IKE典型配置

Posted _季末

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IKE典型配置相关的知识,希望对你有一定的参考价值。

 声明: 本实验均在H3C模拟器上进行,实际以组网需求为准

 一、IKE野蛮模式及NAT穿越配置

      1.组网图

          

      2.组网需求

          RAT在NAT网关内侧,要求在RTA与RTB之间建立IPSec隧道,对Host_1所在子网10.138.0.0/16和

        Host_2所在子网10.139.0.0/16之间数据进行保护。具体要求如下:

  •        协商双方使用缺省的IKE提议
  •        协商方式为野蛮模式协商
  •        第一阶段协商的认证方法为预共享密钥认证

      3.配置步骤

          配置RTA

            //配置一条ACL,定义要保护10.138.0.0/16子网与10.139.0.0/16子网之间的数据流

            <RTA>sys

            [RTA]acl advanced 3001

            [RTA-acl-ipv4-adv-3001]rule 0 permit ip source 10.138.0.0 0.0.255.255 destination

           10.139.0.0 0.0.255.255

            [RTA-acl-ipv4-adv-3001]quit

            //创建并配置IPSec安全提议,采用安全协议为ESP,认证算法为3DES,加密算法为SHA1

            [RTA]ipsec transform-set tran_a

            [RTA-ipsec-transform-set-tran_a]protocol esp

            [RTA-ipsec-transform-set-tran_a]esp encryption-algorithm 3des-cbc

            [RTA-ipsec-transform-set-tran_a]esp authentication-algorithm sha1

            [RTA-ipsec-transform-set-tran_a]quit

            //创建并配置IKE keychain,名称为keychain_a,对端IP地址为2.2.2.1/24,使用预共享密钥为

          //明文201507079

            [RTA]ike keychain keychain_a

            [RTA-ike-keychain-keychain_a]pre-shared-key address 2.2.2.1 255.255.255.0 key

           simple 201507079

            [RTA-ike-keychain-keychain_a]quit

            //创建并配置IKE profile,名称为profile_a,引用IKE keychainkeychain_a,协商模式为野蛮

          //模式,匹配本端身份的规则为FQDN, 名称为www.rta.com,对端身份规则为IP地址2.2.2.1/24

            //FQDN是实体在网络中的唯一标识,由一个主机名和一个域名组成,形式为

          //hostname@domainname,参照match remote命令

            [RTA]ike profile profile_a

            [RTA-ike-profile-profile_a]keychain keychain_a

            [RTA-ike-profile-profile_a]exchange-mode aggressive

            [RTA-ike-profile-profile_a]local-identity fqdn www.rta.com

            [RTA-ike-profile-profile_a]match remote identity address 2.2.2.1 255.255.255.0

            [RTA-ike-profile-profile_a]quit

            //创建并配置一条IKE协商方式的安全策略,名称为policy_a,顺序号为1

            [RTA]ipsec policy policy_a 1 isakmp

            //对端地址为2.2.2.1

            [RTA-ipsec-policy-isakmp-policy_a-1]remote-address 2.2.2.1

            //引用安全提议为tran_a

            [RTA-ipsec-policy-isakmp-policy_a-1]transform-set tran_a

            //指定引用ACL 3001

            [RTA-ipsec-policy-isakmp-policy_a-1]security acl 3001

            //指定引用IKE profile为profile_a

            [RTA-ipsec-policy-isakmp-policy_a-1]ike-profile profile_a

            [RTA-ipsec-policy-isakmp-policy_a-1]quit

            //在接口g0/0上应用IPSec安全策略policy_a

            [RTA]int g0/0

            [RTA-GigabitEthernet0/0]ipsec apply policy policy_a

            [RTA-GigabitEthernet0/0]quit

            //配置到Host_2所在子网的静态路由

            [RTA]ip route-static 10.139.0.0 255.255.0.0 2.2.2.1

          RTB配置:

