华为VPN技术-ipsec VPN基础配置讲解

今天分享的是IPSEC VPN的基础配置讲解，这次分享仅指配置皮毛，无非就是如下的5大步骤，目的在于初学者尽快上手VPN配置，剩下的VPN深入分析，我会整理出一份更加详细的技术手册。

保证两个职场内的路由在运营商间通讯是可达的

定义需要保护的数据流

配置安全提议

创建ip-sec安全策略

在接口下调用ipsec-policy策略

ip-sec VPN-ip securit vpn

特点如下：

防窃听：机密性，加密传输。（防止中间人捕获）

防篡改：完整性，hash算法可以保证数据完整性。（防止中间人捕获后篡改数据。）

防冒充：真实性，密码认证。

传输质量又比GRE要好一点。

在实际的生产环境中，VPN的部署往往都是用带有VPN功能的设备来实施，为了节约成本往往都在防火墙设备上进行部署。

举例专业的VPN设备：

品牌为深信服

品牌为华为

USG（统一威胁网关）：众多模块集成在一起的非专业VPN 设备，也带有VPN功能。

官方文档中有很多配置的部署方案：可以下载来查阅。

IP sec VPN 配置实验

实验拓扑如下：

这张拓扑是我之前在做华为 GRE_VPN所采用的，只不过这次演示Ip-sec VPN.

建议路由设备使用AR2200以上，不要使用router，否则会造成后续测试拓扑意外关闭，造成不必要的麻烦。

具体配置如下

保证两个职场内的路由在运营商间通讯是可达的：模拟了运营商给公司的网络是可达畅通的。

定义需要保护的数据流：

因为只有图中两个职场的网络之间的交互信息被Ip-sec保护，去往其他目标的网络,比如去往QQ的网站的这些流量是不需要被定保护加密传输的。

这就需要在职场内的边界网关上来进行配置

在R5和R6上配置高级ACL：（过多的ACL讲解，前面已经分享过了，这里不在详细阐述）

使其相应的目标地址和源地址允许通过

[RYS-H]acl 3000

[RYS-H-acl-adv-3000]rule permit ip source 192.168.13.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

[RYS-I-acl-adv-3000]rule permitipsource192.168.0.00.0.0.255 destination 192.168.13.0 0.0.0.255

配置安全提议：（对数据加密和认证的一个方案）

作用在于两个职场根据对方的提议，来决定是建立互相信任的网络，其中安全提议包括：封装模式，安全协议，加密算法和验证算法，这次实验的采用的全部是缺省值参数。

这里，在R5和R6上配置安全提议的名字，R5为Huabin1，R6为ifc1

[RYS-H]ipsec proposal huabin1

其中，在IP-sec的安全提议中，不得不说Ip-sec这个VPN擅长了密码学的障眼之法，其中最具有代表的就是AH和ESP。

这里我举例ESP（ Specify the parameters of ESP protocol 封装安全载荷）

一种安全的算法，ESP比AH更加全面，具有验证和加密的功能。

我们可以仔细看下关于esp算法下的一些算法类型：

authentication-algorithm （认证算法）

encryption-algorithm （加密算法）

ESP算法类型简介

authentication-algorithm （认证算法） Specify the authentication algorithm of IPSec security protocol

其中包括如下的验证算法：这就是加密学的一些知识，我们可以大概看下两种算法所涉及的算法

encryption-algorithm （加密算法） Specify the encryption algorithm of IPSec security protocol

在安全提议配置中，Ip-sec还设计了两种封装模式：

[RYS-H-ipsec-proposal-huabin1]encapsulation-mode ?

明修栈道暗度陈仓---隧道模式tunnel

开门见山直来直往---传输模式transport

因为这里我们配置的双方的安全提议都是缺省值，所以我来查看下其中是什么样的缺省值：

[RYS-H]dis ipsec proposal name huabin1

从这里面我们可以看出：

封装模式为隧道模式

传输级别：esp-new

ESP的认证模式算法为md5-hamc-96

加密算法为des

创建ip-sec安全策略（这个步骤比较繁琐，重点描述）

这个步骤涉及到安全策略的全部参数要使用于VPN的加密算法之中去，这里面的参数包括加密，验证密钥，都需要用户手工的进行配置且手工进行刷新，还要指定之间的公网地址及安全联盟中标识符SPI（安全参数索引号------根据索引号找到相应的加密算法）.。

在生产环境中，如此繁琐的VPN配置都会在专业的VPN的web界面上去操作，大大简化了运维的工作量。

配置手工方式的ipsec-vpn

创建Ipsec-vpn 的策略名字及执行序号为1，配置方式并指定为手动方式：

[RYS-H]ipsec policy huabin 1 manual

接下来我要配置ipsec策略里的一些安全参数了

1>.调用刚才设置的ACL:

[RYS-H-ipsec-policy-manual-huabin-1]security acl 3000

2>.调用刚才定义的安全提议：

[RYS-H-ipsec-policy-manual-huabin-1]proposal huabin1

3>.指定隧道的源和目标地址：

在R5上指定用户数据发向公网数据的源地址

[RYS-H-ipsec-policy-manual-huabin-1]tunnel local 50.0.8.2

指定远端的目标地址：

[RYS-H-ipsec-policy-manual-huabin-1]tunnel remote 60.0.60.2

4>.配置2对安全索引的参数值（必须是一样的

这里面SPI要注意的是本端的inbound和远端的outbound和sa string-key的参数要一致！

SPI参数：

Inbound和outbound的参数值为：888888

[RYS-H-ipsec-policy-manual-huabin-1]sa spi inbound esp 888888

[RYS-H-ipsec-policy-manual-huabin-1]sa spi outbound esp 888888

String-key参数：

Inbound和outbound的参数值为：888888

[RYS-H-ipsec-policy-manual-huabin-1]sa string-key inbound esp simple 888888

[RYS-H-ipsec-policy-manual-huabin-1]sa string-key outbound esp simple 888888

别忘记检查下R5的ipsec策略里的配置：

检查正确后，同样的在R6上做如下配置。

在接口下调用ipsec-policy策略：

这里注意的是在边界网关路由设备的公网接口上来操作！

[RYS-H-GigabitEthernet0/0/1]ipsec policy huabin

这里的策略名字就是刚才我定义的ipsec 安全策略的名字。

同样也要在R6上做这样的配置：

[RYS-I-GigabitEthernet0/0/1]ipsec policy ifc

[RYS-I-GigabitEthernet0/0/1]

ipsec的配置就到此结束了。

在生产排故中，我们往往通过命令来检查ipsecVPN配置情况：

站在R5上ipsec安全策略的邻接摘要信息

[RYS-H]display ipsec policy brief

除了摘要信息之外，还可以查看明细的信息：

[RYS-H]display ipsec policy

这里面就可以看到调用的算法，接口，参数值

测试IpsecVPN是否配置成功：检查通讯

站在PC3上Ping 192.168.0.2 模拟从华彬职场到IFC职场间的私网地址是否可以通信。

最终配置测试成功，但是背后所涉及的技术点非常多，我们在模拟运营商网络，在其网络中并没有看到去往192.168.的网段的地址，全是通过ospf协议学习到的公网地址！那么他们是如何进行互相通信的呢？？

保持PC3和PC4的通讯，我站在R2上抓取数据报文：

这里面我们看到ESP（封装安全载荷）里的报文明知道是源地址和目标地址，但你却是看不到的，说明已经被加密了。

这个ESP的数据一旦到达R6时，就会被R6进行解封装。