IPSec中使用IKE 野蛮模式自动协商建立安全隧道在企业网中的应用

        IPSec（IP Security）协议：IPSec 协议不是一个单独的协议，它给出了IP 网络上数据安全的一整套体系结构。包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。

      创建安全策略，可以采用手工或者自动协商配置两种方式

        配置步骤：

        1.acl访问控制

        2. 创建安全提议、使用DES 加密，采用传输模式

        3.创建安全策略，使用IKE 协商方式，并配置IKE 预设认证字。

        4.在接口上配置IP 地址，应用安全策略组。

     案例1：

     

 配置步骤：

  firewall-1：

基本配置：

interface ethernet0/0

ip address 192.168.10.1 255.255.255.0

interface ethernet0/2

ip address 1.1.10.100 255.255.255.0

quit

ip route-static 0.0.0.0 0.0.0.0 1.1.10.1 preference 60  

 

acl配置：

acl number 3000

rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

rule 20 deny ip source any destination any

 

acl number 3001

rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255

rule 20 deny ip source any destination any

安全提议1

ipsec proposal ipsec1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

安全提议2

ipsec proposal ipsec2

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

ike名称

ike local-name fw1

 

ike设置

ike peer peer1

exchange-mode aggressive

pre-shared-key simple 123

id-type name

local-address 1.1.10.100

remote-name fw2

 

ike peer peer2

exchange-mode aggressive

pre-shared-key simple 123

id-type name

local-addres 1.1.10.100

remote-name fw3

 

安全策略

ipsec policy policy1 10 isakmp

sec acl 3000

proposal ipsec1

ike-peer peer1

 

ipsec policy policy1 20 isakmp

sec acl 3001

proposal ipsec2

ike-peer peer2

应用到接口

interface ethernet0/2

ipsec policy policy1

 

 

 firewall-2：

 基本设置：

 interface ethernet0/0

 ip address 1.1.20.100 255.255.255.0

 interface ethernet0/1

 ip address 192.168.20.1 255.255.255.0

 

 设置acl：

 acl number 3000

 rule 10 permit ip source 192.168.20.0 0.0.0.255 dest 192.168.10.0 0.0.0.255

 rule 20 deny ip source any dest any 

 安全提议：

  ipsec propo ipsec

  encapsulation-mode tunnel

  transform esp

  es auth md5

  esp enc des

 

  ike名称：

  ike local-name fw2 

  ike设置：

  ike peer peer1

  exchange-mode aggressive

  pre-shared-key simple 123

  id-type name

  remote-name fw1

 

  remote-address 1.1.10.1 

 安全策略：

  ipsec policy policy2 10 isakmp

  sec acl 3000

  propo ipsec

 

  ike-peer peer1     

 应用到接口：

  interface ethernet0/0

  ipsec poli policy2

 

 

  firewall-3：

  基本设置：

  interface ethernet0/1

  ip address 1.1.30.100 255.255.255.0

  interface ethernet0/2

  ip address 192.168.30.1 255.255.255.0

 

  设置acl：

  acl number 3000

  rule 10 permit ip source 192.168.30.0 0.0.0.255 dest 192.168.10.0 0.0.0.255

  rule 20 deny ip source any dest any 

  安全提议：

  ipsec propo ipsec1

  encapsulation-mode tunnel

  transform esp

  es auth md5

  esp enc des

 

  ike名称：

  ike local-name fw3

  ike设置：

  ike peer peer2

  exchange-mode aggressive

  pre-shared-key simple 123

  id-type name

  remote-name fw1

 

  remote-address 1.1.10.1 

  安全策略：

  ipsec policy policy3 10 isakmp

  sec acl 3000

  propo ipsec

  ike-peer peer1     

 

  应用到接口：

  interface ethernet0/1

  ipsec policy policy3

 

 

  三层交换机：

 

  interface  ethernet0/0

  ip address 1.1.20.1 255.255.255.0

  interface  ethernet0/1

  ip address 1.1.30.1 255.255.255.0

  interface  ethernet0/2

  ip address 1.1.10.1 255.255.255.0