hcl的ipsec实验

1.实验拓扑：

2.需求

1.总公司和分公司通过IPSec VPN连接
2.总公司和分公司都能访问外网

3.需求分析

1.这个实验既要实现vpn连接，也要实现外网的连接，则需要写两条acl，分别作为ipsec的感兴趣流和外网流量的匹配
2.这个实验的难点在于IPSec VPN的配置，IPSec VPN的配置复杂，而且VPN两边参数不一致，会导致VPN无法建立

4.配置步骤

注：这个步骤主要讲解IPSec VPN的配置，我这里演示的只是IPSec VPN的其中一种方法，而且为了配置简单，有些参数就直接使用了默认值

1. 配置感兴趣流

2. 创建IKE提议
   在ike提议视图中，可以配置Authentication method、 Authentication algorithm、 Encryption algorithm，这些参数都有默认值，可以创建ike 提议后，便直接quit退出，注意Authentication method默认值为 PRE-SHARED-KEY，即预共享密钥，这个认证方法的选择，会影响下面第四步的配置
   

3. 创建预共享密钥

4. 创建IKE模板
   配置协商模式为主模式/野蛮模式（默认主模式）
   调用IKE提议
   调用预共享密钥
   主模式下则配置本端和对端公网地址

5. 创建IPsec转换集
   配置保护协议（默认为ESP）
   配置工作模式（默认为隧道模式）
   配置验证算法
   配置加密算法
   注：这个实验我采取的是保护协议为ESP，ESP的验证算法和加密算法没有默认值，需要手动配置，我一开始以为有默认值，所以没配，导致ike sa和ipsec sa无法建立

6. 创建IPsec策略
   调用感兴趣流
   调用IKE模板
   调用IPsec转换集
   配置对端地址

7. 在公网接口下发IPsec策略

5.配置

R1的配置：
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip add 192.168.0.1 24
[H3C-GigabitEthernet0/0]int g0/1
[H3C-GigabitEthernet0/1]ip add 1.1.1.1 24
[H3C-GigabitEthernet0/1]quit
//配置感兴趣流，匹配vpn流量
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.0.1 0.0.0.255 destination
192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit
//配置acl，匹配连接外网流量
[H3C]acl advanced 3005
[H3C-acl-ipv4-adv-3005] rule 0 deny ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 //拒绝VPN流量，对于VPN流量不做NAT转换
[H3C-acl-ipv4-adv-3005] rule 5 permit ip source 192.168.0.0 0.0.0.255
[H3C-acl-ipv4-adv-3005] quit
//内网网关的默认路由，指向公网路由器
[H3C]ip route-static 0.0.0.0 0 1.1.1.2
//创建ike proposal，由于ike提议的参数有默认值，本实验就直接使用默认值，所以创建ike提议后，便直接退出了
[H3C]ike proposal 1
[H3C-ike-proposal-1]quit
//创建预共享密钥
[H3C]ike keychain r3
[H3C-ike-keychain-r3]pre-shared-key address 1.1.2.3 key simple 123
[H3C-ike-keychain-r3]quit
//创建ike模板，指定源和目的地址、ike提议、预共享密钥
[H3C]ike profile r3
[H3C-ike-profile-r3]proposal 1
[H3C-ike-profile-r3]keychain r3
[H3C-ike-profile-r3]local-identity address 1.1.1.1
[H3C-ike-profile-r3]match remote identity address 1.1.2.3
[H3C-ike-profile-r3]quit
//创建ipsec转换集，指定安全协议及其认证、加密算法
[H3C]ipsec transform-set r3
[H3C-ipsec-transform-set-r3]encapsulation-mode tunnel //可不配置，默认为隧道模式
[H3C-ipsec-transform-set-r3]protocol esp //可不配置，默认安全协议为esp
[H3C-ipsec-transform-set-r3]esp authentication-algorithm md5
[H3C-ipsec-transform-set-r3]esp encryption-algorithm des-cbc
[H3C-ipsec-transform-set-r3]quit
//创建ipsec策略
[H3C]ipsec policy r3 1 isakmp
[H3C-ipsec-policy-isakmp-r3-1]security acl 3000
[H3C-ipsec-policy-isakmp-r3-1]ike-profile r3
[H3C-ipsec-policy-isakmp-r3-1]transform-set r3
[H3C-ipsec-policy-isakmp-r3-1]remote-address 1.1.2.3
[H3C-ipsec-policy-isakmp-r3-1]quit
//将ipsec策略应用在接口g0/1
[H3C]int g0/1
[H3C-GigabitEthernet0/1]ipsec apply policy r3
//在g0/1口上做esay-ip
[H3C-GigabitEthernet0/1]nat outbound 3005

