4  IKE主模式及预共享密钥认证配置举例

4.1  组网需求

如图14所示，Router A为企业总部网关，Router B为企业分支网关，Router A和Router B的外网接口模式均为单WAN模式，且以固定地址方式连接Internet。分支与总部通过公网建立通信。

出于安全因素，需要对企业分支与总部之间相互访问的数据流进行安全保护，因此需要在Router A和Router B之间建立一条IPsec隧道。具体要求如下：

·     两端通过预共享密钥（123456TESTplat&!）进行认证。

·     IKE协商采用的加密算法为3DES-CBC，认证算法为MD5。

·     IPsec隧道的封装模式为隧道模式，安全协议为ESP。

图1 IKE主模式及预共享密钥认证典型配置组网图

4.2  配置思路

采用如下的配置思路：

(1)     完成WAN和LAN的基本配置

a.     配置Router A和Router B的WAN接口IP地址和网关地址等参数。

b.     修改Router A和Router B的VLAN1接口缺省IP地址。

(2)     添加IPsec策略

由于Router A和Router B的WAN接口均以固定公网IP地址连接Internet，因此IPsec策略中的IKE协商模式选择主模式。

4.3  配置注意事项

·     修改VLAN1接口的IP地址后，会导致Web管理界面登录异常，需要使用修改后的IP地址重新登录Web管理界面，才能进行接下来的配置。

·     若您的组网是双WAN或多WAN接入时，需要在Router上需配置一条静态路由，将访问对端内网的流量指向IPsec策略中所选用的WAN接口。本例中Router A和Router B均为单WAN接入，设备自动生成一条缺省路由，将所有流量指向出接口的网关，所以本例中该步骤可省略。

·     IPsec隧道两端设备的预共享密钥、安全协议、加密/认证算法以及封装模式需保持一致。

4.4  配置步骤

4.4.1  配置Router A

1. 修改VLAN1接口的IP地址

# 将VLAN1接口的IP地址修改为10.1.1.1/24。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > LAN配置”，进入LAN配置页面。

(2)     单击“LAN配置”页签，进入LAN配置页面。

(3)     单击VLAN1对应的操作列编辑图标，进入修改LAN配置页面。

(4)     在“接口IP地址”配置项处，输入10.1.1.1。

(5)     在“子网掩码”配置项处，输入255.255.255.0。

(6)     其它配置项均保持默认情况即可，单击<应用>按钮保存配置。

图2 修改LAN配置

2. 配置WAN0接口连接Internet

# 本例中Router A外网的接口模式选择单WAN模式，WAN接口的连接模式为固定地址。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > 外网配置”，进入外网配置页面。

(2)     在“场景定义”页签下选择单WAN场景，选择线路1为WAN0，单击<应用>按钮使得配置生效。

(3)     单击“WAN配置”页签，进入WAN配置页面。

(4)     单击WAN0对应的操作列编辑图标，进入修改WAN配置页面。

(5)     在“连接模式”配置项处，选择固定地址。

(6)     在“IP地址”配置相处，输入2.2.2.1。

(7)     在“子网掩码”配置项处，输入255.255.255.0。

(8)     在“网关地址”配置项处，输入2.2.2.254。

(9)     其它配置项均保持默认情况即可，单击<应用>按钮保存配置。

图3 配置WAN场景

图4 修改WAN配置

3. 配置IPsec策略

# Router A的IPsec策略中的组网方式选择中心节点，IKE协商模式选择主模式。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“虚拟专网（VPN） > IPsec VPN”，进入IPsec策略配置页面。

(2)     单击<添加>按钮，进入添加IPsec策略页面，配置如下参数：

¡     名称：输入map1

¡     接口：选择WAN0

¡     组网方式：选择中心节点

¡     预共享密钥：输入123456TESTplat&!

