模板方式与IKE方式IPSec VPN配置保障单位与分支之间的数据安全

在《IKE方式IPSec VPN配置保障单位与分支之间的数据安全》中，需要总部与分公司的边界防火墙出接口都配置静态公 IP地址。对于不少分支来说，基于成本考虑，往往使用普通宽带连接互联 ，ISP提供的光猫一般工作在路由模式，会通过DHCP分配给分公司的边界防火墙一个私有IP地址；也可以协调ISP将光猫设置为桥接模式，由分公司的边界防火墙进行PPPOE拨 ，此时一般会被分配一个动态的公 IP地址。

总部采用模板方式IPSec VPN配置，由于可以不指定对端IP地址，因此可以解决分公司的边界防火墙出接口不是静态公 IP地址问题。图1是对常见的一些中小单位的联 拓扑的概括。

图1

下面以eNSP模拟软件进行总部（采用模板方式）与分公司（采用IKE方式）IPSec VPN配置的实验。

一、实验内容

模拟某单位总部与分公司的联 场景：总部的局域 （图1蓝色矩形区）通过防火墙FW1连接因特 （图1红色矩形区），分公司1的局域 通过防火墙FW2连接因特 ，总部与分公司1之间需要业务互通，为安全起见，需要配置IPSec VPN。

总部申请了静态公 IP地址，用于防火墙连接互联 的外 口。分公司防火墙则获取的是动态公 IP地址。

注：

因为在eNSP中USG5500防火墙作为pppoe客户端，一直处于LCP阶段，无法正确建立会话；而用路由器或USG6000防火墙则可以，但它们配置模板方式的IPSEC VPN又存在问题，可能是eNSP模拟器的原因。故在ISP中配置DHCP服务器代替PPPOE服务器，这样在FW2上可以近似的模拟出动态分配公 IP地址的情形。应用IPSEC安全策略的接口的主要区别是：配置DHCP时，应用在FW2对外的物理接口上；配置PPPOE客户端时，应用在Dialer虚拟接口上，该虚拟接口绑定到FW2对外的物理接口上。

本次实验将主要配置：

1、FW1和FW2上的安全策略临时设置成默认允许，以方便配置IPSec VPN。

2、DHCP配置。在ISP上配置DHCP Server，模拟ISP设备；在FW2上配置DHCP客户端，动态获取公 IP地址。

3、基本 络配置，使FW1和FW2之间公 路由可达。

4、定义需要保护的数据流。总部和分公司1内部 络之间的通信通过IPSec VPN保护，其他通信不进入IPSec VPN。

5、配置IKE安全提议。总部和分公司1双方的认证方法、认证算法、加密算法、DH组、完整性算法、SA持续时间等，以供IKE对等体使用。

6、配置IKE对等体。引用IKE安全提议，指定IKE版本，根据选择的认证方法配置身份认证参数。

7、配置IPSec安全提议。指定总部和分公司1双方采用的封装模式、安全协议、加密算法和验证算法等，以供IPSec安全策略使用。

8、在FW1配置IPSec策略模板和模板方式的IPSec策略，在FW2配置IKE方式的IPSec策略。此处也是和之前《IKE方式IPSec VPN配置保障单位与分支之间的数据安全》的主要区别的地方。

9、在接口上应用IPSec安全策略。

10、私 路由配置，用于IPSec VPN。

11、观察总部和分公司1之间的IPSec VPN是否正常。

二、实验配置

(一) FW1和FW2上的安全策略临时设置成默认允许

1、将防火墙接口加入安全区域

FW1

[FW1]firewall zone trust

[FW1-zone-trust]add interface GigabitEthernet 0/0/8

[FW1-zone-trust]firewall zone untrust

[FW1-zone-untrust]add interface GigabitEthernet 0/0/1

[FW1-zone-untrust]quit

ISP

[ISP]firewall zone trust

[ISP-zone-trust]add interface GigabitEthernet 0/0/1

[ISP-zone-trust]firewall zone untrust

[ISP-zone-untrust]add interface GigabitEthernet 0/0/2

[ISP-zone-untrust]quit

FW2

[FW2]firewall zone trust

[FW2-zone-trust]add interface GigabitEthernet 0/0/8

[FW2-zone-trust]firewall zone untrust

[FW2-zone-untrust]add interface GigabitEthernet 0/0/2

[FW2-zone-untrust]quit

2、将防火墙的缺省安全策略从禁止临时修改为允许

FW1：

[FW1]firewall packet-filter default permit all

ISP：

[ISP]firewall packet-filter default permit all

FW2：

[FW2]firewall packet-filter default permit all

注：

这样就不用考虑防火墙的安全策略的影响，将IPSec VPN相关的数据拦截问题。待IPSec VPN调通之后，可以像《如何快速、准确的配置防火墙安全策略？》那样通过观察会话来确定安全策略配置。