R2的配置：
//配置好相应的接口ip即可
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip add 1.1.1.2 24
[H3C-GigabitEthernet0/0]int g0/1
[H3C-GigabitEthernet0/1]ip add 1.1.2.2 24

R3的配置：
//R3的ipsec配置和R1的相差不大，因此就不解释了
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip add 1.1.2.3 24
[H3C-GigabitEthernet0/0]int g0/1
[H3C-GigabitEthernet0/1]ip add 192.168.1.3 24
[H3C-GigabitEthernet0/1]quit
[H3C]ip route-static 0.0.0.0 0 1.1.2.2
[H3C]acl advance 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255 destination
192.168.0.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit
[H3C]acl advanced 3005
[H3C-acl-ipv4-adv-3005] rule 0 deny ip source 192.168.1.0 0.0.0.255 destination
192.168.0.0 0.0.0.255
[H3C-acl-ipv4-adv-3005] rule 5 permit ip source 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3005] quit
[H3C]ike proposal 1
[H3C-ike-proposal-1]quit
[H3C]ike keychain r1
[H3C-ike-keychain-r1]pre-shared-key address 1.1.1.1 key simple 123
[H3C-ike-keychain-r1]quit
[H3C]ike profile r1
[H3C-ike-profile-r1]proposal 1
[H3C-ike-profile-r1]keychain r1
[H3C-ike-profile-r1]local-identity address 1.1.2.3
[H3C-ike-profile-r1]match remote identity address 1.1.1.1
[H3C-ike-profile-r1]quit
[H3C]ipsec transform-set r1
[H3C-ipsec-transform-set-r1]encapsulation-mode tunnel
[H3C-ipsec-transform-set-r1]protocol esp
[H3C-ipsec-transform-set-r1]esp authentication-algorithm md5
[H3C-ipsec-transform-set-r1]esp encryption-algorithm des-cbc
[H3C-ipsec-transform-set-r1]quit
[H3C]ipsec policy r1 1 isakmp
[H3C-ipsec-policy-isakmp-r1-1]security acl 3000
[H3C-ipsec-policy-isakmp-r1-1]transform-set r1
[H3C-ipsec-policy-isakmp-r1-1]ike-profile r1
[H3C-ipsec-policy-isakmp-r1-1]remote-address 1.1.1.1
[H3C-ipsec-policy-isakmp-r1-1]int g0/0
[H3C-GigabitEthernet0/0]ipsec apply policy r1
[H3C-GigabitEthernet0/0]nat outbound 3005

6.测试

1. PC1 ping PC2
   

2. PC1 ping R2的g0/1口
   

7.总结

1. ipsec实验配置复杂，配置时需要细心

2. ipsec配置时，有存在着默认缺省值，有时可以使用默认缺省值来简化配置。做这个实验时，我本来以为配置ipsec transform时，esp的认证和加密算法会有默认值，所以就没有配置，导致一直无法建立vpn隧道。本来为了简化配置，结果用了较长时间去排错。

3. ipsec配置过程中，需要为ike profile、ipsec transform等命名，对于同一个vpn连接，建议使用统一的命名，例如使用对方的设备名之类的。如我这个实验是R1和R3建立vpn连接，所以R1设备的vpn连接的命名，我是使用了r3；R3设备的vpn连接的命名，我是使用了r1

4. 当同时具有vpn配置和nat配置时，nat的优先级高于vpn，所以nat的acl中需要配置拒绝vpn流量