网络工程师如何利用IPsec ***技术实现分公司与总部互联?

在这个快节奏的时代里,亦是信息爆炸的年代,我们整天被大量的信息充斥着,现在很多公众号为了吸粉,都是在做搬运工,这边复制一下,那边抄袭一下,过多无用的信息,只会让我们视觉疲劳。阿龙希望写些原创作品分享给大家,同时也希望大家有见解也可以投稿分享,让我们能在有限的时间里获取有营养的知识。


之前,阿龙分享过关于MPLS ***的配置,本期与大家分享一下IPsec ***(手工方式建立隧道)的配置。



网络工程师如何利用IPsec ***技术实现分公司与总部互联?

手把手教你玩MPLS ***如何配置



随时企业业务范围不断扩大,企业就想在全国各地,甚至全球各地开设分公司,但是企业为了节省成本,又希望分公司使用总部的一些IT系统,如服务器上的文件资源,不愿意在分公司单独再搭建IT系统。要解决这个问题,就是如何让分公司内部网络与总部的内部网络互通? 采取专线,安全性没问题,但成本太高了,有没有成本相对便宜,又可以满足安全性的?  有,那就是IPsec ***,因为它是加密的(ESP),安全的。
本期与大家分享一个配置案例,相信看完,你会有所收获的。



1拓扑图



网络工程师如何利用IPsec ***技术实现分公司与总部互联?




2需求(目的)
利用IPsec ***在互联网上手工方式建立隧道,实现分公司的内部网络与总部内部网络互连,PC1 可以访问 总部的服务器 。



3配置思路
因为分公司和总部的内部网络,都是私有IP地址,互联网上是没路由的,出了网关设备,源目IP地址肯定会变,所以这里才有IPsec ESP封装协议,AH不适合,原因是:AH会校验源、目IP地址。

1、搭建好拓扑图环境,标出规划好的IP地址。2、修改网络设备默认名称、配置好IP地址。3、配置分公司与总部网关设备的路由,使之互通。(这里使用静态路由)4、利用ACL配置IPsec 感兴趣流
5、配置IPsec 提议(认证算法、加密算法)6、配置IPsec 策略7、把IPsec 策略调用到出接口下。



4配置过程


步骤1:修改网络设备默认名称、配置好IP地址。


R1配置(分公司网关设备)

<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys R1[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip add 192.168.1.100 24[R1-GigabitEthernet0/0/0][R1]int g0/0/1[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24[R1-GigabitEthernet0/0/1]


R2配置(模拟互联网)

<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys R2[R2][R2]int g0/0/0[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24[R2-GigabitEthernet0/0/0][R2]int g0/0/1[R2-GigabitEthernet0/0/1]ip add 23.1.1.2 24[R2-GigabitEthernet0/0/1]



R3配置(总部网关设备)

<Huawei>sys
Enter system view, return user view with Ctrl+Z.[Huawei]sys R3[R3][R3]int g0/0/0[R3-GigabitEthernet0/0/0]ip add 23.1.1.3 24[R3-GigabitEthernet0/0/0][R3]int g0/0/1[R3-GigabitEthernet0/0/1]ip add 192.168.2.100 24[R3-GigabitEthernet0/0/1]



分公司PC1 IP地址设置:

网络工程师如何利用IPsec ***技术实现分公司与总部互联?


总部服务器IP地址设置:

网络工程师如何利用IPsec ***技术实现分公司与总部互联?



步骤2:配置分公司与总部网关设备的路由,使之互通


首先,虽然实验只是用了R2模拟互联网,但实际上互联网肯定有好多跳路由器的,不管多跳,分公司和总部的网关都连接互联网的,肯定有公网IP地址,就可以互通,所以做实验,确保两边的网关能互通就可以了。

其次,两边的网关设备,也需要再写一条关于内部网络的路由,这里也是用静态路由就好了,因为有了路由,后面IPsec隧道建立起来了,才能正确转发。不然隧道建立了,但是网关设备收到数据包,不知道怎么转发? 因为没路由。


网络工程师如何利用IPsec ***技术实现分公司与总部互联?



在R1配置静态路由,告诉R1去往23.1.1.0 、192.168.2.0怎么走:
[R1]ip route-static 23.1.1.0 255.255.255.0 12.1.1.2
[R1]ip route-static 192.168.2.0 255.255.255.0 12.1.1.2[R1]
在R3配置静态路由,告诉R3去往12.1.1.0 、192.168.1.0怎么走:

[R3]ip route-static 12.1.1.0 255.255.255.0 23.1.1.2

[R3]ip route-static 192.168.1.0 255.255.255.0 23.1.1.2

[R3]


测试一下,分公司网关设备是否可以ping通总部的网关设备:

网络工程师如何利用IPsec ***技术实现分公司与总部互联?



