet远程登录华为AR1000V路由器?

华为交换机S3700/S5700/CE6800配置SSH远程登录

华为模拟器eNSP安装初体验

中华之名,有为之势!看eNSP如何吊打HCL

简简单单,H3C路由器和Juniper vSRX防火墙对接IPsec VPN这么配就成了!

使用命令配置Windows和H3C VSR对接隧道模式的IPsec

使用IKE数字签名RSA认证建立IPsec隧道的配置案例

太卷了,能配置ADVPN的云主机一年只要37块钱!

配置Windows系统对接天翼云VPN连接

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布