IPSec典型配置

IPsec VPN (cisco)配置一例Cisco配置举例本例假设两端分别为广州和中山，两路由器之间简单用直接电缆连接，其地址分别假设如下表广州中山内部网段网号172．22．1．0172．22．2．0互连网段网号168．1．1．0167．1．1．0路由器内部端口IP地址172．22．1．100172．22．2．100路由器Internet端口IP地址168．1．1．1167．1．1．1路由器串口IP地址202．96．1．1202．96．1．2隧道端口IP地址192．168．1．1192．168．1．2则两端路由器配置分别如下：广州端路由器部分配置：crypto isakmp policy 1 ;配置IKE 策略1authentication pre-share ；IKE 策略1验证方法设为pre-sharegroup 2 ；1024-bit Diffie-Hellman，加密算法未设置则取缺省值：DES crypto isakmp key test123 address 202.96.1.2 ；设置Pre-share密钥为test123,此值两端需一致crypto ipsec transform-set VPNtag ah-md5-hmac esp-des ；设置AH散列算法为md5 ，！ESP加密算法为DES。

crypto map VPNdemo 10 ipsec-isakmp ；定义crypto mapset peer 202.96.1.2 ；设置隧道对端IP地址set transform-set VPNtag ；设置隧道AH及ESP，match address 101 ；！interface Tunnel0 ；定义隧道接口ip address 192.168.1.1 255.255.255.0 ；隧道端口IP地址no ip directed-broadcasttunnel source 202.96.1.1 ;隧道源端地址tunnel destination 202.96.1.2 ；隧道目的端地址crypto map VPNdemo ；应用VPNdemo 于此接口interface Serial0/0ip address 202.96.1.1 255.255.255.252 ；串口的Internet IP地址no ip directed-broadcastcrypto map VPNdemo ；应用VPNdemo 于串口!interface Ethernet0/1ip address 168.1.1.1 255.255.255.0 ；外部端口IP地址no ip directed-broadcastinterface Ethernet0/0ip address 172.22.1.100 255.255.255.0 ；内部端口IP地址no ip directed-broadcast!ip classlessip route 0.0.0.0 0.0.0.0 202.96.1.2 ；缺省路由ip route 172.22.2.0 255.255.0.0 192.168.1.2 ；到中山端内网静态路由（经过隧道）access-list 101 permit gre host 202.96.1.1 host 202.96.1.2 ；定义存取列表中山端路由器部分配置：crypto isakmp policy 1authentication pre-sharegroup 2crypto isakmp key test123 address 202.96.1.1crypto ipsec transform-set VPNtag ah-md5-hmac esp-des !crypto map VPNdemo 10 ipsec-isakmpset peer 202.96.1.1set transform-set VPNtagmatch address 101！interface Tunnel0ip address 192.168.1.2 255.255.255.0no ip directed-broadcasttunnel source Serial0/0tunnel destination 202.96.1.1crypto map VPNdemointerface Serial0/0ip address 202.96.1.2 255.255.255.252no ip directed-broadcastcrypto map VPNdemo!interface Ethernet0/1ip address 167.1.1.1 255.255.255.0no ip directed-broadcastinterface Ethernet0/0ip address 172.22.2.100 255.255.255.0no ip directed-broadcast!ip classlessip route 0.0.0.0 0.0.0.0 202.96.1.1ip route 172.22.1.0 255.255.0.0 192.168.1.1access-list 101 permit gre host 202.96.1.2 host 202.96.1.1。