(二) PPPOE配置

ISP：DHCP Server

[ISP]dhcp enable

[ISP]interface GigabitEthernet 0/0/2

[ISP-GigabitEthernet0/0/2]ip address 23.23.23.2 24

[ISP-GigabitEthernet0/0/2]dhcp select interface

[ISP-GigabitEthernet0/0/2]quit

FW2：DHCP Client

[FW2]dhcp enable

[FW2]interface GigabitEthernet 0/0/2

[FW2-GigabitEthernet 0/0/2]dhcp client enable

[FW2-GigabitEthernet 0/0/2]quit

2、查看FW2是否成功获取IP地址

在FW2输入

[FW2]interface GigabitEthernet 0/0/2

图2

如图2，状态UP，成功获取IP地址。

(三) 基本 络配置

1、配置接口IP地址

FW1：

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ip address 12.12.12.1 24

[FW1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2

[FW1-GigabitEthernet0/0/2]ip address 10.0.0.254 24

[FW1-GigabitEthernet0/0/2]quit

ISP：

[ISP]interface GigabitEthernet 0/0/1

[ISP-GigabitEthernet0/0/1]ip address 12.12.12.2 24

[ISP-GigabitEthernet0/0/1]quit

FW2：

[FW2]interface GigabitEthernet 0/0/8

[FW2-GigabitEthernet1/0/6]ip address 192.168.1.254 24

[FW2-GigabitEthernet1/0/6]quit

2、配置基本路由，使FW1和FW2之间公 路由可达。

FW1：

[FW1]ip route-static 0.0.0.0 0.0.0.0 12.12.12.2

FW2：

[FW2]ip route-static 0.0.0.0 0.0.0.0 23.23.23.2

注：

1、本实验并没有在ISP上进行路由配置，是因为ISP到FW1或FW2都是直连，类似于营运商的设备通过 桥连接到单位的路由器/防火墙。另外在实际 络中，营运商也一般不会配置到防火墙的内部私 的路由。

2、单位总部和分公司1内部局域 使用的私有IP地址，如果要访问互联 一般是配置NAT，因此营运商也不用知道防火墙的内部私 。

3、单位总部或者分公司1如果需要配置NAT，因为IPSec VPN的存在，到对方局域 段一般不进行NAT——可通过NAT策略避开。

(四) 定义需要保护的数据流

FW1：

[FW1]acl 3000

[FW1-acl-adv-3000]rule 10 permit ip source 10.0.0.0 0.0.0.255 destination 192.168.1.0 0.0.3.255

[FW1-acl-adv-3000]quit

FW2：

[FW2]acl 3000

[FW2-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255

[FW2-acl-adv-3000]quit

注：

定义ACL是为了引导总部和分公司1内部 络之间的通信时，进入IPSec VPN隧道。

(五) 配置IKE安全提议

FW1：

[FW1]ike proposal 1

[FW1-ike-proposal-1]authentication-method pre-share

[FW1-ike-proposal-1]authentication-algorithm sha1

[FW1-ike-proposal-1]encryption-algorithm aes-cbc

[FW1-ike-proposal-1]dh group5

[FW1-ike-proposal-1]quit

FW2：

[FW2]ike proposal 1

[FW2-ike-proposal-1]authentication-method pre-share

[FW2-ike-proposal-1]authentication-algorithm sha1

[FW2-ike-proposal-1]encryption-algorithm aes-cbc

[FW2-ike-proposal-1]dh group5

[FW2-ike-proposal-1]quit

注：

1、首先在FW1、FW2分别创建创建一个编 为1的IKE安全提议。接下来的几条命令均在该安全提议中，防火墙中对这些算法均有默认值，也可不用配置；另外设备支持哪些算法和其型 有关。

