IPsec （主模式，野蛮模式）

主模式

客户需求：

R1 和 R3 上配置 IPsec VPN，使两端私网可以互相访问

#配置ip地址

[r1]inter g0/0
[r1-GigabitEthernet0/0]ip add 100.1.1.1 24
[r1-GigabitEthernet0/0]inter g0/1
[r1-GigabitEthernet0/1]ip add 1.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2

#创建高级ACL 3000 抓取允许源为1.1.1.0网段的访问2.2.2.0网段

[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule permit ip source1.1.1.0  0.0.0.255 destination2.2.2.0  0.0.0.255
[r1-acl-ipv4-adv-3000]qu
[r1]ikeproposal 1   //创建ikeproposal（提议） 名称为1
[r1-ike-proposal-1]qu  
[r1]ike keychain r1   //创建ike keychain密钥名称为r1
[r1-ike-keychain-r1]pre-shared-key address200.1.1.1 key simple 123  //配置预共享密钥
密码为123（两边密码要一致）
[r1]ike profile r1    //创建一个IKE profile （模板）名称为r1
//[r1-ike-profile-r1]exchange-mode aggressive(野蛮模式)/main（主模式）//设置使用模式，默认是主模式
[r1-ike-profile-r1]keychain r1    //配置采用预共享密钥认证时，所使用的keychain
[r1-ike-profile-r1]proposal 1     //配置IKE profile引用的IKE提议
[r1-ike-profile-r1]local-identity address100.1.1.1   //指定IPsec隧道的本端IP地址
[r1-ike-profile-r1]match remote identityaddress 200.1.1.1  //指定IPsec隧道的对端IP地址
[r1]ipsec transform-set tran1    //创建IPsec安全提议tran1
//#[r1-ipsec-transform-set-tran1]protocol esp/ah/ ah-esp  //指定所用协议，默认是esp
//#[r1-ipsec-transform-set-tran1]encapsulation-mode tunnel（隧道模式）/transport(传输模式)  默认使用隧道模式
[r1-ipsec-transform-set-tran1]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[r1-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc （两端认证和加密算法要一致）
[r1]ipsec policy r1 1 isakmp（自动）/manual(手动) 创建一条自动方式的IPsec安全策略，名称为r1，序列号为1
[r1-ipsec-policy-isakmp-r1-1]security acl3000  //指定引用acl3000
[r1-ipsec-policy-isakmp-r1-1]ike-profile r1       //引用ike模板r1
[r1-ipsec-policy-isakmp-r1-1]transform-settran1   //指定引用的IPsec安全提议为tran1
[r1-ipsec-policy-isakmp-r1-1]remote-address200.1.1.1   //指定IPsec隧道对端IP地址

[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr1  在出接口上应用IPsec安全策略r1

[r2]inter g0/0
[r2-GigabitEthernet0/0]ip add 100.1.1.2 24
[r2-GigabitEthernet0/0]inter g0/1
[r2-GigabitEthernet0/1]ip add 200.1.1.2 24

[r3]inter g0/0
[r3-GigabitEthernet0/0]ip add 200.1.1.1 24
[r3-GigabitEthernet0/0]inter g0/1
[r3-GigabitEthernet0/1]ip add 2.2.2.1 24
[r3]ip route-static 0.0.0.0 0 200.1.1.2

#创建高级acl 3000 抓取2.2.2.0 到1.1.1.0 网段的数据

[r3]acl advanced 3000
[r3-acl-ipv4-adv-3000]rule permit ip source2.2.2.0  0.0.0.255 destination1.1.1.0  0.0.0.255
[r3]ike proposal 1   //创建ike proposal （提议）名称为1
[r3-ike-proposal-1]qu
[r3]ike keychain r3  //创建ike keychain密钥为r3
[r3-ike-keychain-r3]pre-shared-key address100.1.1.1 key simple 123  //配置预共享密钥
密码为123（两边密码要一致）
[r3]ike profiler3               创建ike profile（模板） 名称为r3
[r3-ike-profile-r3]keychain r3    //配置采用预共享密钥认证时，所使用的keychain
[r3-ike-profile-r3]proposal 1     //配置IKE profile引用的IKE提议
[r3-ike-profile-r3]local-identity address200.1.1.1     //指定IPsec隧道的本端IP地址
[r3-ike-profile-r3]match remote identityaddress 100.1.1.1 //指定IPsec隧道的对端IP地址
[r3]ipsectransform-set tran1                    //创建IPsec安全提议tran1
[r3-ipsec-transform-set-tran1]espauthentication-algorithm md5   //配置ESP认证算法为MD5
[r3-ipsec-transform-set-tran1]espencryption-algorithm 3des-cbc  //配置ESP协议采用的加密算法为3des-cbc  （两端认证和加密算法要一致）
[r3]ipsec policy r3 1 isakmp //创建一条自动方式的IPsec安全策略，名称为r3，序列号为1
[r3-ipsec-policy-isakmp-r3-1]security acl3000     指定引用acl3000
[r3-ipsec-policy-isakmp-r3-1]ike-profile r3
[r3-ipsec-policy-isakmp-r3-1]transform-settran1     //指定引用的IPsec安全提议为tran1
[r3-ipsec-policy-isakmp-r3-1]remote-address100.1.1.1     //指定IPsec隧道对端IP地址
[r3]inter g0/0
[r3-GigabitEthernet0/0]ipsec apply policyr3   //在出接口上应用IPsec安全策略r3

