VPN:采用缺省IKE安全提议建立IPSec隧道配置示例
发布日期:2021-11-30
来源:计算机与网络安全
如图1所示,Router A为公司分支机构网关,Router B为公司总部网关,分支机构与总部通过Internet建立通信。分支机构子网为10.1.1.0/24,公司总部子网为 10.1.2.0/24。现公司希望两子网通过Internet实现互访,且它们通信的流量可以受IPSec安全保护。
图1 采用缺省IKE安全提议建立IPSec隧道配置示列的拓扑结构
本示例以IKE动态协商方式来建立IPSec隧道,并且为了简化配置,对其中绝大多数安全参数采用缺省配置(包括IKE安全提议中的全部参数和IKE安全策略可选参数)进行部署。其实,如果没有特别的要求,大多数情况下都可以这样配置,这样不仅可以减少工作量,也可以在安全方面满足用户的需求。
1. 基本配置思路分析
根据《基于ACL方式通过IKE协商建立IPSec隧道》介绍的配置任务,再结合本示例的具体要求(IKE安全提议全部采用缺省配置),可得出如下所示的本示例基本配置思路。
(1)配置各网关设备内/外网接口当前的IP地址,以及分支机构公网、私网与总部公网、私网互访的静态路由
这项配置包括配置连接内/外网的接口IP地址,以及到达对端内/外网的静态路由,保证两端路由可达。此处需要了解分支机构和公司总部Internet网关所连接的ISP设备接口的IP地址。
(2)配置ACL,以定义需要IPSec保护的数据流
本示例中,需要保护的数据流是分支机构子网与公司总部子网之间的通信,其需要在IPSec隧道中传输,其他通过Internet的访问(如访问Web网站)是直接在Internet中传输的。
(3)配置IPSec安全提议,定义IPSec的保护方法
无论是手工方式,还是IKE动态协商方式建立IPSec隧道,IPSec安全提议必须手工配置。包括IPSec使用的安全协议、认证/加密算法以及数据的封装模式。当然这些安全参数也都有缺省取值,需要时也可直接采用。
本示例中路由器运各安全参数的缺省取值如下:安全协议为ESP协议,ESP协议采用SHA2-256认证算法,ESP协议采用AES-256加密算法,安全协议对数据的封装模式采用隧道模式。本示例将IPSec安全提议的认证算法修改为SHA1,修改加密算法为AES-128,其他均采用缺省值。
(4)配置IKE对等体,定义对等体间IKE协商时的属性
本示例假设采用IKEv1版本来配置IKE对等体,根据《基于ACL方式通过IKE协商建立IPSec隧道》所示的IKE对等体配置步骤配置两端对等体的认证密钥、对端IP地址(本端IP地址可不配置)、本端ID类型(两端配置的ID类型必须一致)、IKEv1协商模式等。
(5)配置安全策略,确定哪些数据流需要采用何种方法进行保护
本示例假设采用ISAKMP方式协商创建IPSec隧道,创建一个安全策略,然后在安全策略中引用前面定义的ACL、IPSec安全提议和IKE对等体,其他可选参数也全部采用缺省配置。
(6)在接口上应用安全策略
示例中分支机构和公司总部网关的WAN接口都有固定的公网IP地址,所以采用的是专线或者固定IP地址的光纤以太网方式接入Internet。所以,可直接在IPSec隧道端点设备的公网接口上应用已配置的安全策略组。
2. 具体配置步骤
下面按照前面所做的配置思路分析具体的配置方法。
前面介绍的配置思路的第(1)~(3)项配置任务与《基于ACL方式手工建立IPSec隧道》介绍的配置步骤中的第(1)~(3)的配置方法完全一样,不再赘述。下面仅介绍上述第(4)~(6)项配置任务。
第(4)项任务:分别在Router A和Router B上配置IKE对等体。
在Router A和Router B上配置IKE对等体,并根据IKE安全提议的缺省配置要求,配置预共享密钥(假设为huawei)和对端ID(缺省以IP地址方式进行标识)两端均采用缺省的主模式协商方式,采用缺省的以IP地址作为ID类型,均不配置本端IP地址,因为缺省情况下,路由选择到对端的出接口,将该出接口地址作为本端IP地址。
[Router A] ike peer spub #---配置对等体名称为spub
[Router A-ike-peer-spub] undo version 2 #---取消对IKEv2版本的支持
[Router A-ike-peer-spub] pre-shared-key simple huawei #---配置预共享密钥认证方法的共享密钥为huawei,两端的密钥必须一致
[Router A-ike-peer-spub] remote-address 202.138.162.1 #---配置对端IPSec端 点IP地址为202.138.162.1
[Router A-ike-peer-spub] quit
[Router B] ike peer spua
[Router B-ike-peer-spub] undo version 2
[Router B-ike-peer-spua] pre-shared-key simple huawei
[Router B-ike-peer-spua] remote-address 202.138.163.1
[Router B-ike-peer-spua] quit
此时分别在Router A和Router B上执行display ike peer,操作会显示所配置的信息,以下是在Router A上执行该命令的输出示例。
[Router A] display ike peer name spub verbose
----------------------------------
Peername :spub
Exchangemode :mainonphase1
Pre-shared-key :huawei
Local IDtype :IP
DPD :Disable
DPDmode :Periodic
DPDidletime :30
DPDretransmitinterval :15
DPDretrylimit :3
Hostname :
Peer Ipaddress :202.138.162.1
VPNname :
Local IPaddress :
Remotename :
Nat-traversal :Disable
Configured IKEversion :Versionone
PKIrealm :NULL
Inband OCSP :Disable
----------------------------------
第(5)项任务:分别在Router A和Router B上创建安全策略
本示例采用通过ISAKMP创建IKE动态协商方式的安全策略,只配置那些必选的配置步骤(包括指定引用的IPSec安全提议和ACL,指定对端对等体名称),可选的配置步骤均采用缺省配置。
[Router A] ipsec policy client 10 isakmp #---创建名为client,序号为10的安全策略
[Router A-ipsec-policy-isakmp-client-10] ike-peer spub #---指定对等体名称为 spub
[Router A-ipsec-policy-isakmp-client-10] proposal pro1 #---引用前面已创建的IPSec安全提议pro1
[Router A-ipsec-policy-isakmp-client-10] security acl 3100 #---引用前面已定义的用于指定需要保护数据流的ACL 3100
[Router A-ipsec-policy-isakmp-client-10] quit