图5 配置IPsec策略

(3)     单击<显示高级配置>按钮，进入IKE配置页面，配置如下参数：

¡     协商模式：选择主模式

¡     本端身份类型：选择IP地址，输入2.2.2.1

¡     对等体存活检测（DPD）：选择开启，超时时间配置为30（该功能缺省是关闭状态，建议您开启此功能，使设备能够及时获悉IPsec隧道的可用情况）

¡     算法组合：选择自定义

¡     认证算法：选择MD5

¡     加密算法：选择3DES-CBC

¡     其它参数保持缺省配置即可。

图6 IKE配置

(4)     单击“IPsec配置”页签，进入IPsec配置页面，配置如下参数：

¡     算法组合：选择自定义

¡     安全协议：选择ESP

¡     ESP认证算法：选择MD5

¡     ESP加密算法：选择3DES-CBC

¡     封装模式：选择隧道模式

¡     其它参数保持缺省配置即可

(5)     单击<返回基本设置>按钮，再单击<应用>按钮，完成配置。

图7 IPsec配置

4.4.2  配置Router B

1. 修改VLAN1接口的IP地址

# 将VLAN1接口的IP地址修改为10.1.2.1/24。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > LAN配置”，进入LAN配置页面。

(2)     单击“LAN配置”页签，进入LAN配置页面。

(3)     单击VLAN1对应的操作列编辑图标，进入修改LAN配置页面。

(4)     在“接口IP地址”配置项处，输入10.1.2.1。

(5)     在“子网掩码”配置项处，输入255.255.255.0。

(6)     其它配置项均保持默认配置即可，单击<应用>按钮保存配置。

图8 修改LAN配置

2. 配置WAN3接口连接Internet

# 本例中Router B外网的接口模式选择单WAN模式，WAN接口的连接模式为固定地址。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > 外网配置”，进入外网配置页面。

(2)     在“场景定义”页签下选择单WAN场景，线路1选择WAN3，单击<应用>按钮使得配置生效。

(3)     单击“WAN配置”页签，进入WAN配置页面。

(4)     单击WAN3对应的操作列编辑图标，进入修改WAN配置页面。

(5)     在“连接模式”配置项处，选择固定地址。

(6)     在“IP地址”配置相处，输入2.2.3.1。

(7)     在“子网掩码”配置项处，输入255.255.255.0。

(8)     在“网关地址”配置项处，输入2.2.3.254。

(9)     其它配置项均保持默认情况即可，单击<应用>按钮保存配置。

图9 修改WAN配置

图10 修改WAN配置

3. 配置IPsec策略

# Router B的IPsec策略中的组网方式选择分支节点，IKE协商模式选择主模式。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“虚拟专网（VPN） > IPsec VPN”，进入IPsec策略配置页面。

(2)     单击<添加>按钮，进入添加IPsec策略页面，配置如下参数：

¡     名称：输入map1

¡     接口：选择WAN3

¡     组网方式：选择分支节点

¡     对端网关地址：输入2.2.2.1

¡     预共享密钥：输入123456TESTplat&!

¡     保护措施流：受保护协议选择IP，本端受保护网段/掩码输入10.1.2.0/24，对端受保护网段/掩码输入10.1.1.0/24，单击<+>按钮，完成保护流的添加。

