1. Topología experimental
2. Demanda
- r2 actúa como un servidor DHCP, asigna ip a r3 y r4
- La dirección del puerto de bucle invertido en el enrutador se utiliza como dirección de red privada.
- La sede establece túneles VPN con la rama r3 y la rama r4 respectivamente, utilizando el modo brutal de ipsec VPN
3. Análisis
- Dado que las IP de R3 y R4 no son fijas, solo pueden usar el modo agresivo de ipsec, pero no pueden usar el modo principal de ipsec.
Nota: En este experimento, solo me concentro en configurar IPSec vpn, sin NAT, por lo que el enrutador interno no puede conectarse a la red externa.
4. Configurar
ip de extremo fijo
- Configurar el nombre IKE
- Crear propuesta IKE
- Cree una clave precompartida
Utilice el nombre FQDN para identificar el extremo opuesto, porque la ip de la otra parte no es fija.
Dado que el extremo de la ip fija tiene que establecer conexiones VPN con dos ramas por separado, puede establecer dos claves por separado en la vista de clave compartida - Crear plantilla IKE
Configurar el modo de negociación a modo agresivo
Invocar propuesta IKE
Invocar clave precompartida - Cree un conjunto de conversión IPsec (para simplificar la configuración, las dos plantillas de políticas llaman al mismo conjunto de conversión ipsec)
configure el protocolo de protección (el valor predeterminado es ESP y el valor predeterminado es suficiente)
configure el modo de trabajo (el valor predeterminado es el túnel modo, y el valor predeterminado es suficiente)
configuración Algoritmo de autenticación
Configurar algoritmo de cifrado - Crear plantilla de política IPsec
Llamar plantilla IKE
Llamar conjunto de conversión IPsec - Cree una política de IPsec y vincule la plantilla de política de IPsec
- Emitir política IPsec en la interfaz de red pública
ip no final fijo
- Configurar la secuencia de interés
- Configurar el nombre IKE
- Crear propuesta IKE
- Cree una clave previamente compartida
Utilice la dirección para identificar a la otra parte - Crear plantilla IKE
Configurar el modo de negociación a modo agresivo
Invocar propuesta IKE
Invocar clave precompartida - Crear un conjunto de transformación IPsec
Configurar el protocolo de protección (el valor predeterminado es ESP, solo tome el valor predeterminado)
Configurar el modo de trabajo (el modo predeterminado es el modo túnel, solo tome el valor predeterminado)
Configurar el algoritmo de autenticación
Configurar el algoritmo de cifrado - Crear política IPsec
Invocar flujo interesado
Invocar plantilla IKE
Invocar conjunto de transformación IPsec
Configurar dirección de pares - Emitir política IPsec en la interfaz de red pública
5. Configuración
R1 的 配置 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add 1.1.1.1 24
[H3C-GigabitEthernet0 / 0] int lo0
[H3C-LoopBack0] ip add 192.168.1.1 24
[H3C-LoopBack0] quit
[H3C] ip route-static 0.0.0.0 0 1.1.1.2
[H3C] ike identidad fqdn r1
[H3C] ike propuesta 1
[H3C-ike-propuesta-1] salir
[H3C] ike keychain fb
[H3C-ike-keychain- fb] pre-shared-key hostname r3 key simple 123
[H3C-ike-keychain-fb] pre-shared-key hostname r4 key simple 321
[H3C-ike-keychain-fb] quit
[H3C] ike profile r3
[H3C- ike-profile-r3] modo de intercambio agresivo
[H3C-ike-profile-r3] propuesta 1
[H3C-ike-profile-r3] llavero fb
[H3C-ike-profile-r3] coincidencia de identidad remota fqdn r3
[H3C-ike-profile-r3] ike profile r4
[H3C-ike-profile-r4] exchange-mode agresivo
[H3C-ike-profile-r4] propuesta 1
[H3C-ike-profile-r4] llavero fb
[H3C- ike-profile-r4] coincidir con identidad remota fqdn r4
[H3C-ike-profile-r4] salir
[H3C] ipsec transform-set fb
[H3C-ipsec-transform-set-fb] esp autenticación-algoritmo md5
[H3C-ipsec- transform-set-fb] esp algoritmo de cifrado des
[H3C-ipsec-transform-set-fb] salir
[H3C] ipsec policy-template r3 1
[H3C-ipsec-policy-template-r3-1] ike-profile r3
[ H3C-ipsec-policy-template-r3-1] transform-set fb
[H3C-ipsec-policy-template-r3-1] quit
[H3C] ipsec policy-template r4 1
[H3C-ipsec-policy-template-r4- 1] perfil ike r4
[H3C-ipsec-policy-template-r4-1] transform-set fb
[H3C-ipsec-policy-template-r4-1] salir
[H3C] ipsec policy fb 1 isakmp template r3
[H3C] ipsec policy fb 2 isakmp template r4
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ipsec aplicar política fb
R2 的 配置 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add 1.1.1.2 24
[H3C-GigabitEthernet0 / 0] int g0 / 1
