H3C ipsec PSK configuración de modo agresivo
Objetivo: VPN IPSec configuración del interruptor (NAT) establecer VPN IPSec (versión detallada) y la red pública Centos
---------------------------- -------------------------------------------------- -----------------------------
paso 1: configurar un servidor Centos
[myzdl la raíz @ ~] # yum install para el strongSwan-Y
[la raíz @myzdl ~] # vim /etc/strongswan/ipsec.conf # perfiles
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn peer-h3c-switch #将以下代码加入配置文件中
leftid=@centos
leftsubnet=172.19.19.0/24,172.20.20.0/24 #centons端内网网段
right=%any
rightid=@h3c
rightsubnet=192.168.30.0/24,192.168.40.0/24 #h3c端内网网段
aggressive=yes
ike=3des-md5-modp2048 #第一阶段的验证md5加密3des、DH算法modp2048位
esp=3des-sha1 #第二阶段数据封装加密认证算法
authby=secret
auto=start
[Root @ myzdl ~] # cat /etc/strongswan/strongswan.conf
# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files
charon {
load_modular = yes
i_dont_care_about_security_and_use_aggressive_mode_psk = yes #加入允许野蛮模式的psk验证
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
[Root @ myzdl ~] /etc/strongswan/ipsec.secrets # vim // clave compartida
# ipsec.secrets - strongSwan IPsec secrets file
@centos @h3c : PSK "ipsec123456"
[Root @ myzdl ~] # systemctl inicio strongSwan
---------------------------------------- configuración del servidor ------------------------------------------------ completo
Paso 2: Interruptor H3C de configuración (o router)
2,1 ike compartida configuración de teclas de la primera fase
[H3C] ike llavero PSK # Crear una clave llamada PSK compartida: ipsec123456
[H3C-ike-Llavero-PSK] pre-compartida clave sencilla ipsec123456 dirección 106.13.6.31 la tecla
[H3C-IKE-Llavero-PSK] dejar de fumar
propuesta de seguridad de la caja 2.2 Configurar el interlocutor IKE (fase 1 parámetros: dirección de destino, el modo de negociación, clave compartida, etc.)
[H3C] IKE Propuesta 1 # Crear una negociación IKE
[H3C-ike-propuesta-1 ] autenticación de método de pre-cuota # IKE método de autenticación especificado como la clave compartida
[H3C-ike-propuesta-1 ] cifrado identidad algoritmo de cifrado 3DES-algoritmo CBC-# para el IKE 3DES
[H3C-ike-propuesta-1 ] se especifica la autenticación # algoritmo MD5 IKE autenticación algoritmo MD5
[H3C-IKE-propuesta-1] dh group14 # modp2048
[H3C] ike archivo de perfil #IKE fichero de configuración negociado
[H3C-ike-perfil-archivo ] propuesta # 1 negociación de enlace IKE Nº
[H3C-ike-perfil-archivo ] en modo de intercambio agresivo # modo agresivo
[H3C-ike- perfil-archivo] llavero PSK # clave especificada posición (creado anteriormente) compartida
[H3C-ike-perfil-archivo] partido de identidad remoto especifica la dirección 106.13.6.31 # dirección de par remoto
[H3C-ike-perfil-archivo ] coinciden con centos Fqdn Identity remotas # especifica la identidad de la información entre iguales ID remoto
[H3C-ike-perfil-archivo ] local de identidad fqdn H3C # especificar la identidad de la información entre iguales ID local
[H3C-ike-perfil-archivo ] dejar de fumar
2.3 Seguridad parámetros de configuración propuesta (encapsulación modo, el algoritmo de cifrado de protocolo de encapsulación y autenticación) de la segunda etapa
[H3C] IPSec transformar-set propuesta # Crear propuesta denominada propuesta de la seguridad IPSec
[H3C-ipsec-transform-set -propuesta] encapsulación el modo de encapsulación del túnel # -mode es el modo de túnel
[H3C-ipsec-transform-set -propuesta] protocolo ESP # protocolo de encapsulación ESP utiliza el
algoritmo de autenticación ESP autenticación de protocolo algoritmo SHA1 # encapsulación [H3C-IPSec-Transform-sET-Propuesta]
[ H3C-ipsec-transform-conjunto- propuesta] esp cifrado algoritmo de cifrado 3DES-algoritmo CBC-# / protocolo de encapsulación
[H3C-ipsec-transform-set -propuesta] dejar de fumar
ACL configuración 2.4 Creación de la segunda fase de consulta segmento de interés deriva
[H3C] acl Número El 3000
[H3C-acl-ipv4-ADV-3000] regla de permiso de IP de origen 5 0.0.0.255 ¿Dónde quieres que la 192.168.30.0 172.19.19.0 0.0.0.255
