网络工程师如何利用IPsec ***技术实现分公司与总部互联？

2024-01-28 19:54:04

在这个快节奏的时代里，亦是信息爆炸的年代，我们整天被大量的信息充斥着，现在很多公众号为了吸粉，都是在做搬运工，这边复制一下，那边抄袭一下，过多无用的信息，只会让我们视觉疲劳。阿龙希望多写些原创作品分享给大家，同时也希望大家有见解也可以投稿分享，让我们能在有限的时间里获取有营养的知识。

之前，阿龙分享过关于MPLS ***的配置，本期与大家分享一下IPsec ***（手工方式建立隧道）的配置。

手把手教你玩MPLS ***如何配置

随时企业业务范围不断扩大，企业就想在全国各地，甚至全球各地开设分公司，但是企业为了节省成本，又希望分公司使用总部的一些IT系统，如服务器上的文件资源，不愿意在分公司单独再搭建IT系统。要解决这个问题，就是如何让分公司内部网络与总部的内部网络互通？采取专线，安全性没问题，但成本太高了，有没有成本相对便宜，又可以满足安全性的？有，那就是IPsec ***，因为它是加密的（ESP），安全的。
本期与大家分享一个配置案例，相信看完，你会有所收获的。

1拓扑图

2需求（目的）
利用IPsec ***在互联网上手工方式建立隧道，实现分公司的内部网络与总部内部网络互连，PC1 可以访问总部的服务器。

3配置思路
因为分公司和总部的内部网络，都是私有IP地址，互联网上是没路由的，出了网关设备，源目IP地址肯定会变，所以这里才有IPsec ESP封装协议，AH不适合，原因是：AH会校验源、目IP地址。

1、搭建好拓扑图环境，标出规划好的IP地址。2、修改网络设备默认名称、配置好IP地址。3、配置分公司与总部网关设备的路由，使之互通。（这里使用静态路由）4、利用ACL配置IPsec 感兴趣流
5、配置IPsec 提议（认证算法、加密算法）6、配置IPsec 策略7、把IPsec 策略调用到出接口下。

4配置过程

步骤1：修改网络设备默认名称、配置好IP地址。

R1配置（分公司网关设备）

<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys R1[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip add 192.168.1.100 24[R1-GigabitEthernet0/0/0][R1]int g0/0/1[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24[R1-GigabitEthernet0/0/1]

R2配置（模拟互联网）

<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys R2[R2][R2]int g0/0/0[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[R2-GigabitEthernet0/0/0][R2]int g0/0/1[R2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[R2-GigabitEthernet0/0/1]

R3配置（总部网关设备）

<Huawei>sys
Enter system view, return user view with Ctrl+Z.[Huawei]sys R3[R3][R3]int g0/0/0[R3-GigabitEthernet0/0/0]ip add 23.1.1.3 24[R3-GigabitEthernet0/0/0][R3]int g0/0/1[R3-GigabitEthernet0/0/1]ip add 192.168.2.100 24[R3-GigabitEthernet0/0/1]

分公司PC1 IP地址设置：

总部服务器IP地址设置：

步骤2：配置分公司与总部网关设备的路由，使之互通

首先，虽然实验只是用了R2模拟互联网，但实际上互联网肯定有好多跳路由器的，不管多跳，分公司和总部的网关都连接互联网的，肯定有公网IP地址，就可以互通，所以做实验，确保两边的网关能互通就可以了。

其次，两边的网关设备，也需要再写一条关于内部网络的路由，这里也是用静态路由就好了，因为有了路由，后面IPsec隧道建立起来了，才能正确转发。不然隧道建立了，但是网关设备收到数据包，不知道怎么转发？因为没路由。

在R1配置静态路由，告诉R1去往23.1.1.0 、192.168.2.0怎么走：
[R1]ip route-static 23.1.1.0 255.255.255.0 12.1.1.2
[R1]ip route-static 192.168.2.0 255.255.255.0 12.1.1.2[R1]
在R3配置静态路由，告诉R3去往12.1.1.0 、192.168.1.0怎么走：

[R3]ip route-static 12.1.1.0 255.255.255.0 23.1.1.2

[R3]ip route-static 192.168.1.0 255.255.255.0 23.1.1.2

[R3]

测试一下，分公司网关设备是否可以ping通总部的网关设备：

步骤3：利用ACL配置IPsec 感兴趣流

在R1配置IPsec 感兴趣流：分公司访问总部的流量：

[R1]acl number 3001

[R1-acl-adv-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

在R3配置IPsec 感兴趣流：总部发往分公司的流量：[R3]acl number 3001
[R3-acl-adv-3001]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

步骤4：配置IPsec 提议（认证算法、加密算法）

两边配置一样的算法。

在R1配置如下提议：

#ipsec proposal trans esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128#

在R3配置如下提议：

#ipsec proposal trans esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128#

步骤5：配置IPsec 策略IPsec 策略配置，你会发现就是把感兴趣流、提议、隧道源目IP地址、SPI值、密钥关联起来。

R1上配置IPsec 策略：[R1]ipsec policy along1 10 manual[R1-ipsec-policy-manual-along1-10] security acl 3001[R1-ipsec-policy-manual-along1-10] proposal trans[R1-ipsec-policy-manual-along1-10] tunnel local 12.1.1.1[R1-ipsec-policy-manual-along1-10] tunnel remote 23.1.1.3[R1-ipsec-policy-manual-along1-10] sa spi inbound esp 654321[R1-ipsec-policy-manual-along1-10] sa string-key inbound esp cipher along20201210[R1-ipsec-policy-manual-along1-10] sa spi outbound esp 123456[R1-ipsec-policy-manual-along1-10] sa string-key outbound esp cipher along20201210[R1-ipsec-policy-manual-along1-10]

R3上配置IPsec 策略：

[R3]ipsec policy along3 10 manual[R3-ipsec-policy-manual-along3-10] security acl 3001[R3-ipsec-policy-manual-along3-10] proposal trans[R3-ipsec-policy-manual-along3-10] tunnel local 23.1.1.3[R3-ipsec-policy-manual-along3-10] tunnel remote 12.1.1.1[R3-ipsec-policy-manual-along3-10] sa spi inbound esp 123456[R3-ipsec-policy-manual-along3-10] sa string-key inbound esp cipher along20201210[R3-ipsec-policy-manual-along3-10] sa spi outbound esp 654321[R3-ipsec-policy-manual-along3-10] sa string-key outbound esp cipher along20201210[R3-ipsec-policy-manual-along3-10]

其中，这里值得提醒一下是SPI ，它是双向的，注意同一方向数值要一致。龙哥，画图，你可能就明白了：