Experimento ipsec de hcl

Others 2021-03-30 05:19:06 views: null

1. Topología experimental:

Inserte la descripción de la imagen aquí

2. Demanda

1. La oficina central y las sucursales están conectadas a través de IPSec VPN
2. Tanto la oficina central como las sucursales pueden acceder a la red externa

3. Análisis de la demanda

1. Este experimento necesita realizar una conexión VPN y una conexión de red externa. Debe escribir dos ACL, que se utilizan como la coincidencia del flujo de interés de ipsec y el tráfico de red externa.
2. La dificultad de este experimento radica en la configuración de IPSec VPN: La configuración de IPSec VPN es complicada y los parámetros en ambos lados de la VPN son inconsistentes, lo que provocará que la VPN no se establezca.

4. Pasos de configuración

Nota: Este paso explica principalmente la configuración de IPSec VPN, lo que demuestro aquí es solo uno de los métodos de IPSec VPN, y en aras de una configuración simple, algunos parámetros usan directamente los valores predeterminados

  1. Configurar la secuencia de interés

  2. Crear una propuesta IKE
    En la vista de propuesta IKE, puede configurar el método de autenticación, el algoritmo de autenticación y el algoritmo de cifrado. Estos parámetros tienen valores predeterminados. Después de crear una propuesta IKE, puede salir directamente y salir. Tenga en cuenta que el método de autenticación predeterminado El valor es PRE-SHARED-KEY. Es decir, la clave precompartida, la elección de este método de autenticación afectará la configuración del cuarto paso a continuación
    Inserte la descripción de la imagen aquí

  3. Crea una clave previamente compartida

  4. Crear plantilla IKE
    Configurar el modo de negociación como modo principal / modo agresivo (modo principal predeterminado) para
    llamar a la propuesta IKE,
    llamar a la clave precompartida en el
    modo principal, configurar direcciones de red pública local y de pares

  5. Crear conjunto de transformación IPsec
    Configurar el protocolo de protección (el predeterminado es ESP)
    Configurar el modo de trabajo (el predeterminado es el modo túnel)
    Configurar el algoritmo de verificación
    Configurar el algoritmo de cifrado
    Nota: Usé el protocolo de protección como ESP en este experimento y no hay un valor predeterminado para el algoritmo de verificación y el algoritmo de cifrado de ESP., Debe configurarse manualmente, pensé que había un valor predeterminado al principio, por lo que no coincidía, lo que resulta en que ike sa e ipsec sa no se pueden establecer

  6. Crear política IPsec
    Invocar flujo interesado
    Invocar plantilla IKE
    Invocar conjunto de transformación IPsec
    Configurar dirección de pares

  7. Emitir política IPsec en la interfaz de red pública

5. Configuración

Configuración R1:
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add 192.168.0.1 24
[H3C-GigabitEthernet0 / 0] int g0 / 1
[H3C-GigabitEthernet0 / 1] ip add 1.1.1.1 24
[H3C - GigabitEthernet0 / 1] quit
// Configure el flujo de interés para que coincida con el tráfico vpn
[H3C] acl advanced 3000
[H3C-acl-ipv4-adv-3000] rule 0 permit ip source 192.168.0.1 0.0.0.255 destination
192.168.1.0 0.0. 0.255
[H3C-acl-ipv4-adv-3000] quit
// Configure acl para que coincida con el tráfico de red externa
[H3C] acl advanced 3005
[H3C-acl-ipv4-adv-3005] rule 0 deny ip source 192.168.0.0 0.0. 0.255 destino 192.168.1.0 0.0.0.255 // Rechazar el tráfico de VPN y sin traducción de NAT para el tráfico de VPN
[H3C-acl-ipv4-adv-3005] regla 5 permiso ip fuente 192.168.0.0 0.0.0.255
[H3C-acl-ipv4- adv-3005] quit
// La ruta predeterminada de la puerta de enlace de la red interna, que apunta al enrutador de la red pública
[H3C] ip route-static 0.0.0.0 0 1.1.1.2
// Cree una propuesta ike. Dado que los parámetros de la propuesta ike tienen valores predeterminados, este experimento usará directamente los valores predeterminados, por lo que después de crear la propuesta ike, salir directamente
[H3C] ike propuesta 1
[H3C-ike-propuesta-1] salir
// Crear una clave precompartida
[H3C] ike llavero r3
[H3C-ike-keychain-r3] dirección de clave precompartida 1.1.2.3 key simple 123
[H3C- ike-keychain-r3] quit
// Cree una plantilla ike, especifique las direcciones de origen y destino, la propuesta ike y la clave precompartida
[H3C] ike profile r3
[H3C-ike-profile-r3] propuesta 1
[H3C-ike-profile- r3] llavero r3
[H3C-ike-profile-r3] dirección de identidad local 1.1.1.1
[H3C-ike-profile-r3] coincidir con la dirección de identidad remota 1.1.2.3
[H3C-ike- profile-r3] quit
// Crear conjunto de transformación ipsec, especificar el protocolo de seguridad y su autenticación, algoritmo de cifrado
[H3C] ipsec transform-set r3
[H3C-ipsec-transform-set-r3] túnel en modo de encapsulación // no se puede configurar, el valor predeterminado es el modo túnel
[H3C-ipsec-transform-set-r3] protocolo esp // no se puede configurar, la seguridad predeterminada el protocolo es esp
[H3C- ipsec-transform-set-r3] esp autenticación-algoritmo md5
[H3C-ipsec-transform-set-r3] esp cifrado-algoritmo des-cbc
[H3C-ipsec-transform-set-r3] quit
/ / Crear política ipsec
[H3C] política ipsec r3 1 isakmp
[H3C-ipsec-policy-isakmp-r3-1] seguridad acl 3000
[H3C-ipsec-policy-isakmp-r3-1] ike-profile r3
[H3C-ipsec- policy-isakmp-r3- 1] transform-set r3
[H3C-ipsec-policy-isakmp-r3-1] remote-address 1.1.2.3
[H3C-ipsec-policy-isakmp-r3-1] quit
// Aplicar la política ipsec a la interfaz g0 / 1
[H3C] int g0 / 1
[H3C-GigabitEthernet0 / 1] ipsec aplicar la política r3
// hacer esay-ip en el puerto g0 / 1
[H3C-GigabitEthernet0 / 1] nat saliente 3005