            //创建并配置IPSec安全提议,采用安全协议为ESP,加密算法为3des,认证算法为sha1  

            [RTB]ipsec transform-set tran_a

            [RTB-ipsec-transform-set-tran_a]protocol esp

            [RTB-ipsec-transform-set-tran_a]esp encryption-algorithm 3des-cbc

            [RTB-ipsec-transform-set-tran_a]esp authentication-algorithm sha1

            [RTB-ipsec-transform-set-tran_a]quit

            //创建并配置IKE keychain,名称为keychain_a,对端IP为1.1.2.1,预共享密钥为明文

          //201507079

            [RTB]ike keychain keychain_a 

            [RTB-ike-keychain-keychain_a]pre-shared-key address 1.1.2.1 255.255.255.0 key

          simple 201507079

            [RTB-ike-keychain-keychain_a]quit

            //创建并配置IKE profile,名称为profile_a

            [RTB]ike profile profile_a

            //指定引用IKE keychain为keychain_a

            [RTB-ike-profile-profile_a]keychain keychain_a

            //协商方式为野蛮模式

            [RTB-ike-profile-profile_a]exchange-mode aggressive

            //配置匹配对端身份的规则为FQDN,名称为www.rta.com

            [RTB-ike-profile-profile_a]match remote identity fqdn www.rta.com

            [RTB-ike-profile-profile_a]quit

            //创建并配置IKE协商方式IPSec安全策略模板,名称为temp_a,顺序号为1

            [RTB]ipsec policy-template temp_a 1

            //引用安全提议为tran_a

            [RTB-ipsec-policy-template-temp_a-1]transform-set tran_a

            //IPSec本端IP为2.2.2.1

            [RTB-ipsec-policy-template-temp_a-1]local-address 2.2.2.1

            //引用IKE profile为profile_a

            [RTB-ipsec-policy-template-temp_a-1]ike-profile profile_a

            [RTB-ipsec-policy-template-temp_a-1]quit

            //引用IPSec安全策略模板创建一条IKE协商方式的IPSec安全策略,名称为policy_a,顺序号为1

            [RTB]ipsec policy policy_a 1 isakmp template temp_a

            //在街口s1/0应用安全策略policy_a

            [RTB-Serial1/0]ipsec apply policy policy_a

            [RTB-Serial1/0]quit

            //配置Host_1所在子网的静态路由

            [RTB]ip route-static 10.138.0.0 255.255.0.0 1.1.2.1

          配置NAT:

            //配置一条ACL,允许子网10.138.0.0/16的数据流通过

            <NAT>sys

            [NAT]acl basic 2017

            [NAT-acl-ipv4-basic-2017]rule permit source 10.138.0.0 0.0.255.255

            //创建NAT地址池

            [NAT]nat address-group 0

            [NAT-address-group-0]address 1.1.1.3 1.1.1.5

            [NAT-address-group-0]quit

            //在接口s1/0上启用NAT

            [NAT]int s1/0

            [NAT-Serial1/0]nat outbound 2017 address-group 0

            [NAT-Serial1/0]quit

 

        4.验证配置

           子网10.138.0.0/16向子网10.139.0.0/16发送数据,触发IKE协商,查看RTA上IKE第一阶段协商

          成功后生产的IKE SA

            

          查看IKE第二阶段协商生成的IPSec SA

            

          查看NAT转换信息

            

    

    注: 

     在这里贴上Router设备所使用操作系统的版本:

      

    此设备为V7设备,即只需将IKE配置为野蛮模式即可穿越NAT,这也就解释了下图的框中的问题:

  (没有检测到NAT设备)

    PS:为了这个问题可是废了很大劲,所幸明白了为什么这里显示的是Not detected.。

      

 

 

     参考来源有:

       H3C网络学院系列教材 路由与交换技术 第一卷 (下册)

       H3C MSR 系列路由器 配置指导(V7)-6W103

       H3C模拟器实验之网络地址转换

以上是关于IKE典型配置的主要内容,如果未能解决你的问题,请参考以下文章

华为网络配置(IPSec)

IKE协议

[ipsec][crypto] ike/ipsec与tls的认证机制比较

玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用证书认证)

玩转华为ENSP模拟器系列 | 两个网关之间通过IKE方式协商IPSec VdPdNd隧道(采用预共享密钥认证)

CIsco路由器实现IPSec 虚拟专用网原理及配置详解