图11 配置IPsec策略

(3)     单击<显示高级配置>按钮，进入IKE配置页面，配置如下参数：

¡     协商模式：选择主模式

¡     本端身份类型：选择IP地址，输入2.2.3.1

¡     对端身份类型：选择IP地址，输入2.2.2.1

¡     对等体存活检测（DPD）：选择开启，超时时间设置为30

¡     算法组合：选择自定义

¡     认证算法：选择MD5

¡     加密算法：选择3DES-CBC

¡     其它参数保持缺省配置即可。

图12 IKE配置

(4)     单击“IPsec配置”页签，进入IPsec配置页面，配置如下参数：

¡     算法组合：选择自定义

¡     安全协议：选择ESP

¡     ESP认证算法：选择MD5

¡     ESP加密算法：选择3DES-CBC

¡     封装模式：选择隧道模式

¡     其它参数保持缺省配置即可

(5)     单击<返回基本设置>按钮，再单击<应用>按钮，完成配置。

图13 IPsec配置

4.5  验证配置

(1)     用Host A主机ping Host B主机IP地址，可以ping通。

C:\Users\abc>ping 10.1.2.2

Ping 10.1.2.2 (10.1.2.2): 56 data bytes, press CTRL_C to break

56 bytes from 10.1.2.2: icmp_seq=0 ttl=254 time=2.137 ms

56 bytes from 10.1.2.2: icmp_seq=1 ttl=254 time=2.051 ms

56 bytes from 10.1.2.2: icmp_seq=2 ttl=254 time=1.996 ms

56 bytes from 10.1.2.2: icmp_seq=3 ttl=254 time=1.963 ms

56 bytes from 10.1.2.2: icmp_seq=4 ttl=254 time=1.991 ms

--- Ping statistics for 10.1.2.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.963/2.028/2.137/0.062 ms

C:\Users\abc>

(2)     完成上述配置后，在设备Web管理界面选择“虚拟专网(VPN) > IPsec VPN”，单击“监控信息”页签，进入监控信息页面，可以看到建立成功的IPsec隧道信息，状态列显示为Active，说明配置验证成功。

1.22  IPsec典型配置举例

1.22.1  采用手工方式建立保护IPv4报文的IPsec隧道

1. 组网需求

在Router A和Router B之间建立一条IPsec隧道，对Host A所在的子网（10.1.1.0/24）与Host B所在的子网（10.1.2.0/24）之间的数据流进行安全保护。具体要求如下：

·     封装形式为隧道模式。

·     安全协议采用ESP协议。

·     加密算法采用128比特的AES，认证算法采用HMAC-SHA1。

·     手工方式建立IPsec SA。

2. 组网图

图1-11 保护IPv4报文的IPsec配置组网图

‌

3. 配置步骤

(1)     配置Router A

# 配置各接口的IP地址，具体略。

# 配置一个IPv4高级ACL，定义要保护由子网10.1.1.0/24去往子网10.1.2.0/24的数据流。

<RouterA> system-view

[RouterA] acl advanced 3101

[RouterA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[RouterA-acl-ipv4-adv-3101] quit

# 配置到达Host B所在子网的静态路由。2.2.2.3为本例中的直连下一跳地址，实际使用中请以具体组网情况为准。

[RouterA] ip route-static 10.1.2.0 255.255.255.0 gigabitethernet 1/0/2 2.2.2.3

# 创建IPsec安全提议tran1。

[RouterA] ipsec transform-set tran1

# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[RouterA-ipsec-transform-set-tran1] protocol esp

# 配置ESP协议采用的加密算法为采用128比特的AES，认证算法为HMAC-SHA1。

[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[RouterA-ipsec-transform-set-tran1] quit

# 创建一条手工方式的IPsec安全策略，名称为map1，序列号为10。

[RouterA] ipsec policy map1 10 manual

# 指定引用ACL 3101。

[RouterA-ipsec-policy-manual-map1-10] security acl 3101

# 指定引用的IPsec安全提议为tran1。

[RouterA-ipsec-policy-manual-map1-10] transform-set tran1

# 指定IPsec隧道对端IP地址为2.2.3.1。

[RouterA-ipsec-policy-manual-map1-10] remote-address 2.2.3.1

# 配置ESP协议的出方向SPI为12345，入方向SPI为54321。

[RouterA-ipsec-policy-manual-map1-10] sa spi outbound esp 12345

[RouterA-ipsec-policy-manual-map1-10] sa spi inbound esp 54321

# 配置ESP协议的出方向SA的密钥为明文字符串abcdefg，入方向SA的密钥为明文字符串gfedcba。

[RouterA-ipsec-policy-manual-map1-10] sa string-key outbound esp simple abcdefg

[RouterA-ipsec-policy-manual-map1-10] sa string-key inbound esp simple gfedcba

[RouterA-ipsec-policy-manual-map1-10] quit

 # 在接口GigabitEthernet1/0/2上应用IPsec安全策略map1。

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/2] ip address 2.2.2.1 255.255.255.0

