MSR2600与WindowsPC配置IPsec

非得ipsec么，可以考虑sslvpn或L2TP ？

4.1 组网图

                                                                                                     图4-1 实验组网

实验组网如图4-1所示。手机连接wifi获取地址172.31.2.7，与网关设备172.31.0.1同网段，防火墙在网关上做NAT，手机与防火墙建立IPSec VPN。

4.2 背景需求

V7防火墙设备作为VPN总部，客户通过移动终端Phone拨入，中间跨越运营商NAT，客户拨入后可实现访问总部资源的需求。

4.3 实验设备和器材

本实验所需之主要设备器材如表4-1所示。

                                                                                               表4-1 实验设备和器材

4.4 实验过程

实验任务一：配置防火墙侧IPSec VPN

步骤一：准备工作

按照图4-1搭建实验环境，配置网关设备的接口地址和NAT功能。配置如下：

[Router]interface GigabitEtherne0/1

[Router-GigabitEthernet0/1]ip address 172.31.0.1 255.255.252.0

[Router-GigabitEthernet0/1]nat server protocol udp global 172.31.0.22 any inside 10.0.2.20 any

[Router-GigabitEthernet0/1]quit

[Router]interface GigabitEtherne0/2

[Router-GigabitEthernet0/2]ip address 10.0.2.10 255.255.255.0

[Router-GigabitEthernet0/2]quit

配置防火墙G1/0/2的接口地址为10.0.2.20/24，将接口加入安全域Untrust，并配置所需的安全策略。配置和显示信息如下：

[FW]interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2]ip address 10.0.2.20 255.255.255.0

[FW-GigabitEthernet1/0/2]quit

[FW]security-zone name trust

[FW-security-zone-Trust]import interface Ten-GigabitEthernet1/0/24

[FW-security-zone-Trust]quit

#配置安全策略为全通

[FW]security-policy ip

[FW-security-policy-ip]rule 1 name any

[FW-security-policy-ip-1-any]action pass

[FW-security-policy-ip]display this

#

security-policy ip

 rule 1 name any

  action pass

#

return

[FW-security-policy-ip]quit

#配置默认路由

[FW]ip route-static 0.0.0.0 0 10.0.2.10

AP配置略，手机能获取到地址即可。

步骤二：采用模板方式配置IPSec VPN

由于终端地址不固定，总部防火墙采用模板方式建立IPSec VPN。

配置domain的IKE认证/授权类型：

[FW]domain system

[FW-isp-system]authentication ike none

[FW-isp-system]authorization ike local

配置为移动终端分配IPv4地址的IKE本地地址池，从而使得企业分支客户端使用由企业中心网关统一分配的IP地址作为私网地址来进行通信，配置如下：

[FW]ike address-group ikepool 2.2.2.2 2.2.2.10 255.255.255.255

创建本地用户并指定用户类型为IKE，并授权IKE地址池：

[FW]local-user user1 class network

[FW-luser-network-user1]password simple 654321

[FW-luser-network-user1]service-type ike

[FW-luser-network-user1]authorization-attribute ip-pool ikepool

配置IKE提议：

[FW]ike proposal 1

[FW-ike-proposal-1]dh group2

[FW-ike-proposal-1]quit

配置IKE keychain：

[FW]ike keychain 1

[FW-ike-keychain-1]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456

[FW-ike-keychain-1]quit

配置IKE策略：

[FW]ike profile 1

[FW-ike-profile-1]proposal 1

[FW-ike-profile-1]keychain 1

[FW-ike-profile-1]match remote identity address 0.0.0.0 0.0.0.0

#开启对客户端的认证，指定为xauth认证类型

[FW-ike-profile-1]client-authentication xauth

[FW-ike-profile-1]aaa authorization domain system username user1

[FW-ike-profile-1]quit

配置IPSec安全提议：

[FW]ipsec transform-set 1

[FW-ipsec-transform-set-1]esp encryption-algorithm aes-cbc-256

[FW-ipsec-transform-set-1]esp authentication-algorithm sha1

[FW-ipsec-transform-set-1]quit

创建一个IPSec安全策略模板，引用安全提议和IKE策略：

[FW]ipsec policy-template 1 10

[FW-ipsec-policy-template-1-10]transform-set 1

[FW-ipsec-policy-template-1-10]ike-profile 1

[FW-ipsec-policy-template-1-10]quit

引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略：

[FW]ipsec policy 1 10 isakmp template 1

在接口G1/0/2下应用IPSec安全策略：

[FW]interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] ipsec apply policy 1