私网之间可以互通

查看ike 的安全联盟 ipsec的安全联盟

重启ipsec进程

Reset ipsce sa

Reset ike sa

野蛮模式

客户需求：

WH,SH的公网地址不固定，由R2 dhcp动态分配

一端公网地址不固定，主模式不能用，所以只能用野蛮模式

实验步骤：

配置ip地址

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ip add 100.1.1.1 24
[BJ-GigabitEthernet0/0]inter g0/1
[BJ-GigabitEthernet0/1]ip add 192.168.1.124

[R2]inter g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]inter g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]inter g0/2
[R2-GigabitEthernet0/2]ip add 100.3.3.2 24

[SH]inter g0/1
[SH-GigabitEthernet0/1]ip add 192.168.2.124  

公网接口暂不配置

[WH]inter g0/1
[WH-GigabitEthernet0/1]ip add 192.168.3.124  

公网接口暂不配置

BJ上需要配置默认路由

[BJ]ip route-static 0.0.0.0 0 100.1.1.2

R2上配置DHCP，自动给SH WH分配公网地址，ip-pool 2代表给SH分配 3代表给WH分配

[R2]dhcp enable    //开启DHCP功能
[R2]dhcp server ip-pool 2   //创建地址池2
[R2-dhcp-pool-2]network 100.2.2.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-2]gateway-list 100.2.2.2        //配置分配网关（R2对应接口的地址）
[R2-dhcp-pool-2]qu
[R2]dhcp server ip-pool 3      //创建地址池3
[R2-dhcp-pool-3]network 100.3.3.0 mask255.255.255.0   //配置分配地址段
[R2-dhcp-pool-3]gateway-list 100.3.3.2       //配置分配网关（R2对应接口的地址）

在SH WH的公网接口开启自动获取

[SH]inter g0/0
[SH-GigabitEthernet0/0]ip add dhcp-alloc
[WH]inter g0/0
[WH-GigabitEthernet0/0]ip add dhcp-alloc

查看可以看到，SH WH连接公网的接口分配到了公网地址

此时查看SH WH的路由表，可以看到有一条优先级为70的默认路由，优先级为70的默认路由来自DHCP，下一跳是网关

野蛮模式，固定公网地址方不用配置acl抓取感兴趣流，由不固定方配置acl抓取感兴趣流，固定方收到不固定方的感兴趣流，会自动调换源目地址，自动生成感兴趣流

野蛮模式因为地址不固定，所以必须配置ike名称

[BJ]ike identity fqdn bj   //创建ike名称
[BJ]ike proposal 1    //创建ike提议1
[BJ-ike-proposal-1]qu
两个目标时，Ike keychain密钥串名称不用创建两个，可以在一个密钥串里，创建两个不同主机名的密码
[BJ]ike keychain fz  //创建密钥串 名称为fz
[BJ-ike-keychain-fz]pre-shared-key hostnamesh key simple 123456 //配置sh的预共享密码123456
[BJ-ike-keychain-fz]pre-shared-key hostnamewh key simple 654321 //配置wh的预共享密码654321

[BJ]ike profile sh   //创建ike模板sh
[BJ-ike-profile-sh]exchange-mode aggressive  //模式修改为野蛮模式
[BJ-ike-profile-sh]match remote identityfqdn sh  //指定IPsec隧道的对端主机名为sh
[BJ-ike-profile-sh]proposal 1      //配置引用的IKE提议
[BJ-ike-profile-sh]keychain fz     //配置引用的IKE预共享密钥
[BJ]ike profile wh     //创建ike模板wh
[BJ-ike-profile-wh]exchange-modeaggressive  //模式修改为野蛮模式
[BJ-ike-profile-wh]match remote identityfqdn wh  //指定IPsec隧道的对端主机名为wh
[BJ-ike-profile-wh]proposal 1       //配置引用的IKE提议
[BJ-ike-profile-wh]keychain fz     //配置引用的IKE预共享密钥

如果wh sh所用的安全提议transform-set相同，则只需创建一个安全提议，共同引用

[BJ]ipsec transform-set fz    //创建一个安全提议 名称为fz
[BJ-ipsec-transform-set-fz]espauthentication-algorithm md5  //配置ESP认证算法为MD5
[BJ-ipsec-transform-set-fz]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc

一个端口只能调用一个ipsec策略，所以需要创建ipsec策略模板，才能一个策略可以调用多个策略模板

创建sh的策略模板，并调用安全提议fz，IKE模板sh

[BJ]ipsec policy-template sh 1    //创建sh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz    //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profilesh    //调用sh的ike模板sh

创建wh的策略模板，并调用安全提议fz，IKE模板wh

[BJ]ipsec policy-template wh 1    //创建wh的ipsec策略模板1 
[BJ-ipsec-policy-template-sh-1]transform-setfz   //调用安全提议fz
[BJ-ipsec-policy-template-sh-1]ike-profile wh   //调用sh的ike模板sh

创建ipsec策略名称为fz 1号规则自动协商引用策略模板sh

[BJ]ipsec policy fz 1 isakmp template sh

创建ipsec策略名称为fz 2号规则自动协商引用策略模板wh

[BJ]ipsec policy fz 2 isakmp template wh

最后进入出接口，下发fz策略

[BJ]inter g0/0
[BJ-GigabitEthernet0/0]ipsec apply policyfz

SH路由器上配置高级acl，抓取2.0到1.0的感兴趣流

[SH]acl advanced 3000
[SH-acl-ipv4-adv-3000]rule permit ip source192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SH]ike proposal 1      //创建ike提议1
[SH-ike-proposal-1]qu 
[SH]ike identity fqdn sh     //创建ike名称
[SH]ike keychain bj   //创建密钥串 名称为bj
[SH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple 123456  //配置bj的预共享密码123456
[SH-ike-keychain-bj]qu

[SH]ike profile bj    //创建ike模板，名称bj
[SH-ike-profile-bj]exchange-mode aggressive  //修改模式为野蛮模式
[SH-ike-profile-bj]match remote identityfqdn bj  //指定IPsec隧道的对端主机名为bj
[SH-ike-profile-bj]proposal 1     //配置引用的IKE提议
[SH-ike-profile-bj]keychain bj   //配置引用的IKE预共享密钥

[SH]ipsectransform-set bj            //创建一个安全提议名称为bj
[SH-ipsec-transform-set-bj]espencryption-algorithm des-cbc  //配置ESP加密算法为des-cbc   
[SH-ipsec-transform-set-bj]espauthentication-algorithm md5 //配置ESP认证算法为MD5

[SH]ipsec policy bj 1 isakmp    创建ipsec策略名称为bj  1号规则自动协商
[SH-ipsec-policy-isakmp-bj-1]security acl3000     //指定引用acl3000
[SH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[SH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[SH-ipsec-policy-isakmp-bj-1]ike-profile bj     //指定引用IKE模板bj

出接口下发策略

[SH]inter g0/0
[SH-GigabitEthernet0/0]ipsec apply policybj

创建高级acl，抓取3.0到1.0的兴趣流

[WH]acl advanced 3000
[WH-acl-ipv4-adv-3000]rule permit ip source192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[WH]ike identity fqdn wh   //创建IKE名称wh
[WH]ike proposal 1      //创建IKE提议 1
[WH-ike-proposal-1]qu  
[WH]ike keychain bj    //创建密钥串 bj
[WH-ike-keychain-bj]pre-shared-key address100.1.1.1 key simple  654321  //配置bj的预共享密码654321

[WH]ike profile bj   //创建IKE模板
[WH-ike-profile-bj]exchange-mode aggressive   //修改模式为野蛮模式
[WH-ike-profile-bj]match remote identityfqdn bj   //指定IPsec隧道的对端主机名为bj
[WH-ike-profile-bj]keychain bj       //配置引用的IKE预共享密钥
[WH-ike-profile-bj]proposal 1    //配置引用的IKE提议

[WH]ipsec transform-set bj       //创建一个安全提议 名称为bj
[WH-ipsec-transform-set-bj]espauthentication-algorithm md5   //配置ESP认证算法为md5
[WH-ipsec-transform-set-bj]espencryption-algorithm des-cbc    //配置ESP加密算法为des-cbc     
[WH]ipsec policy bj 1 isakmp    //创建ipsec策略名称为bj  1号规则自动协商
[WH-ipsec-policy-isakmp-bj-1]security acl3000   //指定引用acl3000
[WH-ipsec-policy-isakmp-bj-1]remote-address100.1.1.1  //指定IPsec隧道对端IP地址
[WH-ipsec-policy-isakmp-bj-1]transform-setbj    //指定引用安全提议bj
[WH-ipsec-policy-isakmp-bj-1]ike-profile bj    //指定引用IKE模板bj

出接口下发bj策略

[WH]inter g0/0
[WH-GigabitEthernet0/0]ipsec apply policybj

配置完成，查看IKE安全联盟，IPsec安全联盟，建立成功

PC6 PC7可以访问PC5文章来源地址https://www.toymoban.com/news/detail-481847.html