保护网络安全的IPsec，怎么配置？配置步骤和参考命令奉上

网络中存在哪些安全隐患？

IPsec如何解决这些安全隐患？

IPsec的隧道模式和传输模式区别是什么？

华为设备如何配置IPsec？

如果你想IPsec相关概念和原理，可以看看我之前发过这篇：写文章-CSDN博客，本篇为IPsec配置实战~

一、实验拓扑

当前已完成了深圳总部出口路由器和长沙分支出口路由器的连通性，

但是两边的私网数据不能通信，现在希望双方能建立安全的私网通信。

二、实验目的：

配置IPsec，实现深圳总部和长沙分支之间安全的数据通信

数据加密算法使用aes 256
完整性验证算法使用sha 256
身份验证使用预共享密钥方式
使用隧道模式，实现两边内网可以通过互联网通信

ps：如果你需要下面的资料，可以找我要~

三、配置步骤和参考命令

1. 配置ipsec感兴趣流

本步骤的作用是，配置要用ipsec保护什么数据，使用ACL来配置，

在本实验的深圳路由器上，要保护的数据就是源地址为192.168.1.0目标地址为192.168.2.0的数据。

在长沙路由器上，则相反，是源地址为2.0，目标地址为1.0的数据

参考命令

acl 3000

rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

2. 创建安全提议

本步骤的作用是，设置如何保护关键数据。

在本实验中，要求是使用aes进行数据加密，使用sha进行完整性验证（防篡改），使用隧道模式打通两个内网。

深圳和长沙的路由器，做相同的配置，因为两边必须使用相同的算法。

参考命令

ipsec proposal testipsec

创建一个安全提议，名字为testipsec

encapsulation-mode tunnel

使用隧道模式，会加上新ip头部，新头部就是两个站点的出口公网地址

transform esp

封装模式使用esp，因为有加密需求，所以用esp而不是ah

esp encryption-algorithm aes-256

加密算法用aes-256

esp authentication-algorithm sha2-256

完整性验证算法用sha2-256

3.配置ike（互联网密钥交换协议）

本步骤的作用是，配置ipsec如何产生密钥。

数据加密、完整性验证、身份验证等安全保护工作都是需要密钥的，而且密钥非常关键，以防黑客暴力破解，需要经常更新。Ike就是用来创建和更新密钥的协议。

在本实验中，深圳和长沙要做完全相同的配置

参考命令

ike proposal 1

创建ike提议，编号为1

authentication-method pre-share

使用预共享密钥的方式进行身份验证

dh group1

协商密钥的过程，用dh group1算法进行加密

4. 配置对等体

本步骤的作用是，配置和哪台设备，建立ipsec连接

参考命令

ike peer changsha v1

创建一个对等体，名字为changsha，使用ike v1和对方做密钥协商。v1是主流版本，v2是最新版本。

exchange-mode main

使用主模式（main）建立ipsec。

当双方都有固定公网ip的时候，使用主模式，如果一方没有固定ip，可以使用野蛮模式（aggressive）。

ike-proposal 1

调用前面配好的密钥协商方法

pre-shared-key cipher testkey

预共享密钥，两边一致

local-id-type ip

通过ip地址来互相识别对方，不使用ip的话，也可以使用域名

remote-address 20.1.2.1

ipsec对等体的ip地址，也就是要和这个设备建立ipsec连接

5. 创建ipsec策略

本步骤的作用是，将前面配好的各项参数，关联在一起。

参考命令

ipsec policy testpolicy 3 isakmp

创建一个ipsec策略，名称是testpolicy，编号是3，

后面isakmp的意思是，密钥会周期性动态更新

ike-peer changsha

前面定义好的ipsec对等体

proposal testipsec

前面定义好的安全提议

security acl 3000

前面定义好的感兴趣流

6. 出接口调用

本步骤的作用是，在路由器的出接口调用ipsec策略。

在本实验中，深圳路由器g0/0/1发出的数据包，要按ipsec策略做数据安全保护。

参考命令

int g0/0/1

ipsec policy testpolicy