实验任务二：配置手机侧IPSec拨入（IOS系统）

步骤一：IOS系统配置

添加VPN配置，选择类型为IPSec，配置服务器为防火墙NAT后地址“172.31.0.22”，账户user1，密码654321，与防火墙上创建的IKE本地用户保持一致。

其中密钥为防火墙上配置的预共享密钥123456。

                                                                                            图4-2 IOS系统VPN配置

步骤二：验证配置

点击连接VPN，VPN状态显示已连接，查看VPN详情如图所示，其中“地址”就是从防火墙上配置的IKE地址中自动获取的。

                                                                                        图4-3 IOS系统VPN详细情况

在防火墙上可查看隧道状态正常，安全策略采用的协商方式为模板方式，对端受保护数据流的IP地址为2.2.2.2/32。

<FW>display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/2

-------------------------------

  -----------------------------

  IPsec policy: 1

  Sequence number: 10

  Mode: Template

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Path MTU: 1420

    Tunnel:

        local  address: 10.0.2.20

        remote address: 172.31.2.7

    Flow:

        sour addr: 0.0.0.0/0.0.0.0  port: 0  protocol: ip

        dest addr: 2.2.2.2/255.255.255.255  port: 0  protocol: ip

    [Inbound ESP SAs]

      SPI: 2652109651 (0x9e13fb53)

      Connection ID: 21474836481

      Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843173/3384

      Max received sequence-number: 347

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: Y

      Status: Active

    [Outbound ESP SAs]

      SPI: 246464222 (0x0eb0bede)

      Connection ID: 21474836480

      Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3384

      Max sent sequence-number: 0

      UDP encapsulation used for NAT traversal: Y

      Status: Active

在防火墙上创建一个loopback接口，配置接口地址为2.2.2.22/32。从手机侧ping这个地址，可以ping通。

                                                                                      图4-4 IOS系统VPN测试连通性

实验任务三：配置手机侧IPSec拨入（Android系统）

步骤一：Android系统配置

添加VPN网络，选择“IPSec Xauth PSK”。配置服务器地址为防火墙NAT后地址“172.31.0.22”，用户名user1，密码654321，IPSec预共享密钥123456。

                                                                                        图4-5 Android系统VPN配置

步骤二：验证配置

点击连接VPN，VPN状态为已连接，说明IPSec VPN建立成功。如图4-6所示：

                                                                                    图4-6 Android系统VPN连接状态

在防火墙上可查看隧道状态正常，安全策略采用的协商方式为模板方式，对端受保护数据流的IP地址为2.2.2.2/32。

<FW>display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/2

-------------------------------

  -----------------------------

  IPsec policy: 1

  Sequence number: 10

  Mode: Template

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Path MTU: 1420

    Tunnel:

        local  address: 10.0.2.20

        remote address: 172.31.2.7

    Flow:

        sour addr: 0.0.0.0/0.0.0.0  port: 0  protocol: ip

        dest addr: 2.2.2.2/255.255.255.255  port: 0  protocol: ip

    [Inbound ESP SAs]

      SPI: 4040720768 (0xf0d88180)

      Connection ID: 30064771072

      Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3591

      Max received sequence-number: 8

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: Y

      Status: Active

    [Outbound ESP SAs]

      SPI: 9696822 (0x0093f636)

      Connection ID: 38654705665

      Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3591

      Max sent sequence-number: 0

      UDP encapsulation used for NAT traversal: Y

      Status: Active

在防火墙上创建一个loopback接口，配置接口地址为2.2.2.22/32。从手机侧ping这个地址，可以ping通。

                                                                                  图4-7 Android系统VPN测试连通性