1. 실험적 토폴로지
2. 수요
- r2는 DHCP 서버 역할을하고 r3 및 r4에 ip를 할당합니다.
- 라우터의 루프백 포트 주소가 사설 네트워크 주소로 사용됩니다.
- 본사는 ipsec VPN의 잔인한 모드를 사용하여 분기 r3 및 분기 r4로 각각 VPN 터널을 설정합니다.
3. 분석
- R3 및 R4의 IP는 고정되어 있지 않기 때문에 ipsec의 공격 모드 만 사용할 수 있지만 ipsec의 주 모드는 사용할 수 없습니다.
참고 :이 실험에서는 NAT없이 IPSec vpn 구성에만 집중하므로 내부 라우터가 연결할 수 없습니다. 외부 네트워크.
4. 구성
ip 고정 끝
- IKE 이름 구성
- IKE 제안 생성
- 미리 공유 한 키 생성
상대방의 IP가 고정되어 있지 않기 때문에 FQDN 이름을 사용하여 상대방의 IP가 고정되어 있지
않기 때문에 고정 IP는 두 지점과 별도로 VPN 연결을 설정해야하기 때문에 사전에 두 개의 키를 별도로 설정할 수 있습니다. 공유 키보기 - IKE 템플릿 만들기
협상 모드를 공격 모드로 구성
IKE 제안
호출 사전 공유 키 호출 - IPsec 변환 집합 생성 (구성을 단순화하기 위해 두 정책 템플릿은 동일한 ipsec 변환 집합을 호출 함)
보호 프로토콜을 구성합니다 (기본값은 ESP이고 기본값이면 충분 함)
. 작업 모드를 구성합니다 (기본값은 터널입니다. 모드, 기본값이면 충분)
구성 인증 알고리즘
암호화 알고리즘 구성 - IPsec 정책 템플릿 만들기
IKE 템플릿
호출 IPsec 변환 집합 호출 - IPsec 정책을 만들고 IPsec 정책 템플릿을 바인딩합니다.
- 공용 네트워크 인터페이스에서 IPsec 정책 실행
ip는 고정 끝이 아닙니다
- 관심 스트림 구성
- IKE 이름 구성
- IKE 제안 생성
- 미리 공유 한 키 만들기
주소를 사용하여 상대방 식별 - IKE 템플릿 만들기
협상 모드를 공격 모드로 구성
IKE 제안
호출 사전 공유 키 호출 - IPsec 변환 집합 생성
보호 프로토콜 구성 (기본값은 ESP, 기본값 사용)
작업 모드 구성 (기본값은 터널 모드, 기본값 사용)
인증 알고리즘
구성 암호화 알고리즘 구성 - IPsec 정책 만들기
관심 흐름
호출 IKE 템플릿
호출 IPsec 변환 집합 호출
피어 주소 구성 - 공용 네트워크 인터페이스에서 IPsec 정책 실행
5. 구성
R1 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add 1.1.1.1 24
[H3C-GigabitEthernet0 / 0] int lo0
[H3C-LoopBack0] ip add 192.168.1.1 24
[H3C-LoopBack0] quit
[H3C] ip 경로 고정 0.0.0.0 0 1.1.1.2
[H3C] ike identity fqdn r1
[H3C] ike 제안 1
[H3C-ike-proposal-1] 종료
[H3C] ike 키 체인 fb
[H3C-ike-keychain- fb] 사전 공유 키 호스트 이름 r3 키 단순 123
[H3C-ike-keychain-fb] 사전 공유 키 호스트 이름 r4 키 단순 321
[H3C-ike-keychain-fb] quit
[H3C] ike 프로필 r3
[H3C- ike-profile-r3] 교환 모드 공격적
[H3C-ike-profile-r3] 제안 1
[H3C-ike-profile-r3] 키 체인 fb
[H3C-ike-profile-r3] 원격 ID 일치 fqdn r3
[H3C-ike-profile-r3] ike 프로필 r4
[H3C-ike-profile-r4] 교환 모드 공격적
[H3C-ike-profile-r4] 제안 1
[H3C-ike-profile-r4] 키 체인 fb
[H3C- ike-profile-r4] 원격 ID 일치 fqdn r4
[H3C-ike-profile-r4] quit
[H3C] ipsec transform-set fb
[H3C-ipsec-transform-set-fb] esp authentication-algorithm md5
[H3C-ipsec- transform-set-fb] esp encryption-algorithm des
[H3C-ipsec-transform-set-fb] quit
[H3C] ipsec 정책 템플릿 r3 1
[H3C-ipsec-policy-template-r3-1] ike-profile r3
[ H3C-ipsec-policy-template-r3-1] transform-set fb
[H3C-ipsec-policy-template-r3-1] quit
[H3C] ipsec 정책 템플릿 r4 1
[H3C-ipsec-policy-template-r4- 1] ike 프로필 r4
[H3C-ipsec-policy-template-r4-1] transform-set fb
[H3C-ipsec-policy-template-r4-1] quit
[H3C] ipsec policy fb 1 isakmp template r3
[H3C] ipsec policy fb 2 isakmp template r4
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ipsec 적용 정책 fb
R2 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add 1.1.1.2 24
[H3C-GigabitEthernet0 / 0] int g0 / 1
[H3C-GigabitEthernet0 / 1] ip add 1.1.2.2 24
[H3C -GigabitEthernet0 / 1] int g0 / 2
[H3C-GigabitEthernet0 / 2] ip add 1.1.3.2 24
[H3C-GigabitEthernet0 / 2] quit
[H3C] dhcp server ip-pool 1
[H3C-dhcp-pool-1] network 1.1 .2.0 24
[H3C-dhcp-pool-1] gateway-list 1.1.2.2
[H3C-dhcp-pool-1] quit
[H3C] dhcp server ip-pool 2