简述ipsec的配置方法
IPsec（Internet Protocol Security）是一种用于在网络层提供安全性的协议。

它
可以用于保护网络通信的机密性、完整性和身份验证。

以下是IPsec的配置方法的
简述：
首先，要配置IPsec，您需要了解两个主要组件：安全关联（SA）和安全策略
数据库（SPD）。

安全关联（SA）包含了通信设备之间进行加密和解密操作所需的密钥和算法。

配置SA时，您需要确定以下参数：身份验证算法、加密算法、完整性算法和密钥
协商协议。

这些参数的选择应基于您的安全需求和网络设备的性能。

其次，安全策略数据库（SPD）定义了数据包的处理方式。

配置SPD时，您需要确定以下参数：源IP地址、目标IP地址、协议类型、源端口、目标端口、安全
策略（如加密、完整性等）和操作（如加密、解密等）。

这些参数将根据您的需求来定义通信设备如何处理进出的数据包。

然后，您需要在通信设备上配置IPsec的参数。

这通常涉及编辑配置文件或通
过设备管理界面进行设置。

您需要指定SA和SPD的参数，并确保设备上的IPsec
配置与其他设备保持一致。

最后，在IPsec的配置完成后，您需要测试配置的有效性。

您可以通过发送IPsec加密的数据包来验证实施了IPsec的通信设备之间的通信。

确保配置正确，并在需要时进行必要的调整。

总结一下，配置IPsec的步骤包括了了解SA和SPD的参数选择、设备参数配
置和测试验证。

通过正确配置IPsec，您可以提供网络通信的机密性、完整性和身
份验证，从而确保网络通信的安全。

H3C-ER系列路由器IPSEC-VPN的典型配置H3CER 系列路由器 IPSECVPN 的典型配置在当今数字化的时代，企业对于数据安全和远程访问的需求日益增长。

IPSECVPN 作为一种常用的安全通信技术，能够为企业提供可靠的数据加密和远程接入服务。

H3CER 系列路由器以其出色的性能和丰富的功能，成为了实现 IPSECVPN 的理想选择。

接下来，我们将详细介绍 H3CER 系列路由器 IPSECVPN 的典型配置过程。

一、前期准备在进行配置之前，我们需要明确一些基本信息和准备工作：1、确定两端路由器的公网 IP 地址，这是建立 VPN 连接的关键。

2、规划好 IPSECVPN 的参数，如预共享密钥、IKE 策略、IPSEC 策略等。

3、确保两端路由器能够正常连接到互联网，并且网络连接稳定。

二、配置步骤1、配置 IKE 策略IKE（Internet Key Exchange，互联网密钥交换）策略用于协商建立IPSEC 安全联盟所需的参数。

在 H3CER 系列路由器上，我们可以按照以下步骤进行配置：（1）进入系统视图：｀｀｀systemview｀｀｀（2）创建 IKE 安全提议：｀｀｀ike proposal 1｀｀｀（3）设置加密算法和认证算法：｀｀｀encryptionalgorithm aescbc-128authenticationalgorithm sha1｀｀｀（4）创建 IKE 对等体：｀｀｀ike peer peer1｀｀｀（5）设置对等体的预共享密钥：｀｀｀presharedkey simple 123456｀｀｀（6）指定对等体使用的 IKE 提议：｀｀｀ikeproposal 1｀｀｀（7）指定对等体的对端 IP 地址：｀｀｀remoteaddress ＿___｀｀｀2、配置 IPSEC 策略IPSEC 策略用于定义数据的加密和认证方式。

以下是配置步骤：（1）创建 IPSEC 安全提议：｀｀｀ipsec proposal proposal1｀｀｀（2）设置封装模式和加密算法：｀｀｀encapsulationmode tunneltransform espesp encryptionalgorithm aescbc-128esp authenticationalgorithm sha1｀｀｀（3）创建 IPSEC 策略：｀｀｀ipsec policy policy1 1 isakmp｀｀｀（4）指定引用的 IKE 对等体和 IPSEC 安全提议：｀｀｀ikepeer peer1proposal proposal1｀｀｀（5）指定需要保护的数据流：｀｀｀security acl 3000｀｀｀（6）创建访问控制列表，定义需要保护的数据流：｀｀｀acl advanced 3000rule 0 permit ip source 19216810 000255 destination 19216820 000255｀｀｀3、在接口上应用 IPSEC 策略完成上述配置后，需要在相应的接口上应用 IPSEC 策略，以启用VPN 功能：｀｀｀interface GigabitEthernet0/1ipsec apply policy policy1｀｀｀三、配置验证配置完成后，我们可以通过以下方式进行验证：1、查看 IKE 安全联盟状态：｀｀｀display ike sa｀｀｀2、查看 IPSEC 安全联盟状态：｀｀｀display ipsec sa｀｀｀3、从一端向另一端发送测试数据，检查数据是否能够正常加密传输。

IPSec VPN配置案例经过上一篇文章的介绍，相信大家对IPSec VPN有了初步的认识。

光说不练，对知识点掌握不够牢固。

今天通过一个IPSec VPN配置来加深理解。

拓扑说明Site1和Site2模拟企业的边界路由，同时Site1和Site2上的ge0/0/0端口上的IP是公网IP，在承载网中是可路由的。

分支机构Site1要有通过Site2的路由，同理，Site2也要有通过Site1的路由。

这是配置IPSec VPN的前提基本配置1、把各个路由端口配置对应的IP。

以Site1为例，其他类似。

<Huawei>system-view[Huawei]sysname Site1[Site1]interface GigabitEthernet 0/0/0[Site1-GigabitEthernet0/0/0]ip address 61.128.1.1 24[Site1-GigabitEthernet0/0/0]q[Site1]interface GigabitEthernet 0/0/2[Site1-GigabitEthernet0/0/2]ip address 172.16.1.254 242、分别在Site1和Site2上配置默认路由。

3、验证分支Site1和Site2连通性。

IPSec VPN配置1、分别在site1和site2配置ACL识别兴趣流。

因为部分流量无需满足完整性和机密性要求，所以需要对流量进行过滤，选择出需要进行IPSec处理的兴趣流。

可以通过配置ACL来定义和区分不同的数据流。

2、配置IPSec安全提议。

缺省情况下，使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。

在IPSec提议视图下执行下列命令可以修改这些参数。

1. 执行transform [ah | ah-esp | esp]命令，可以重新配置隧道采用的安全协议。

H3C ER系列路由器IPSEC VPN的典型配置ER系列路由器一端地址是静态IP，另一端是拨号方式获取IP时野蛮模式下的一对一IPSEC VPN的典型配置一、组网需求：某公司存在分支机构A和分支机构B，两端的出口路由器都是ER5200，分别为Router A 和Router B，Router A处为静态IP，Router B处为拨号方式获取的IP。

现在客户想在两个分支之间建立VPN来实现互通。

二、组网图：三、配置步骤：当一边的地址都是静态IP〔Router A〕，另外一边是拨号IP〔Router B〕时，可采用野蛮模式建立IPSEC VPN。

Router A设置：〔1〕设置虚接口：VPN→VPN设置→虚接口选择一个虚接口名称和与其相应的WAN1口绑定，单击<增加>按钮。

(2)设置IKE平安提议VPN→VPN设置→IKE平安提议输入平安提议名称，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(3)设置IKE对等体VPN→VPN设置→IKE对等体输入对等体名称，选择对应的虚接口ipsec0。

在“对端地址〞文本框中输入Router B的IP地址为全0，选择野蛮模式的NAME类型，分别填写两端的ID。

(4)设置IPSec平安提议VPN→VPN设置→IPSec平安提议输入平安提议名称，选择平安协议类型为ESP，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(5)设置IPSec平安策略VPN→VPN设置→IPSec平安策略Router B设置：〔1〕设置虚接口、〔2〕设置IKE平安提议、〔4〕设置IPSEC平安提议、〔5〕设置IPSec平安策略，以上四步的设置与Router A对应的步骤设置一致。