Configuración R2:
// Configure la interfaz correspondiente ip
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add 1.1.1.2 24
[H3C-GigabitEthernet0 / 0] int g0 / 1
[H3C-GigabitEthernet0 / 1] ip add 1.1.2.2 24

Configuración de R3:
// La configuración ipsec de R3 no es muy diferente a la de R1, por lo que no se explica
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add 1.1.2.3 24
[H3C-GigabitEthernet0 / 0 ] int g0 / 1
[H3C-GigabitEthernet0 / 1] ip add 192.168.1.3 24
[H3C-GigabitEthernet0 / 1] quit
[H3C] ip route-static 0.0.0.0 0 1.1.2.2
[H3C] acl advance 3000
[H3C-acl -ipv4 -adv-3000] regla 0 permiso ip origen 192.168.1.0 0.0.0.255 destino
192.168.0.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] salir
[H3C] acl avanzado 3005
[H3C-acl-ipv4- adv- 3005] regla 0 denegar fuente ip 192.168.1.0 0.0.0.255 destino
192.168.0.0 0.0.0.255
[H3C-acl-ipv4-adv-3005] regla 5 permitir fuente ip 192.168.1.0 0.0.0.255
[H3C-acl-ipv4 -adv -3005] salir
[H3C] ike propuesta 1
[H3C-ike-propuesta-1] salir
[H3C] ike llavero r1
[H3C-ike-keychain-r1] dirección de clave precompartida 1.1.1.1 clave simple 123
[H3C-ike-keychain- r1] salir
[H3C] ike profile r1
[H3C-ike-profile-r1] propuesta 1
[H3C-ike-profile-r1] llavero r1
[H3C-ike-profile-r1] dirección de identidad local 1.1.2.3
[H3C- ike-profile-r1] coincidir con la dirección de identidad remota 1.1.1.1
[H3C-ike-profile-r1] salir
[H3C] ipsec transform-set r1
[H3C-ipsec-transform-set-r1] túnel en modo de encapsulación
[H3C-ipsec -transform-set-r1] protocolo esp
[H3C-ipsec-transform-set-r1] esp autenticación-algoritmo md5
[H3C-ipsec-transform-set-r1] esp cifrado-algoritmo des-cbc
[H3C-ipsec-transform-set-r1] salir
[H3C] ipsec policy r1 1 isakmp
[H3C-ipsec-policy-isakmp-r1-1] security acl 3000
[H3C-ipsec-policy-isakmp-r1-1] transform -set r1
[H3C-ipsec-policy-isakmp-r1-1] ike-profile r1
[H3C-ipsec-policy-isakmp-r1-1] dirección remota 1.1.1.1
[H3C-ipsec-policy-isakmp-r1- 1] int g0 / 0
[H3C-GigabitEthernet0 / 0] ipsec aplicar la política r1
[H3C-GigabitEthernet0 / 0] nat saliente 3005

6. Prueba

  1. PC1 hacer ping a PC2
    Inserte la descripción de la imagen aquí

  2. PC1 ping al puerto g0 / 1 de R2
    Inserte la descripción de la imagen aquí

7. Resumen

  1. La configuración del experimento ipsec es complicada y debe tener cuidado al configurarla

  2. Cuando se configura ipsec, existen valores predeterminados predeterminados y, a veces, los valores predeterminados predeterminados se pueden utilizar para simplificar la configuración. Al hacer este experimento, pensé que cuando se configuró la transformación ipsec, los algoritmos de autenticación y encriptación de esp tendrían valores predeterminados, por lo que no había configuración, lo que resultó en la falla al establecer un túnel VPN. Para simplificar la configuración, tomó mucho tiempo solucionar el problema.

  3. Durante el proceso de configuración de ipsec, debe nombrar el perfil ike, la transformación ipsec, etc. Para la misma conexión VPN, se recomienda utilizar un nombre unificado, como el nombre del dispositivo de la otra parte. Por ejemplo, en mi experimento, R1 y R3 establecen una conexión vpn, entonces usé r3 para nombrar la conexión vpn del dispositivo R1; usé r1 para nombrar la conexión vpn del dispositivo R3

  4. Cuando hay configuración vpn y configuración nat, la prioridad de nat es mayor que vpn, por lo que la acl de nat debe configurarse para rechazar el tráfico vpn

Supongo que te gusta

Origin blog.csdn.net/qq_44933518/article/details/109923575
Recomendado
Clasificación
Diario
Más
2024-05-24(13)
2024-05-23(34)
2024-05-22(10)
2024-05-21(34)
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)

Code World

© 2018 codetd.com