[Router B] ipsec policy server 10 isakmp
[Router B-ipsec-policy-isakmp-server-10] ike-peer spua
[Router B-ipsec-policy-isakmp-server-10] proposal pro1
[Router B-ipsec-policy-isakmp-server-10] security acl 3100
[Router B-ipsec-policy-isakmp-server-10] quit
此时分别在Router A和Router B上执行display ipsec policy操作,会显示所配置的信息,以下是在Router A上执行该命令的输出示例。
[Router A] display ipsec policy name client
===========================================
IPSec policy group:“client”
Using interface:
===========================================
Sequencenumber:10 #---IPSec策略组序号为10
Securitydataflow:3100 #---引用ACL3100
Peername: spub #---对端对等体名称为spub
Perfect forward secrecy: None
Proposalname: pro1 #---IPSec安全提议名称为pro1
IPSec SAlocalduration(timebased):3600seconds #---以时间为基准的IPSec SA生存周期采用缺省的3600秒
IPSec SAlocalduration(trafficbased):1843200kilobytes #---以流量为基准的 IPSec SA生存周期采用缺省的180MB
Anti-replaywindowsize:32 #---抗重放窗口大小采用缺省的32位
SAtriggermode:Automatic #---IPSec SA协商采用缺省的自动触发模式
Routeinject:None #---采用缺省的不启用路由注入功能
Qospre-classify:Disable #---采用缺省的不启用对原始报文信息进行预提取功能
第(6)项任务:分别在Router A和Router B的接口(连接Internet的公网接口)上应用各自的安全策略组,使通过这些接口发送的兴趣流可以被IPSec保护。
[Router A] interface gigabitethernet 1/0/0
[Router A-Gigabit Ethernet1/0/0] ipsec policy client
[Router A-Gigabit Ethernet1/0/0] quit
[Router B] interface gigabitethernet 1/0/0
[Router B-Gigabit Ethernet1/0/0] ipsec policy server
[Router B-Gigabit Ethernet1/0/0] quit
3. 配置结果验证
配置成功后,在分支机构主机PC A执行ping操作可以ping通位于公司总部网络的主机PC B,但它们之间的数据传输是被加密的,执行命令display ipsec statistics esp可以查看数据包的统计信息。
在Router A上执行display ike sa操作,结果如下例所示。其中“Conn-ID”为SA标识符;“Peer”表示SA的对端IP地址,如果SA未建立成功,此项目内容显示为0.0.0.0(此处已正确显示对端IP地址,所以证明已成功建立SA);“RD”(READY)表示SA已建立成功,“ST”(STAYALIVE)表示本端是SA协商发起方不显示ST则表示本端为响应方;“Phase”列中的“1”或“2”分别代表该SA是第一阶段的IKA SA,还是第二阶段的IPSec SA。
[Router A] display ike sa
Conn-ID Peer VPN Flag(s) Phase
-----------------------------------------------
16 202.138.162.1 0 RD|ST v1:2
14 202.138.162.1 0 RD|ST v1:1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO-- TIMEOUT
分别在Router A和Router B上执行display ipsec sa操作,查看当前IPSec SA的相关 信息,以下是在Router A上执行该命令的输出示例。
[Router A] display ipsec sa
===============================
Interface:Gigabit Ethernet1/0/0 #---表示应用安全策略的接口
Path MTU: 1500
===============================
------------------
IPSec policy name:“client”
Sequencenumber :10
Acl Group :3100
Aclrule :5 #---匹配的ACL规则号为5
Mode :ISAKMP #---表示是通过IKE动态协商方式安全策略建立SA
------------------
Connection ID :16 #---这是IPSec SA标识符
Encapsulationmode:Tunnel #---采用隧道封装模式
Tunnellocal :202.138.163.1
Tunnelremote :202.138.162.1
Flowsource :10.1.1.0/0.0.0.2550/0 #---数据流的源地址段,最后两个0是 表示ACL协议号和端口号
Flowdestination :10.1.2.0/0.0.0.2550/0 #---数据流的目的地址段
Qospre-classify :Disable #---没启用报文信息预提取功能
[Outbound ESPSAs] #---以下部分是出方向ESPSA参数
SPI:1026037179(0x3d2815bb) #协商生成的SPI参数
Proposal:ESP-ENCRYPT-AES-18ESP-AUTH-SHA1 #---IPSec安全提议参数配置
SA remaining key duration (bytes/sec): 1887436800/3596
Maxsentsequence-number:5 #---当前发送的ESP报文的最大序列号为5
UDPencapsulationusedfor NATtraversal:N #---没启用NAT透传功能
[Inbound ESPSAs] #---以下部分是入方向ESPSA参数
SPI: 1593054859 (0x5ef4168b)
Proposal: ESP-ENCRYPT-AES-18 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 1887436800/3596
Maxreceivedsequence-number:4 #---当前接收的ESP报文的最大序列号为4
Anti-replaywindowsize:32 #---抗重放窗口大小为32位
UDP encapsulation used for NAT traversal: N
