HCIE-Security Day29:IPSec:实验(四)总部与分支机构之间建立IPSec PN(采用策略模板方式,总部采用固定IP)
推荐点击下面图片,通过本站淘宝优惠价购买:
采用策略模板方式ipsec安全策略可以简化多条ipsec隧道建立时的配置工作量。适用于对端ip地址不固定,比如dhcp或者pppoe,一般用于总部的配置。
建立时,未定义的可选参数由发起方来决定,响应方会接受发起方的建议,本端配置了策略模板方式ipsec安全策略时不能发起协商,只能作为协商响应方接受对端的协商请求。(比如ike peer中定义的隧道对端ip地址)
只能有一方是配置策略模板,另一方必须配置isakmp方式的ipsec安全策略。
需求和拓扑
企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。组网如下:
分支机构1和分支机构2分别通过FW_B和FW_C与Internet相连。
FW_A和FW_B、FW_A和FW_C相互路由可达。
总部FW_A和分支FW_B为固定公网地址,FW_C为动态公网IP地址。
要求实现如下需求:
//首先全局开启dhcp
dhcp enable
//其次接口开启dhcp server
interface g0/0/2
dhcp select interface
4.2、f3公网接口开启ip地址基于dhcp 获取
interface g1/0/1
ip address dhcp-alloc
4.3、检查一下接口地址是否获取到
//f3
disaplay ip interface brief
5、配置ipsec
5.1、配置感兴趣流
//f1
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
//f2
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
//f3
acl number 3000
rule 5 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
5.2、配置ipsec安全提议
//f1f2f3
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
5.3、配置ike安全提议
//f1f2f3
ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
5.4、配置ike peer
//f1
ike peer b
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.5.1
ike peer c
pre-shared-key Test!1234
ike-proposal 10
//因为f3的公网接口是dhcp获取的,所以可能是变化的,而且也是不可预测的。所以不配置remote-address
//f2f3
ike peer a
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.3.1
5.5、配置ipsec策略
//f1
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal tran1
暂时只配置到f2的ipsec policy
//f2f3
ipsec policy map1 10 isakmp
security acl 3000
ike-peer a
proposal tran1
f2f3的配置没有变化
5.6、配置ipsec 安全策略模板(和ipsec policy 的配置思路是一样的)
创建的IPSec策略模板的名称不能与设备上已存在的IPSec安全策略名称相同。
PSec安全策略模板用于定义IPSec协商需要的各种参数,模板中有些参数可以不定义,未定义的可选参数由发起方来决定,而响应方会接受发起方的建议。
通过引用IPSec安全策略模板创建的IPSec安全策略称为策略模板方式IPSec安全策略。配置了策略模板方式IPSec安全策略的一端不能主动发起协商,只能作为协商响应方接受对端的协商请求。
配置策略模板方式IPSec安全策略可以简化多条IPSec隧道建立时的配置工作量。同时可满足特定的场景,如对端的IP地址不固定或预先未知的情况(例如对端是通过PPPoE拨号获得的IP地址)下,允许这些对端设备向本端设备主动发起协商。
与ISAKMP方式不同的是,用于定义数据流保护范围的ACL在这种方式下是可选的,该参数在未配置的情况下,相当于支持最大范围的保护,即接受协商发起方的ACL配置。
//f1
ipsec policy-template map_temp 1
security acl 3001
ike-peer c
proposal tran1
5.7、关键一步:在ipsec策略组map1的序号为20的安全策略中引用ipsec策略模板map_temp
引用的策略模板的名称不能与IPSec安全策略名称相同。
一个IPSec安全策略组只能有一条IPSec安全策略引用策略模板,且该策略的序号推荐比其它策略的序号大,即同一个IPSec安全策略组中策略模板方式IPSec安全策略的优先级必须最低,否则可能导致其它IPSec安全策略不生效。
//f1
ipsec policy map1 20 isakmp template map_temp
5.8、接口应用ipsec 策略组map1
//f1f2f3
interface GigabitEthernet1/0/1
ipsec policy map1
验证和分析
1、配置完成后,r1和r3之间可以互访,不区分先后,但是r1和r5间的互访必须首先由r5发起,引导建立ipsec sa。建立后的互访不区分先后。r3和r5之间依然不能互访。
[f1]dis ike sa
2022-03-20 12:30:53.570
IKE SA information :
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------
21 1.1.6.254:500 RD|A v2:2 IP 1.1.6.254
20 1.1.6.254:500 RD|A v2:1 IP 1.1.6.254
18 1.1.5.1:500 RD|A v2:2 IP 1.1.5.1
1 1.1.5.1:500 RD|ST|A v2:1 IP 1.1.5.1
Number of IKE SA : 4
--------------------------------------------------------------------------------
