[HCIE] IPSec-VPN (IKE自动模式)-编程知识

[HCIE] IPSec-VPN (IKE自动模式)

概念：

IKE：因特网密钥交换

实验目标：pc1与pc2互通

步骤1：R1与R3配置默认路由

R1：

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

R2：

ip route-static 0.0.0.0 0.0.0.0 23.1.1.2

步骤2：配ACL,定义需要IPSec保护的数据流

R1：

acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

R3：

acl number 3000
rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

步骤3:配置IPSec安全提议，定义保护方法

R1/R3:

ipsec proposal p1 \\创建安全提议，名称P1

encapsulation-mode tunnel \\选择隧道模式（封装新Ip头实现VPN功能）
esp authentication-algorithm sha2-512 \\认证算法
esp encryption-algorithm aes-256 \\加密算法

步骤4：配置IKE协商和对等体

R1：

ike proposal 1 \\创建IKE协商提议
encryption-algorithm aes-cbc-256 \\加密算法
dh group14 \\密钥交换算法
authentication-algorithm aes-xcbc-mac-96 \\认证算法
#
ike peer R3 v2 \\创建IKE对等体，名称R3，版本V2
pre-shared-key cipher huawei \\配置预共享密钥
ike-proposal 1 \\调用IKE协商
local-address 12.1.1.1 \\本端地址
remote-address 23.1.1.3 \\对端地址

R3：

ike proposal 1
encryption-algorithm aes-cbc-256
dh group14
authentication-algorithm aes-xcbc-mac-96
#
ike peer R1 v2
pre-shared-key cipher huawei
ike-proposal 1
local-address 23.1.1.3
remote-address 12.1.1.1

步骤5：配置安全策略，调用ACL和IPSec安全提议和IKE对等体

R1：

ipsec policy s1 10 isakmp \\创建IPSec安全策略，名称s1，序号10，自动协商
security acl 3000 \\调用ACL
ike-peer R3 \\调用对等体，完成密钥材料交换和对称密钥计算
proposal p1 \\调用IKE安全提议

R3：

ipsec policy s1 10 isakmp
security acl 3000
ike-peer R1
proposal p1

步骤6：接口调用安全策略

R1：

interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.0
ipsec policy s1

R3:

interface GigabitEthernet0/0/0
ip address 23.1.1.3 255.255.255.0
ipsec policy s1

测试：