华为路由器配置IPSec VPN具体实现

VPN（Virtual Private Network）即虚拟专用网络，是指利用公共网络主要使用Internet建立私有专用网络从而传输私有数据。那么企业的某些私有数据在Internet传输时要确保完整性和机密性，最常用的方式就是部署IPSec VPN 解决方案，建立IPSec 隧道，用于安全传输数据流。本文以华为路由器为例，利用ENSP工具模拟实验配置IPSec VPN的具体实现。

网络拓扑如下：

实验目的：

杭州分部路由器AR2和上海总部路由器AR3配置IPsec VPN，使得两边私网段地址可以相互通信。

具体配置如下：

1. 基本接口配置。

AR1:

interface GigabitEthernet0/0/0

ip address 12.1.1.1 255.255.255.0

interface GigabitEthernet0/0/1

ip address 13.1.1.1 255.255.255.0

AR2:

interface GigabitEthernet0/0/0

ip address 192.168.1.254 255.255.255.0

interface GigabitEthernet0/0/1

ip address 12.1.1.2 255.255.255.0

AR3:

interface GigabitEthernet0/0/0

ip address 172.16.1.254 255.255.255.0

interface GigabitEthernet0/0/1

ip address 13.1.1.3 255.255.255.0

2. 分别在总部路由器和分部路由器配置静态路由和NAT上网。

AR2:

acl number 3000

rule 5 permit ip source 192.168.1.0 0.0.0.255

interface GigabitEthernet0/0/1

nat outbound 3000

ip route-static 0.0.0.0 0.0.0.0 12.1.1.1

AR3:

acl number 3000

rule 5 permit ip source 172.16.1.0 0.0.0.255

interface GigabitEthernet0/0/1

nat outbound 3000

ip route-static 0.0.0.0 0.0.0.0 13.1.1.1

此时PC上网实现。

3.分别在AR2和AR3上配置ACL，定义各自要保护的数据流。

AR2:

acl number 3001

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

AR3:

acl number 3001

rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

4.分别在AR2和AR3上创建IPsec安全提议。

AR2:

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

AR3:

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

此时分别在AR2和AR3上执行display ipsec proposal会显示所配置的信息。

5.分别在AR2和AR3上配置IKE安全提议和IKE对等体。

AR2:

ike proposal 5

encryption-algorithm aes-cbc-128

authentication-algorithm sha1

dh group14

ike peer 1 v2

pre-shared-key simple huawei

ike-proposal 5

remote-address 13.1.1.3

AR3:

ike proposal 5

encryption-algorithm aes-cbc-128

authentication-algorithm sha1

dh group14

ike peer 1 v2

pre-shared-key simple huawei

ike-proposal 5

remote-address 12.1.1.2

6.分别在AR2和AR3上创建安全策略。

AR2:

ipsec policy map1 10 isakmp

security acl 3001

ike-peer 1

proposal tran1

AR3:

ipsec policy map1 10 isakmp

security acl 3001

ike-peer 1

proposal tran1

此时分别在AR2和AR3上执行display ipsec policy会显示所配置的信息。

7.分别在AR2和AR3的接口上应用各自的安全策略组，使接口具有IPSec的保护功能。

AR2:

interface GigabitEthernet0/0/1

ipsec policy map1

AR3:

interface GigabitEthernet0/0/1

ipsec policy map1

IPsec VPN配置完成后，此时会发现两边地址还是不能相互ping通。这是由于我们做了NAT的缘故，此时需要配置NAT豁免，将双方通信的数据流量不做NAT转换。

AR2:

acl number 3000

rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

AR3:

acl number 3000

rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

配置完成后双方即可通信。

并且通过抓包数据传输流量经过ESP协议加密处理了。