〔3〕设置IKE对等体VPN→VPN设置→IKE对等体输入对等体名称，选择对应的虚接口ipsec0。

在“对端地址〞文本框中输入Router A的IP地址，选择野蛮模式的NAME类型，分别填写两端的ID。

路由器IPSEC配置在当今数字化的时代，网络安全变得至关重要。

为了保护数据在网络中的传输安全，IPSEC（Internet Protocol Security）技术应运而生。

IPSEC 是一种广泛应用于网络通信的安全协议，通过对数据包进行加密和认证，确保数据的机密性、完整性和真实性。

而在网络架构中，路由器作为连接不同网络的关键设备，其 IPSEC 配置是保障网络安全的重要环节。

首先，我们来了解一下为什么需要在路由器上进行 IPSEC 配置。

随着企业业务的扩展和移动办公的普及，员工需要通过互联网访问企业内部网络资源，这就带来了数据泄露的风险。

IPSEC 可以在公共网络上建立一个安全的隧道，使得数据在传输过程中如同在一个私有网络中一样安全。

此外，对于企业之间的数据交换，IPSEC 也能确保双方通信的保密性和完整性，防止敏感信息被窃取或篡改。

接下来，让我们详细了解路由器 IPSEC 配置的步骤。

第一步，确定 IPSEC 策略。

这包括定义哪些流量需要进行保护，例如特定的 IP 地址范围、端口号或应用程序。

同时，还需要确定加密和认证的算法，常见的加密算法有 AES（Advanced Encryption Standard），认证算法有 SHA-1（Secure Hash Algorithm 1）等。