[H3C-dhcp-pool-2] network 1.1.3.0 24
[H3C-dhcp-pool-2] 게이트웨이 목록 1.1.3.2
R3 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add dhcp-alloc
[H3C-GigabitEthernet0 / 0] int lo0
[H3C-LoopBack0] ip add 192.168.2.1 24
[H3C-LoopBack0] quit
[ H3C] acl advance 3000
[H3C-acl-ipv4-adv-3000] 규칙 0 허용 IP 소스 192.168.2.0 0.0.0.255 대상 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] 종료
[H3C] ike identity fqdn r3
[H3C] ike 제안 1
[H3C-ike-proposal-1] 종료
[H3C] ike 키 체인 r1
[H3C-ike-keychain-r1] 사전 공유 키 주소 1.1.1.1 키 단순 123
[H3C-ike -keychain-r1]
[H3C] ike 프로필 r1 종료 [H3C
-ike-profile-r1] 제안 1
[H3C-ike-profile-r1] keychain r1
[H3C-ike-profile-r1] 원격 ID 일치 fqdn r1
[H3C-ike-profile-r1] 교환 모드 공격적
[H3C-ike-profile-r1] quit
[H3C] ipsec transform-set r1
[H3C-ipsec- transform-set-r1] esp 인증 알고리즘 md5
[H3C-ipsec-transform-set-r1] esp 암호화 알고리즘 des-cbc
[H3C-ipsec-transform-set-r1] quit
[H3C] ipsec 정책 r1 1 isakmp
[ H3C-ipsec-policy-isakmp-r1-1] 보안 3000
[H3C-ipsec-policy-isakmp-r1-1] ike-profile r1
[H3C-ipsec-policy-isakmp-r1-1] transform-set r1
[H3C -ipsec-policy-isakmp-r1-1] remote-address 1.1.1.1
[H3C-ipsec-policy-isakmp-r1-1] quit
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ipsec apply policy r1
[ H3C-GigabitEthernet0 / 0] 종료
R4 :
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ip add dhcp-alloc
[H3C-GigabitEthernet0 / 0] int lo0
[H3C-LoopBack0] ip add 192.168.3.1 24
[H3C-LoopBack0] quit
[ H3C] acl advance 3000
[H3C-acl-ipv4-adv-3000] 규칙 0 허용 IP 소스 192.168.3.0 0.0.0.255 대상 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] 종료
[H3C] ike identity fqdn r4
[H3C] ike 제안 1
[H3C-ike-proposal-1] 종료
[H3C] ike 키 체인 r1
[H3C-ike-keychain-r1] 사전 공유 키 주소 1.1.1.1 키 단순 321
[H3C-ike -keychain-r1]
[H3C] ike 프로필 r1 종료 [H3C
-ike-profile-r1] 제안 1
[H3C-ike-profile-r1] keychain r1
[H3C-ike-profile-r1] 원격 ID 일치 fqdn r1
[H3C-ike-profile-r1] 교환 모드 공격적
[H3C-ike-profile-r1] quit
[H3C] ipsec transform-set r1
[H3C-ipsec- transform-set-r1] esp 인증 알고리즘 md5
[H3C-ipsec-transform-set-r1] esp 암호화 알고리즘 des-cbc
[H3C-ipsec-transform-set-r1] quit
[H3C] ipsec 정책 r1 1 isakmp
[ H3C-ipsec-policy-isakmp-r1-1] 보안 3000
[H3C-ipsec-policy-isakmp-r1-1] ike-profile r1
[H3C-ipsec-policy-isakmp-r1-1] transform-set r1
[H3C -ipsec-policy-isakmp-r1-1] remote-address 1.1.1.1
[H3C-ipsec-policy-isakmp-r1-1] quit
[H3C] int g0 / 0
[H3C-GigabitEthernet0 / 0] ipsec apply policy r1
[ H3C-GigabitEthernet0 / 0] 종료
6. 테스트
- R3의 사설 네트워크 세그먼트를 R1의 사설 네트워크 세그먼트에 핑하십시오.
- R4의 사설 네트워크 세그먼트를 R1의 사설 네트워크 세그먼트에 핑하십시오.
7. 요약
- ipsec 공격 모드와 주 모드의 큰 차이점은 공격 모드의 IP 고정 끝은 fqdn을 사용하여 반대 장치를 식별하고 주 모드의 양쪽 끝은 주소를 사용하여 반대 장치를 식별한다는 것입니다.
- 공격 모드 ip 고정 끝은 관심 스트림을 구성 할 필요가 없습니다. 공격 모드 VPN 설정 개시자는 ip 비 고정 끝이고 ip 고정 끝은 연결 요청을 수신 한 후 관심 스트림을 자동으로 생성 할 수 있기 때문입니다.
- 이 실험에는 의심의 여지가 있습니다. 언제 피어 ID를 지정해야하고 언제 필요하지 않습니다. 확인을 통해
ip 고정 끝 : ike 프로필 및 ipsec 정책은 반대쪽 끝 ID를 지정하지 않고 VPN 터널을 설정할 수 있습니다
.ip 고정되지 않은 끝 : ike 프로필은 반대쪽 끝 ID를 지정할 필요가 없으며 ipsec 정책은 반대쪽 끝 ID를 지정해야합니다. 끝 ID.
구체적인 이유를 모르겠습니다. 독자 여러분의 메시지를 남겨주세요.