[RouterA-GigabitEthernet1/0/2] ipsec apply policy map1

[RouterA-GigabitEthernet1/0/2] quit

(2)     配置Router B

# 配置各接口的IP地址，具体略。

# 配置一个IPv4高级ACL，定义要保护由子网10.1.2.0/24去往子网10.1.1.0/24的数据流。

<RouterB> system-view

[RouterB] acl advanced 3101

[RouterB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[RouterB-acl-ipv4-adv-3101] quit

# 配置到达Host A所在子网的静态路由。2.2.3.3为本例中的直连下一跳地址，实际使用中请以具体组网情况为准。

[RouterB] ip route-static 10.1.1.0 255.255.255.0 gigabitethernet 1/0/2 2.2.3.3

# 创建IPsec安全提议tran1。

[RouterB] ipsec transform-set tran1

# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterB-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[RouterB-ipsec-transform-set-tran1] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES，认证算法为HMAC-SHA1。

[RouterB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterB-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[RouterB-ipsec-transform-set-tran1] quit

# 创建一条手工方式的IPsec安全策略，名称为use1，序列号为10。

[RouterB] ipsec policy use1 10 manual

# 指定引用ACL 3101。

[RouterB-ipsec-policy-manual-use1-10] security acl 3101

# 指定引用的IPsec安全提议为tran1。

[RouterB-ipsec-policy-manual-use1-10] transform-set tran1

# 指定IPsec隧道对端IP地址为2.2.2.1。

[RouterB-ipsec-policy-manual-use1-10] remote-address 2.2.2.1

# 配置ESP协议的出方向SPI为54321，入方向SPI为12345。

[RouterB-ipsec-policy-manual-use1-10] sa spi outbound esp 54321

[RouterB-ipsec-policy-manual-use1-10] sa spi inbound esp 12345

# 配置ESP协议的出方向SA的密钥为明文字符串gfedcba，入方向SA的密钥为明文字符串abcdefg。

[RouterB-ipsec-policy-manual-use1-10] sa string-key outbound esp simple gfedcba

[RouterB-ipsec-policy-manual-use1-10] sa string-key inbound esp simple abcdefg

[RouterB-ipsec-policy-manual-use1-10] quit

# 在接口GigabitEthernet1/0/2上应用IPsec安全策略use1。

[RouterB] interface gigabitethernet 1/0/2

[RouterB-GigabitEthernet1/0/2] ip address 2.2.3.1 255.255.255.0

[RouterB-GigabitEthernet1/0/2] ipsec apply policy use1

[RouterB-GigabitEthernet1/0/2] quit

4. 验证配置

以上配置完成后，Router A和Router B之间的IPsec隧道就建立好了，子网10.1.1.0/24与子网10.1.2.0/24之间数据流的传输将受到生成的IPsec SA的保护。可通过以下显示查看Router A上手工创建的IPsec SA。

[RouterA] display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/2

-------------------------------

  -----------------------------

  IPsec policy: map1

  Sequence number: 10

  Alias: map1-10

  Mode: Manual

  -----------------------------

    Tunnel id: 549

    Encapsulation mode: tunnel

    Path MTU: 1443

    Tunnel:

        local  address/port: 2.2.2.1/0

        remote address/port: 2.2.3.1/0

    Flow:

        as defined in ACL 3101

    [Inbound ESP SA]

      SPI: 54321 (0x0000d431)

      Connection ID: 90194313219

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

    [Outbound ESP SA]

      SPI: 12345 (0x00003039)

      Connection ID: 64424509441

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

Router B上也会产生相应的IPsec SA来保护IPv4报文，查看方式与Router A同，此处略。