步骤3:利用ACL配置IPsec 感兴趣流


在R1配置IPsec 感兴趣流:分公司访问总部的流量:

[R1]acl number  3001

[R1-acl-adv-3001]rule permit  ip source 192.168.1.0  0.0.0.255 destination 192.168.2.0 0.0.0.255


在R3配置IPsec 感兴趣流:总部发往分公司的流量:[R3]acl number  3001
[R3-acl-adv-3001]rule permit  ip source 192.168.2.0  0.0.0.255 destination 192.168.1.0  0.0.0.255



步骤4:配置IPsec 提议(认证算法、加密算法)


两边配置一样的算法。


在R1配置如下提议:

#ipsec proposal trans esp authentication-algorithm sha2-256  esp encryption-algorithm aes-128#


在R3配置如下提议:

#ipsec proposal trans esp authentication-algorithm sha2-256  esp encryption-algorithm aes-128#



步骤5:配置IPsec 策略IPsec 策略配置,你会发现就是把感兴趣流、提议、隧道源目IP地址、SPI值、密钥关联起来。


R1上配置IPsec 策略:[R1]ipsec policy along1 10 manual[R1-ipsec-policy-manual-along1-10] security acl 3001[R1-ipsec-policy-manual-along1-10] proposal trans[R1-ipsec-policy-manual-along1-10] tunnel local 12.1.1.1[R1-ipsec-policy-manual-along1-10] tunnel remote 23.1.1.3[R1-ipsec-policy-manual-along1-10] sa spi inbound esp 654321[R1-ipsec-policy-manual-along1-10] sa string-key inbound esp cipher along20201210[R1-ipsec-policy-manual-along1-10] sa spi outbound esp 123456[R1-ipsec-policy-manual-along1-10] sa string-key outbound esp cipher along20201210[R1-ipsec-policy-manual-along1-10]



R3上配置IPsec 策略:

[R3]ipsec policy along3 10 manual[R3-ipsec-policy-manual-along3-10] security acl 3001[R3-ipsec-policy-manual-along3-10] proposal trans[R3-ipsec-policy-manual-along3-10] tunnel local 23.1.1.3[R3-ipsec-policy-manual-along3-10] tunnel remote 12.1.1.1[R3-ipsec-policy-manual-along3-10] sa spi inbound esp 123456[R3-ipsec-policy-manual-along3-10] sa string-key inbound esp cipher along20201210[R3-ipsec-policy-manual-along3-10] sa spi outbound esp 654321[R3-ipsec-policy-manual-along3-10] sa string-key outbound esp cipher along20201210[R3-ipsec-policy-manual-along3-10]



其中,这里值得提醒一下是SPI ,它是双向的,注意同一方向数值要一致。龙哥,画图,你可能就明白了:

网络工程师如何利用IPsec ***技术实现分公司与总部互联?


步骤6:把IPsec 策略调用到出接口下


调用之前,我们先用PC1 ping 一下总部服务器,是不通的。(待会调用后做个对比)

网络工程师如何利用IPsec ***技术实现分公司与总部互联?




在R1上把刚刚配置的IPsec 策略调用到出接口下:
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ipsec policy along1 
[R1-GigabitEthernet0/0/1]



在R3上把刚刚配置的IPsec 策略调用到出接口下:[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ipsec policy along3 [R3-GigabitEthernet0/0/0]





5测试验证
测试分公司的PC1 访问 总部内网服务器连通性:

网络工程师如何利用IPsec ***技术实现分公司与总部互联?


抓包,我们可以发现,ping报文的源目IP均替换成网关设备的出口IP地址了:

网络工程师如何利用IPsec ***技术实现分公司与总部互联?


而且,当你去点击ESP,想继续查看ESP封装的IP负载,发现是空的,其实不是空的,只是抓包软件无法解析而已。看下图,你就明白IPsec 为啥是安全的?就算***截获了这些数据包,也不用怕,很难破解里面真正的数据内容。

网络工程师如何利用IPsec ***技术实现分公司与总部互联?


从本次实验,我们可以清晰地了解到ESP的协议号为:50。之前我们也学过一些协议号,如OSPF 89,TCP 6,UDP 17等等。

网络工程师如何利用IPsec ***技术实现分公司与总部互联?

ok,本期就分享到这里了,如果您有更好地见解,欢迎在评论留言,我们一起探讨技术,一起成长!


上一篇:亚马逊k8s开局系列-添加负载均衡器


下一篇:达梦8密码策略和资源限制