[思科实验] IPSEC对接——采用IKEv1野蛮模式
image
拓扑图
image
规格
适用于所有版本、所有形态的路由器。
image
组网需求
如图1所示,RouterA为企业分支网关,RouterB为企业总部网关(思科路由器),分支与总部通过公网建立通信。
企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。由于分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实现该需求。
image
操作步骤
- 配置RouterA
<pre class="code-snippet__js" data-lang="properties" style="margin: 0px; padding: 1em 1em 1em 0px; max-width: 1000%; box-sizing: border-box !important; word-wrap: break-word !important; overflow-x: auto; white-space: normal; -webkit-box-flex: 1; flex: 1 1 0%;">#``sysname RouterA //配置设备名称``#``ipsec authentication sha2 compatible enable``#``ike local-name huawei``#``acl number 3000 //指定被保护的数据流,分支子网访问总部子网的流量``rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255``#``ipsec proposal prop1 //配置IPSec安全提议``esp authentication-algorithm sha2-256``esp encryption-algorithm aes-128``#``ike proposal 1 //配置IKE安全提议``encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128``dh group14``authentication-algorithm sha2-256``#``ike peer peer1 v1 //配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ];V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },缺省情况下,对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议,则可以执行命令undo version 2``exchange-mode aggressive //使用野蛮模式``pre-shared-key cipher %#%#@W4p8i~Mm5sn;9Xc&U#(cJC;.CE|qCD#jAH&/#nR%#%# //配置预共享密钥为huawei@1234``ike-proposal 1``local-id-type name //配置IKE协商时本端的ID类型。V200R008及之后的版本,name参数修改为fqdn``remote-name RouterB //配置对端IKE peer名称。V200R008及之后的版本,设备不支持命令remote-name,其命令功能等同于命令remote-id``remote-address 60.1.2.1``#``ipsec policy policy1 10 isakmp //配置IPSec安全策略``security acl 3000 ike-peer peer1``proposal prop1``#``interface GigabitEthernet0/0/1``ip address 60.1.1.1 255.255.255.0``ipsec policy policy1 //在接口上应用安全策略``#``interface GigabitEthernet0/0/2``ip address 10.1.1.1 255.255.255.0``#``ip route-static 0.0.0.0 0.0.0.0 60.1.1.2 //配置静态路由,保证两端路由可达``#``return</pre>
2.配置RouterB
<pre class="code-snippet__js" data-lang="properties" style="margin: 0px; padding: 1em 1em 1em 0px; max-width: 1000%; box-sizing: border-box !important; word-wrap: break-word !important; overflow-x: auto; white-space: normal; -webkit-box-flex: 1; flex: 1 1 0%;">!``hostname RouterB //配置设备名称``!``crypto isakmp policy 1``encryption aes 128``hash sha256``authentication pre-share``group 14``crypto isakmp key huawei@1234 hostname huawei //配置预共享密钥为huawei@1234``!``crypto isakmp identity hostname //指定IKE协商时本端ID类型为名称形式``!``crypto ipsec transform-set p1 esp-sha256-hmac esp-aes 128 //配置IPSec采用的安全算法``!``crypto map p1 1 ipsec-isakmp //配置IPSec安全策略``set peer 60.1.1.1``set transform-set p1``match address 102``!``!``interface GigabitEthernet0/0``ip address 60.1.2.1 255.255.255.0``duplex auto``speed auto``crypto map p1 //在接口上应用安全策略``!``interface GigabitEthernet0/1``ip address 10.1.2.1 255.255.255.0``duplex auto``speed auto``!``!``ip route 0.0.0.0 0.0.0.0 60.1.2.2 //配置静态路由,保证两端路由可达``!``access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流,总部子网访问分支子网的流量``!``end</pre>
image
验证配置结果
配置成功后,在PC A上执行ping操作仍然可以ping通PC B。# 在RouterA上执行display ike sa和display ipsec sa命令,在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的信息。# 在RouterA上执行命令display ipsec statistics可以查看数据包的统计信息。
image
配置注意事项
本示例提供的思科设备的命令为建议配置,产品版本为
“Cisco IOS Software,C3900e Software (C3900e-UNIVERSALK9-M),Version 15.2(4)M1, RELEASE SOFTWARE (fc1)”,详细信息请访问http://www.cisco.com/cisco/web/support网站参见思科手册。
MD5、SHA-1、DES和3DES算法存在安全隐患,请谨慎使用。
思科路由器采用野蛮模式作为IPSec发起方时,其需在野蛮模式下配置本端ID和预共享密钥。具体配置如下举例所示。
crypto isakmp peer ip-address 60.1.1.1 //配置IKE协商时的对端IP地址
set aggressive-mode client-endpoint fqdn huawei //配置IKE协商时的本端ID
set aggressive-mode password huawei@1234 //配置预共享密钥
