Ensp实验随心记——IPSec基础

理论才是实验的关键，学好理论再看实验，才知所以然。实验有步骤顺序性，愿意学能看懂的。有错误请批评指正。

静态IPSec配置

配置思路：①网络可达；②配置ACL识别兴趣流；③创建安全提议；④创建安全策略；⑤应用安全策略。

安全提议：执行ipsec proposal命令，可以创建IPSec提议并进入IPSec提议视图。配置IPSec策略时，必须引用IPSec提议来指定IPSec隧道两端使用的安全协议、加密算法、认证算法和封装模式。缺省情况下，使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。在IPSec提议视图下执行下列命令可以修改这些参数。 缺省情况下，ESP协议使用的加密算法AES-256。

 执行 **transform [ah | ah-esp | esp]** 命令，可以重新配置隧道采用的安全协议。 
 执行 **encapsulation-mode {transport | tunnel }** 命令，可以配置报文的封装模式。 
 执行 **esp authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]** 命令，可以配置ESP协议使用的认证算法。 
 执行 **esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes-256 ]** 命令，可以配置ESP加密算法。 
 执行 **ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]** 命令，可以配置AH协议使用的认证算法。

安全策略：ipsec policy policy-name seq-number命令用来创建一条IPSec策略，并进入IPSec策略视图。安全策略是由policy-name和seq-number共同来确定的，多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略，而seq-number越小的安全策略，优先级越高。

 security acl acl-number 命令用来指定IPSec策略所引用的访问控制列表。 
 proposal proposal-name 命令用来指定IPSec策略所引用的提议。 
 tunnel local { ip-address | binding-interface } 命令用来配置安全隧道的本端地址。 
 tunnel remote ip-address 命令用来设置安全隧道的对端地址。 
 sa spi { inbound | outbound } { ah | esp } spi-number 命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时，入方向和出方向安全联盟的安全参数索引都必须设置，并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同，而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。 
 sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置，并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同；同时，本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。

配置好所有的接口地址。

在IPS上配置一个环回口：

使得路由之间可以互通：（确保隧道的源目的地址可以通）


在R1上定义经过IPSec VPN保护/匹配的数据流：

配置安全提议pro1；配置传输协议AH；

配置策略(其实就是定义安全联盟里面的参数)：指定acl控制列表；指定提议；配置安全隧道的本端地址(将来发送私网数据的时候要封装的新的源地址公网地址)；配置安全隧道的对端地址；配置安全索引(本端出入要不一样)；配置安全联盟的认证秘钥(本端出入可以一样)；

在接口上应用策略组：

查看：

可以改封装模式的，默认是tunnel；

现在配置对端：

在R1的G0/0/1口抓包：可以看到AH是明文发送的。


ping ISP的环回口：发现ping不通。因为没有做NAT

假设我们这里做一个Easy IP

发现可以ping了，但是在pingPC2的时候并没有用到IPSec，所以不通，数据被做了NAT转换。


所以应该删掉2000，然后做一个ACL控制列表，要先禁止PC1到PC2网段的数据流做NAT转换：



现在来配置esp安全协议：比AH多了加密算法


修改esp的认证模式，加密算法

R2也要对应修改：

R1安全索引和认证密钥也要修改：




R3安全索引和认证密钥也要修改：

PC1 ping PC2

动态IKE

定义一个IKE：包括加密算法，认证算法(与上面的提议里面的加密和认证是两码事)都有缺省的，不配也行，认证模式(预共享密钥，不是用来做数据认证的，而是身份认证，默认是pre-share)，


创建IKE对等体：命名，交换模式(野蛮模式和主模式是V1的，在这里V2不配)，设置预共享密钥(做身份认证)，调用IKE，定义远端地址

创建IPSec策略：引用访问控制列表，指定IPSec策略所引用的提议，调用IKE对等体。 isakmp说明使用IKE协商建立安全联盟。 manual 说明不使用IKE协商建立安全联盟。


R2做同样操作：






协商