[H3C-GigabitEthernet0 / 1] ip add 1.1.2.2 24
[H3C -GigabitEthernet0 / 1] int g0 / 2
[H3C-GigabitEthernet0 / 2] ip add 1.1.3.2 24
[H3C-GigabitEthernet0 / 2] quit
[H3C] dhcp server ip-pool 1
[H3C-dhcp-pool-1] network 1.1 .2.0 24
[H3C-dhcp-pool-1] gateway-list 1.1.2.2
[H3C-dhcp-pool-1] salir
[H3C] servidor dhcp ip-pool 2
[H3C-dhcp-pool-2] red 1.1.3.0 24
[H3C-dhcp-pool-2] lista de pasarelas 1.1.3.2
R3 的 配置 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip agregar dhcp-alloc
[H3C-GigabitEthernet0 / 0] int lo0
[H3C-LoopBack0] ip agregar 192.168.2.1 24
[H3C-LoopBack0] salir
[ H3C] acl advance 3000
[H3C-acl-ipv4-adv-3000] regla 0 permiso ip origen 192.168.2.0 0.0.0.255 destino 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] salir
[H3C] ike identidad fqdn r3
[H3C] ike propuesta 1
[H3C-ike-propuesta-1] salir
[H3C] ike llavero r1
[H3C-ike-keychain-r1] dirección de clave precompartida 1.1.1.1 clave simple 123
[H3C-ike -keychain-r1] salir
[H3C] ike profile r1
[H3C-ike-profile-r1] propuesta 1
[H3C-ike-profile-r1] llavero r1
[H3C-ike-profile-r1] coincidir con identidad remota fqdn r1
[H3C-ike-profile-r1] exchange-mode agresivo
[H3C-ike-profile-r1] quit
[H3C] ipsec transform-set r1
[H3C-ipsec- transform-set-r1] algoritmo de autenticación esp md5
[H3C-ipsec-transform-set-r1] algoritmo de cifrado esp des-cbc
[H3C-ipsec-transform-set-r1] quit
[H3C] política ipsec r1 1 isakmp
[ H3C-ipsec-policy-isakmp-r1-1] seguridad 3000
[H3C-ipsec-policy-isakmp-r1-1] ike-profile r1
[H3C-ipsec-policy-isakmp-r1-1] conjunto de transformación r1
[H3C -ipsec-policy-isakmp-r1-1] dirección-remota 1.1.1.1
[H3C-ipsec-policy-isakmp-r1-1] quit
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ipsec aplicar política r1
[ H3C-GigabitEthernet0 / 0] salir
R4 的 配置 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip agregar dhcp-alloc
[H3C-GigabitEthernet0 / 0] int lo0
[H3C-LoopBack0] ip agregar 192.168.3.1 24
[H3C-LoopBack0] salir
[ H3C] acl advance 3000
[H3C-acl-ipv4-adv-3000] regla 0 permiso ip origen 192.168.3.0 0.0.0.255 destino 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] salir
[H3C] ike identidad fqdn r4
[H3C] ike propuesta 1
[H3C-ike-propuesta-1] salir
[H3C] ike llavero r1
[H3C-ike-keychain-r1] dirección de clave precompartida 1.1.1.1 clave simple 321
[H3C-ike -keychain-r1] salir
[H3C] ike profile r1
[H3C-ike-profile-r1] propuesta 1
[H3C-ike-profile-r1] llavero r1
[H3C-ike-profile-r1] coincidir con identidad remota fqdn r1
[H3C-ike-profile-r1] exchange-mode agresivo
[H3C-ike-profile-r1] quit
[H3C] ipsec transform-set r1
[H3C-ipsec- transform-set-r1] algoritmo de autenticación esp md5
[H3C-ipsec-transform-set-r1] algoritmo de cifrado esp des-cbc
[H3C-ipsec-transform-set-r1] quit
[H3C] política ipsec r1 1 isakmp
[ H3C-ipsec-policy-isakmp-r1-1] seguridad 3000
[H3C-ipsec-policy-isakmp-r1-1] ike-profile r1
[H3C-ipsec-policy-isakmp-r1-1] conjunto de transformación r1
[H3C -ipsec-policy-isakmp-r1-1] dirección-remota 1.1.1.1
[H3C-ipsec-policy-isakmp-r1-1] quit
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ipsec aplicar política r1
[ H3C-GigabitEthernet0 / 0] salir
6. Prueba
- Haga ping al segmento de red privada de R3 al segmento de red privada de R1:
- Haga ping al segmento de red privada de R4 al segmento de red privada de R1:
7. Resumen
- La gran diferencia entre el modo agresivo ipsec y el modo principal es: el extremo fijo de IP del modo agresivo usa fqdn para identificar el dispositivo opuesto, y ambos extremos del modo principal usan direcciones para identificar el dispositivo opuesto.
- El extremo fijo de ip de modo agresivo no necesita configurar el flujo interesado, porque el iniciador de establecimiento de VPN de modo agresivo es el extremo no fijo de ip, y el extremo fijo de ip puede generar automáticamente el flujo interesado después de recibir la solicitud de conexión.
- Hay una duda en este experimento: ¿cuándo debo especificar el ID del par y cuándo no lo necesito? A través de la verificación, el
extremo fijo de ip: el perfil ike y la política de ipsec no especifican el ID del extremo opuesto, y se puede establecer un túnel VPN;
extremo no fijo de ip: el perfil de ike no necesita especificar el ID del extremo opuesto, la política de ipsec necesita especificar lo contrario ID final.
No sé el motivo específico. Los lectores pueden dejar un mensaje.