[H3C IPv4 --- ADV - ACL 3000] IP de origen regla 10 del permiso de la 192.168.30.0 0.0.0.255 ¿Dónde quieres 172.20.20.0 0.0.0.255
[H3C-IPv4-ACL-ADV-3000] 15 de la regla de permiso de Fuente de IP 192.168.40.0 0.0.0.255 ¿Dónde quiere 0.0.0.255 172.19.19.0
[H3C-IPv4-ACL-ADV-3000] 20 es la regla de permiso de Fuente de IP 192.168.40.0 0.0.0.255 ¿Dónde quieres 172.20.20.0 0.0.0.255
[H3C-IPv4-ACL-ADV-3000] dejar de fumar
2.5创建IPSec策略综合协商参数:
[H3C] IPSec directiva IPsec 1 ISAKMP
[H3C-ipsec-política-ISAKMP-ipsec-1] ike-perfil del archivo
propuesta [H3C-ipsec-política-ISAKMP-ipsec-1] transform-set
[H3C-ipsec-política-ISAKMP-ipsec-1] de seguridad ACL 3000
[H3C-ipsec-política-ISAKMP-ipsec-1] a distancia-dirección 106.13.6.31
[ISAKMP-H3C-ipsec-política-ipsec-1] dejar de fumar
2.6 La configuración de la interfaz de apareamiento buena estrategia:
. [H3C] interfaz de VLAN interfaz 1
[H3C-de-Vlan interface1] Aplicar interfaz de la política de directivas IPSec IPSec # vinculante
[H3C-de-Vlan interface1] renunció
-------- -------------------------------------------------- ---------------------------------
paso 3: porque es interruptor de modo tan agresivo en la iniciativa de establecer VPN
[H3C ] -a 192.168.30.254 172.19.19.19 de mesa de ping
el Ping 172.19.19.19 (172.19.19.19) a partir de 192.168.30.254: 56 está bytes de datos, ROTURA Press CTRL_C a
la petición de tiempo OUT
bytes desde 172.19.19.19 56 es:. = 1 icmp_seq TTL = Tiempo = 64 MS 12.328
56 es 172.19.19.19 bytes a partir de: icmp_seq TTL = 2 = 64 tiempo = 13.255 MS
56 es 172.19.19.19 bytes a partir de: icmp_seq = 64. 3 TTL = tiempo = 15.459 MS
56 es 172.19.19.19 bytes a partir de: icmp_seq = 64. 4 TTL = Time = 10.924 ms
- estadísticas de ping para 172.19.19.19 -
5 paquete (s) transmitidos, 4 paquete (s) recibido, 20,0% de pérdida de paquetes
de ida y vuelta min / avg / Máx / STD-dev = 10.924 / 12.992 / 15.459 / 1.649 ms
[H3C] pantalla ike sa
Conexión-ID remoto Flag DOI
-------------------------------------- ------------------------------
14 106.13.6.31 RD IPsec
Banderas:
REEMPLAZAR RL-RD-READY FD-RK-DESCOLORAMIENTO Rekey
[H3C] pantalla ipsec sa
-------------------------------------------- ----------------------
Interfaz: Vlan-interface1
----------------------- -------------------------------------------
-------------------------------------------------- ---------------
directiva IPsec: IPSec
número de secuencia: 1
Modo: ISAKMP
------------------------ ----------------------------------------
Identificación del túnel: 0
modo de encapsulación: túnel
directa perfecta secreto:
Dentro de VPN:
números de secuencia extendidas permiten: N
tráfico confidencialidad del flujo de habilitar: N
MTU Path: 1436
túnel:
dirección local: 192.168.1.252
dirección remota: 106.13.6.31
flujo:
addr agria: 192.168.30.0/255.255.255.0 puerto: 0 Protocolo: ip
dest addr: 172.19.19.0/255.255.255.0 puerto: 0 protocolo: ip
[Entrante ESP SAs]
SPI: 1391345111 (0x52ee3dd7)
ID de conexión: 124554051588
conjunto de transformación: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1
duración SA (kilobytes / seg): 1843200/3600
SA duración restante (kilobytes / seg): 1843199/3583
Max recibió secuencia número: 4
comprobación anti-replay permitir que: Y
anti-repetición tamaño de la ventana: 64
encapsulación UDP utilizado para NAT transversal: Y
Posición: activo
[Saliente ESP SAs]
SPI: 3472567373 (0xcefb2c4d)
ID de conexión: 124554051589
conjunto de transformación: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1
SA duración (kilobytes / seg): 1843200/3600
SA duración restante (kilobytes / seg): 1843199/3583
Max envió secuencia número: 4
encapsulación UDP utilizado para NAT transversal: Y
Posición: activo
-------------------------------------------------- ----------------
[root @ myzdl ~] # strongSwan estado de
Asociaciones de Seguridad (1 arriba, conectando 0):
peer-H3C-interruptor [2]: Establecido hace 69 segundos, 172.16 .0.4 [CentOS] ... [183.17.63.227 H3C]
peer-H3C-switch {1}: INSTALADO, túnel, reqid 1, ESP en UDP SPI: 52ee3dd7_o cefb2c4d_i
peer-H3C-switch {1}: = 172.19.19.0/24 == 192.168.30.0/24
