HCIE-Security Day29：IPSec：实验(四）总部与分支机构之间建立IPSec PN（采用策略模板方式，总部采用固定IP）-HQY 一个和谐有爱的空间

14

2023
12
16:20:42

HCIE-Security Day29：IPSec：实验(四）总部与分支机构之间建立IPSec PN（采用策略模板方式，总部采用固定IP）

采用策略模板方式ipsec安全策略可以简化多条ipsec隧道建立时的配置工作量。适用于对端ip地址不固定，比如dhcp或者pppoe，一般用于总部的配置。

建立时，未定义的可选参数由发起方来决定，响应方会接受发起方的建议，本端配置了策略模板方式ipsec安全策略时不能发起协商，只能作为协商响应方接受对端的协商请求。（比如ike peer中定义的隧道对端ip地址）

只能有一方是配置策略模板，另一方必须配置isakmp方式的ipsec安全策略。

需求和拓扑

企业分为总部(HQ)和两个分支机构（Branch 1和Branch 2）。组网如下：

分支机构1和分支机构2分别通过FW_B和FW_C与Internet相连。
FW_A和FW_B、FW_A和FW_C相互路由可达。
总部FW_A和分支FW_B为固定公网地址，FW_C为动态公网IP地址。

要求实现如下需求：

分支机构PC2、PC3能与总部PC1之间进行安全通信。
FW_A、FW_B以及FW_A、FW_C之间分别建立IPSec隧道。FW_B、FW_C不直接建立任何IPSec连接。

//首先全局开启dhcp
dhcp enable
//其次接口开启dhcp server
interface g0/0/2
dhcp select interface

4.2、f3公网接口开启ip地址基于dhcp 获取

interface g1/0/1
ip address dhcp-alloc

4.3、检查一下接口地址是否获取到

//f3
disaplay ip interface brief

5、配置ipsec

5.1、配置感兴趣流

//f1
acl number 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3001
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
//f2
acl number 3000
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
//f3
acl number 3000
 rule 5 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

5.2、配置ipsec安全提议

//f1f2f3
ipsec proposal tran1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

5.3、配置ike安全提议

//f1f2f3
ike proposal 10
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256

5.4、配置ike peer

//f1
ike peer b
 pre-shared-key Test!1234
 ike-proposal 10
 remote-address 1.1.5.1
ike peer c
 pre-shared-key Test!1234
 ike-proposal 10
//因为f3的公网接口是dhcp获取的，所以可能是变化的，而且也是不可预测的。所以不配置remote-address

//f2f3
ike peer a
 pre-shared-key Test!1234
 ike-proposal 10
 remote-address 1.1.3.1

5.5、配置ipsec策略

//f1
ipsec policy map1 10 isakmp
 security acl 3000
 ike-peer b
 proposal tran1
暂时只配置到f2的ipsec policy

//f2f3
ipsec policy map1 10 isakmp
 security acl 3000
 ike-peer a
 proposal tran1
f2f3的配置没有变化

5.6、配置ipsec 安全策略模板(和ipsec policy 的配置思路是一样的）

创建的IPSec策略模板的名称不能与设备上已存在的IPSec安全策略名称相同。

PSec安全策略模板用于定义IPSec协商需要的各种参数，模板中有些参数可以不定义，未定义的可选参数由发起方来决定，而响应方会接受发起方的建议。

通过引用IPSec安全策略模板创建的IPSec安全策略称为策略模板方式IPSec安全策略。配置了策略模板方式IPSec安全策略的一端不能主动发起协商，只能作为协商响应方接受对端的协商请求。

配置策略模板方式IPSec安全策略可以简化多条IPSec隧道建立时的配置工作量。同时可满足特定的场景，如对端的IP地址不固定或预先未知的情况（例如对端是通过PPPoE拨号获得的IP地址）下，允许这些对端设备向本端设备主动发起协商。

与ISAKMP方式不同的是，用于定义数据流保护范围的ACL在这种方式下是可选的，该参数在未配置的情况下，相当于支持最大范围的保护，即接受协商发起方的ACL配置。

//f1
ipsec policy-template map_temp 1
 security acl 3001
 ike-peer c
 proposal tran1

5.7、关键一步：在ipsec策略组map1的序号为20的安全策略中引用ipsec策略模板map_temp

引用的策略模板的名称不能与IPSec安全策略名称相同。

一个IPSec安全策略组只能有一条IPSec安全策略引用策略模板，且该策略的序号推荐比其它策略的序号大，即同一个IPSec安全策略组中策略模板方式IPSec安全策略的优先级必须最低，否则可能导致其它IPSec安全策略不生效。

//f1
ipsec policy map1 20 isakmp template map_temp

5.8、接口应用ipsec 策略组map1

//f1f2f3
interface GigabitEthernet1/0/1
 ipsec policy map1

验证和分析

1、配置完成后，r1和r3之间可以互访，不区分先后，但是r1和r5间的互访必须首先由r5发起，引导建立ipsec sa。建立后的互访不区分先后。r3和r5之间依然不能互访。

[f1]dis ike sa
2022-03-20 12:30:53.570 

IKE SA information :
 Conn-ID    Peer    VPN              Flag(s)        Phase  RemoteType  RemoteID        
--------------------------------------------------------------------------------

 21         1.1.6.254:500            RD|A          v2:2   IP          1.1.6.254       
 20         1.1.6.254:500            RD|A          v2:1   IP          1.1.6.254       
 18         1.1.5.1:500              RD|A          v2:2   IP          1.1.5.1         
 1          1.1.5.1:500              RD|ST|A       v2:1   IP          1.1.5.1         

  Number of IKE SA : 4
--------------------------------------------------------------------------------

分支f2和f3上分别只有一对ike sa

<f3>dis ike sa
2022-03-20 12:32:30.520 

IKE SA information :
 Conn-ID    Peer     VPN              Flag(s)  Phase  RemoteType  RemoteID        
--------------------------------------------------------------------------------
 12         1.1.3.1:500              RD|ST|A   v2:2   IP          1.1.3.1         
 11         1.1.3.1:500              RD|ST|A   v2:1   IP          1.1.3.1         

  Number of IKE SA : 2
--------------------------------------------------------------------------------

3、在f1上可以看到两对双向ipsec sa

[f1]dis ipsec sa brief 
2022-03-20 12:34:19.950 

IPSec SA information:
   Src address  Dst address    SPI    VPN       Protocol              Algorithm
 -------------------------------------------------------------------------------

   1.1.3.1         1.1.5.1     192002371           ESP           E:AES-256 A:SHA2_256_128
   1.1.5.1         1.1.3.1     192251358           ESP           E:AES-256 A:SHA2_256_128
   1.1.6.254       1.1.3.1     200642916           ESP           E:AES-256 A:SHA2_256_128
   1.1.3.1         1.1.6.254   193659331           ESP           E:AES-256 A:SHA2_256_128

  Number of IPSec SA : 4
 ---------------------------------------

分支f2和f3上分别只有一对ipsec sa

<f3>dis ipsec sa brief 
2022-03-20 12:37:44.140 

IPSec SA information:
   Src address   Dst address     SPI     Protocol     Algorithm
 -------------------------------------------------------------------------------
   1.1.6.254     1.1.3.1        200642916  ESP        E:AES-256 A:SHA2_256_128
   1.1.3.1       1.1.6.254      193659331  ESP        E:AES-256 A:SHA2_256_128

  Number of IPSec SA : 2
 --------------------------------------

推荐本站淘宝优惠价购买喜欢的宝贝: