IPsec VPN小实验

IPSec 是什么：

IPSec是一个框架，它不是具体指某个协议，而是定义了一个框架，由各种协议组和协商而成。该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式、密钥有效期等等。

IPSecVPN建立的前提：要想在两个站点之间安全的传输IP数据流，它们之间必须要先进行协商，协商它们之间所采用的加密算法，封装技术以及密钥。

分为两个阶段，第一个是建立管理连接，第二个阶段是建立数据连接

阶段一：

在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。

阶段一需要协商的内容：

1.双方使用什么加密算法进行加密（des、3des、aes）

2.摘要（完整性）认证的方式（MD5、SHA）

3.采用的密钥共享方式（预共享密钥，CA数字签名、公钥认证）

4.使用的密钥强度DH组（越大加密强度越高）

5.管理连接生存时间（默认一天，单位秒）

6.协商模式（主模式或积极模式）

阶段二：

当对等体之间有了安全的管理连接之后，它们就可以接着协商用于构建安全数据连接的安全参数，这个协商过程是安全的，加密的。协商完成后，将在两个站点间形成安全的数据连接。

阶段二需要协商的内容：

1.传输模式（隧道模式还是传输模式）

2.封装技术（ESP、AH）

3.传输过程中数据的加密方式（des、3des、aes）

4.传输过程中数据的认证方式（MD5、SHA）

3.定义感兴趣（定义需要使用IPSec的流量）
实验拓扑：

首先保证路由可达

一.配置网络密钥交换提议 ike proposal  1    设置身份认证算法为：sha1 authentication-algorithm  sha1设置身份认证方式为（预共享密钥）pre-shareauthentication-method  pre-share 设置加密算法为：aes-cbs -128encryption-algorithm aes-cbc-128dh group2交互二.配置ike对等体ike peer jjj配置传输模式为主模式（默认）exchange-mode  main应用之前配置的ike 提议 ike proposal1配置预共享密钥pre-shared-key cipher 123配置远程地址 emote-address 100.1.13.1三.配置IPSec proposal ipsec proposal jjj配置安全协议的报文封装模式encapsulation-mode tunnel （隧道模式）(默认)指定ESP 协议参数  指定IPSec安全协议的认证算法esp authentication-algorithm  sha1 指定IPsec安全协议的加密算法 esp encryption-algorithm aes-128四.使用高级acl抓取要使用IPSec加密的流量acl 3000rule 5 permit ip source 192.168.1.2 0 destination 192.168.2.2 0 五.配置IPSec安全策略 (配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)ipsec policy jjj  1 isakmp security acl 3000 （指定受此策略保护的报文）
pfs dh-group2（在IKE阶段2协商中使用PFS (perfect forward security)）
ike-peer jjj （指定ike peer ）
proposal jjj (配置IPSec安全提议)六.应用安全策略组进入指定接口iinterface g/0/0/1 ipsec policy jjj（应用jjj 策略）

一.配置网络密钥交换提议 ike proposal  1    设置身份认证算法为：sha1 authentication-algorithm  sha1设置身份认证方式为（预共享密钥）pre-shareauthentication-method  pre-share 设置加密算法为：aes-cbs -128encryption-algorithm aes-cbc-128dh group2二.配置ike对等体ike peer jjj配置传输模式为主模式（默认）exchange-mode  main应用之前配置的ike 提议 ike proposal1配置预共享密钥pre-shared-key cipher 123配置远程地址 emote-address 100.1.12.1三.配置IPSec proposal ipsec proposal jjj配置安全协议的报文封装模式encapsulation-mode tunnel （隧道模式）(默认)指定ESP 协议参数  指定IPSec安全协议的认证算法esp authentication-algorithm  sha1 指定IPsec安全协议的加密算法 esp encryption-algorithm aes-128四.使用高级acl抓取要使用IPSec加密的流量acl 3000rule 5 permit ip source 192.168.2.2 0 destination 192.168.1.2 0 五.配置IPSec安全策略 (配置名为jjj 策略号为 1 的 采用ike方式建立安全联盟的策略)ipsec policy jjj  1 isakmp security acl 3000 （指定受此策略保护的报文）
pfs dh-group2（在IKE阶段2协商中使用PFS (perfect forward security)）
ike-peer jjj （指定ike peer ）
proposal jjj (配置IPSec安全提议)六.应用安全策略组进入指定接口iinterface g/0/0/0 ipsec policy jjj（应用jjj 策略）