2、配置认证方法为预共享秘钥方式，是比较常用的方式。另外两种分别是rsaature、 digital-envelope。

3、配置认证算法为sha1。实际环境中，MD5、SHA1算法安全性低，存在安全风险。

4、配置加密算法为aes-cbc。实际环境中，DES和3DES算法安全性低，存在安全风险。

5、配置DH组为group5。实际环境中group1、group2和group5安全性低，存在安全风险。

(六) 配置IKE对等体

FW1：

[FW1]ike peer 1

[FW1-ike-peer-1]ike-proposal 1

[FW1-ike-peer-1]version 2

[FW1-ike-peer-1]pre-shared-key 123456

[FW1-ike-peer-1]quit

FW2：

[FW2]ike peer 1

[FW2-ike-peer-1]ike-proposal 1

[FW2-ike-peer-1]pre-shared-key 123456

[FW2-ike-peer-1]version 2

[FW2-ike-peer-1]remote-address 12.12.12.1

[FW2-ike-peer-1]quit

注：

1、在FW1、FW2分别创建一个名字为1的IKE对等体。接下来的几条命令均在该IKE对等体中。

2、分别引用前面创建的IKE安全提议。

3、指定IKE版本为v2，也是防火墙的默认值，可不进行配置。

4、配置双方的预共享秘钥，该秘钥参与认证秘钥、加密秘钥等的计算，但IKE和IPSec均不会直接使用该秘钥进行认证、加密。

5、仅在FW2上指定指定对端的IP地址。

(七) 配置IPSec安全提议

FW1：

[FW1]ipsec proposal 1

[FW1-ipsec-proposal-1]encapsulation-mode tunnel

[FW1-ipsec-proposal-1]transform esp

[FW1-ipsec-proposal-1]esp authentication-algorithm sha1

[FW1-ipsec-proposal-1]esp encryption-algorithm aes

[FW1-ipsec-proposal-1]quit

FW2：

[FW2]ipsec proposal 1

[FW2-ipsec-proposal-1]encapsulation-mode tunnel

[FW2-ipsec-proposal-1]transform esp

[FW2-ipsec-proposal-1]esp authentication-algorithm sha1

[FW2-ipsec-proposal-1]esp encryption-algorithm aes

[FW2-ipsec-proposal-1]quit

注：

在FW1、FW2分别创建一个在名为1的安全提议。接下来的几条命令均在该安全提议中，分别指定指定封装模式、安全协议、认证算法、加密算法。

(八) 在FW1配置IPSec策略模板和模板方式的IPSec策略，在FW2配置IKE方式的IPSec策略。

FW1：

[FW1]ipsec policy-template t1 1

[FW1-ipsec-policy-templet-t1-1]security acl 3000

[FW1-ipsec-policy-templet-t1-1]ike-peer 1

[FW1-ipsec-policy-templet-t1-1]proposal pro1

[FW1-ipsec-policy-templet-t1-1]quit

[FW1]ipsec policy pol1 20 isakmp template t1

注：

1、首先创建一个名字为t1编 为1的模板，然后在其中引用前面创建的ACL、IKE对等体、IPSEC安全提议。

2、再创建一个名字为pol1编 为20的IPSEC安全策略，并引用模板t1。

FW2：

[FW2]ipsec policy pol1 1 isakmp

[FW2-ipsec-policy-isakmp-pol1-1]security acl 3000

[FW2-ipsec-policy-isakmp-pol1-1]ike-peer 1

[FW2-ipsec-policy-isakmp-pol1-1]proposal pro1

[FW2-ipsec-policy-isakmp-pol1-1]quit

注：

创建一个名字为pol1编 为1的IPSEC安全策略，在其中引用前面创建的ACL、IKE对等体、IPSEC安全提议。

(九)在接口上应用IPSec安全策略

FW1：

[FW1]interface GigabitEthernet0/0/1

[FW1-GigabitEthernet0/0/1]ipsec policy pol1

[FW1-GigabitEthernet0/0/1]quit

FW2：

[FW2]interface GigabitEthernet0/0/2

[FW2-GigabitEthernet0/0/2]ipsec policy pol1

[FW2-GigabitEthernet0/0/2]quit

私 路由配置，用于IPSec VPN。

(十)私 路由配置，用于IPSec VPN

FW1：

ip route-static 192.168.1.0 255.255.255.0 12.12.12.2

FW2：

ip route-static 10.0.0.0 0.0.0.255 23.23.23.2

注：

实验环境中，FW1、FW2因为只有单一出口，因此该步也可以不配置。

(十一)观察总部和分公司1之间的IPSec VPN是否正常

用总部的PC1对分公司的PC2进行ping ，如图3

图3

在FW1和FW2之间的链路上进行抓包，如图4

图4

可以看到它们之间的通信经过了封装和加密，符合实验预期。

之后可以通过命令display firewall session table分别观察FW1、FW2上的会话，来获取状态检测的安全策略配置，最后恢复默认的包过滤规则为禁止，否则防火墙就是一台传统的路由器。

如果需要访问Internet，则在配置NAT时需要避开10.0.0.0/24和192.168.1.0/24之间的数据流。

以上输入和描述可能有疏漏、错误，欢迎大家在下方评论区留言指正！

另以上文字如有帮助，望不吝转发！