IPSec VPN的产生背景
企业分支之间经常有互联的需求,企业互联的方式很多,可以使用广域网专线或者Internet线路。
部分企业从成本和需求的考虑点出发会选择使用Internet进行互联 ,但是存在信息泄露等安全风险 ,因此保障数据在传输时不会被窃取或者被篡改成为了重点关注因素 。可以在各分支与总部之间建立IPSec隧道 ,通过将数据报文进行加密传输 ,达到保障企业安全互联的目的。
IPSec VPN点到点应用场景
点到点IPSec VPN也称为局域网到局域网IPSec VPN或网关到网关IPSec VPN ,主要用于两个网关之间建立IPSec隧道 ,从而实现局域网之间安全地互访。
点到点IPSec VPN两端网关必须提供固定的IP地址或固定的域名,通信双方都可以主动发起连接。
实验拓扑
实验配置1.配置接口ip,划分安全区域2.配置acl定义被保护的数据流
[fw1]acl 3000
[fw1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 des 192.168.2.0 0.
0.0.255
fw2同理
3.配置ike、ipsec安全提议(采用默认配置)
[fw1]ike proposal 10
[fw1]ipsec proposal 10
Fw2同理,
4.配置对等体
[fw1-ike-peer-a]ike-proposal 10
[fw1-ike-peer-a]pre-shared-key tke@123// 两端预共享密钥得一致
[fw1-ike-peer-a]remote-address 1.1.2.22
Fw2同理
5.配置ipsec策略
[fw1]ipsec policy ipsec1 10 isakmp
[fw1-ipsec-policy-isakmp-ipsec1-10]proposal 10
[fw1-ipsec-policy-isakmp-ipsec1-10]security acl 3000
[fw1-ipsec-policy-isakmp-ipsec1-10]ike-peer a//对端设备在设置对等体对端名称的的时候不要一样
[fw1-ipsec-policy-isakmp-ipsec1-10]q
6.在接口下应用ipsec策略
[fw1]int g 1/0/0
[fw1-GigabitEthernet1/0/0]ipsec policy ipsec1
7.配置安全策略
fw1:
security-policy
rule name t-u
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
destination-address 192.168.2.0 mask 255.255.255.0
action permit
rule name u-t
source-zone untrust
destination-zone trust
source-address 192.168.2.0 mask 255.255.255.0
destination-address 192.168.1.0 mask 255.255.255.0
action permit
rule name l-u
source-zone local
destination-zone untrust
source-address 1.1.1.11 mask 255.255.255.255
destination-address 1.1.2.22 mask 255.255.255.255
action permit
rule name u-l
source-zone untrust
destination-zone local
source-address 1.1.2.22 mask 255.255.255.255
action permit
fw2同理
8.配置路由
[r1]ip route-static 192.168.1.0 24 1.1.1.11
[r1]ip route-static 192.168.2.0 24 1.1.2.22
[fw1]ip route-static 1.1.2.0 24 1.1.1.1
[fw1]ip route-static 192.168.2.0 24 1.1.1.1
fw2同理
实验结果
使用pc1 ping pc2 可以通信
企业分支之间经常有互联的需求,企业互联的方式很多,可以使用广域网专线或者Internet线路。
部分企业从成本和需求的考虑点出发会选择使用Internet进行互联 ,但是存在信息泄露等安全风险 ,因此保障数据在传输时不会被窃取或者被篡改成为了重点关注因素 。可以在各分支与总部之间建立IPSec隧道 ,通过将数据报文进行加密传输 ,达到保障企业安全互联的目的。
IPSec VPN点到点应用场景
点到点IPSec VPN也称为局域网到局域网IPSec VPN或网关到网关IPSec VPN ,主要用于两个网关之间建立IPSec隧道 ,从而实现局域网之间安全地互访。
点到点IPSec VPN两端网关必须提供固定的IP地址或固定的域名,通信双方都可以主动发起连接。
实验拓扑
实验配置1.配置接口ip,划分安全区域2.配置acl定义被保护的数据流
[fw1]acl 3000
[fw1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 des 192.168.2.0 0.
0.0.255
fw2同理
3.配置ike、ipsec安全提议(采用默认配置)
[fw1]ike proposal 10
[fw1]ipsec proposal 10
Fw2同理,
4.配置对等体
[fw1-ike-peer-a]ike-proposal 10
[fw1-ike-peer-a]pre-shared-key tke@123// 两端预共享密钥得一致
[fw1-ike-peer-a]remote-address 1.1.2.22
Fw2同理
5.配置ipsec策略
[fw1]ipsec policy ipsec1 10 isakmp
[fw1-ipsec-policy-isakmp-ipsec1-10]proposal 10
[fw1-ipsec-policy-isakmp-ipsec1-10]security acl 3000
[fw1-ipsec-policy-isakmp-ipsec1-10]ike-peer a//对端设备在设置对等体对端名称的的时候不要一样
[fw1-ipsec-policy-isakmp-ipsec1-10]q
6.在接口下应用ipsec策略
[fw1]int g 1/0/0
[fw1-GigabitEthernet1/0/0]ipsec policy ipsec1
7.配置安全策略
fw1:
security-policy
rule name t-u
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
destination-address 192.168.2.0 mask 255.255.255.0
action permit
rule name u-t
source-zone untrust
destination-zone trust
source-address 192.168.2.0 mask 255.255.255.0
destination-address 192.168.1.0 mask 255.255.255.0
action permit
rule name l-u
source-zone local
destination-zone untrust
source-address 1.1.1.11 mask 255.255.255.255
destination-address 1.1.2.22 mask 255.255.255.255
action permit
rule name u-l
source-zone untrust
destination-zone local
source-address 1.1.2.22 mask 255.255.255.255
action permit
fw2同理
8.配置路由
[r1]ip route-static 192.168.1.0 24 1.1.1.11
[r1]ip route-static 192.168.2.0 24 1.1.2.22
[fw1]ip route-static 1.1.2.0 24 1.1.1.1
[fw1]ip route-static 192.168.2.0 24 1.1.1.1
fw2同理
实验结果
使用pc1 ping pc2 可以通信