第二步，配置 IKE（Internet Key Exchange）。

IKE 用于在通信双方之间协商安全参数，如加密密钥、认证密钥等。

在路由器上，需要设置 IKE 的版本（通常为 IKEv2）、认证方式（如预共享密钥或数字证书）以及协商模式（主模式或积极模式）。

第三步，定义 IPSEC 变换集。

变换集指定了对数据包进行加密和认证所使用的具体算法和模式。

例如，可以选择使用 AES-128 加密算法和 SHA-256 认证算法。

第四步，创建 IPSEC 策略。

将前面定义的流量、IKE 和变换集组合成一个完整的IPSEC 策略。

组网说明：本案例采用H3C HCL模拟器来模拟IPV6 IPSEC+IKE预共享密钥典型组网配置。

为了保证数据传输安全，在R1与R2建立Ipsec vpn隧道。

全网采用OSPFv3协议互通。

配置思路：1、按照网络拓扑图正确配置IP地址。

2、R1与R2建立IPSEC VPN隧道配置过程：第一阶段调试（基础网络配置：）R1：<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]sysname R1[R1]int loopback 0[R1-LoopBack0]ip address 1.1.1.1 32[R1-LoopBack0]quit[R1]ospfv3 1[R1-ospfv3-1]import-route direct[R1-ospfv3-1]router-id 1.1.1.1[R1-ospfv3-1]quit[R1]int gi 0/0[R1-GigabitEthernet0/0]ipv6 address 1::1 64[R1-GigabitEthernet0/0]ospfv3 1 area 0[R1-GigabitEthernet0/0]quit[R1]int gi 0/1[R1-GigabitEthernet0/1]des <connect to R2>[R1-GigabitEthernet0/1]ipv6 address 2::1 64[R1-GigabitEthernet0/1]ospfv3 1 area 0[R1-GigabitEthernet0/1]quitR2：<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname R2[R2]int loopback 0[R2-LoopBack0]ip address 2.2.2.2 32[R2-LoopBack0]quit[R2]ospfv3 1[R2-ospfv3-1]router-id 2.2.2.2[R2-ospfv3-1]import-route direct[R2-ospfv3-1]quit[R2]int gi 0/1[R2-GigabitEthernet0/1]des <connect to R1> [R2-GigabitEthernet0/1]ipv6 address 2::2 64 [R2-GigabitEthernet0/1]ospfv3 1 area 0[R2-GigabitEthernet0/1]quit[R2]int gi 0/0[R2-GigabitEthernet0/0]des <connect to SW1> [R2-GigabitEthernet0/0]ipv6 address 3::1 64 [R2-GigabitEthernet0/0]ospfv3 1 area 0[R2-GigabitEthernet0/0]quitSW1：<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname SW1[SW1]int loopback 0[SW1-LoopBack0]ip address 3.3.3.3 32[SW1-LoopBack0]quit[SW1]ospfv3 1[SW1-ospfv3-1]import-route direct[SW1-ospfv3-1]router-id 3.3.3.3[SW1-ospfv3-1]quit[SW1]int gi 1/0/1[SW1-GigabitEthernet1/0/1]port link-mode route [SW1-GigabitEthernet1/0/1]des <connect to R2> [SW1-GigabitEthernet1/0/1]ipv6 address 3::2 64 [SW1-GigabitEthernet1/0/1]ospfv3 1 area 0 [SW1-GigabitEthernet1/0/1]quit第一阶段测试：物理机填写IP地址：物理机能PING通SW1：第二阶段调试（IPSEC预共享密钥关键配置点）：R1：[R1]acl ipv6 advanced 3000[R1-acl-ipv6-adv-3000]rule 0 permit ipv6 source 1::/64 destination 3::/64 [R1-acl-ipv6-adv-3000]quit[R1]ike keychain james[R1-ike-keychain-james]pre-shared-key address ipv6 2::2 64 key simple james [R1-ike-keychain-james]quit[R1]ike proposal 1[R1-ike-proposal-1]quit[R1]ike profile james[R1-ike-profile-james]keychain james[R1-ike-profile-james]proposal 1[R1-ike-profile-james]match remote identity address ipv6 2::2 64[R1-ike-profile-james]local-identity address ipv6 2::1[R1-ike-profile-james]quit[R1]ipsec transform-set james[R1-ipsec-transform-set-james]protocol esp[R1-ipsec-transform-set-james]encapsulation-mode tunnel[R1-ipsec-transform-set-james]esp authentication-algorithm md5[R1-ipsec-transform-set-james]esp encryption-algorithm des-cbc[R1-ipsec-transform-set-james]quit[R1]ipsec ipv6-policy james 1 isakmp[R1-ipsec-ipv6-policy-isakmp-james-1]security acl ipv6 3000[R1-ipsec-ipv6-policy-isakmp-james-1]ike-profile james[R1-ipsec-ipv6-policy-isakmp-james-1]transform-set james[R1-ipsec-ipv6-policy-isakmp-james-1]remote-address ipv6 2::2[R1-ipsec-ipv6-policy-isakmp-james-1]quit[R1]int gi 0/1[R1-GigabitEthernet0/1]ipsec apply ipv6-policy james[R1-GigabitEthernet0/1]quitR2：[R2]acl ipv6 advanced 3000[R2-acl-ipv6-adv-3000]rule 0 permit ipv6 source 3::/64 destination 1::/64 [R2-acl-ipv6-adv-3000]quit[R2]ike keychain james[R2-ike-keychain-james]pre-shared-key address ipv6 2::1 key simple james [R2-ike-keychain-james]quit[R2]ike proposal 1[R2-ike-proposal-1]quit[R2]ike profile james[R2-ike-profile-james]keychain james[R2-ike-profile-james]proposal 1[R2-ike-profile-james]local-identity address ipv6 2::1[R2-ike-profile-james]match remote identity address ipv6 2::1 64[R2-ike-profile-james]quit[R2]ipsec transform-set james[R2-ipsec-transform-set-james]protocol esp[R2-ipsec-transform-set-james]encapsulation-mode tunnel[R2-ipsec-transform-set-james]esp authentication-algorithm md5 [R2-ipsec-transform-set-james]esp encryption-algorithm des-cbc [R2-ipsec-transform-set-james]quit[R2]ipsec ipv6-policy james 1 isakmp[R2-ipsec-ipv6-policy-isakmp-james-1]security acl ipv6 3000[R2-ipsec-ipv6-policy-isakmp-james-1]transform-set james[R2-ipsec-ipv6-policy-isakmp-james-1]ike-profile james[R2-ipsec-ipv6-policy-isakmp-james-1]remote-address ipv6 2::1 [R2-ipsec-ipv6-policy-isakmp-james-1]quit[R2]int gi 0/1[R2-GigabitEthernet0/1]ipsec apply ipv6-policy james[R2-GigabitEthernet0/1]quit第二阶段测试：查看R1的IPSEC显示信息：查看R2的IPSEC显示信息：物理机依然能PING通SW1：SW1也可以PING通物理机：至此，IPV6之IPSEC预共享密钥典型组网配置案例已完成！。