?
采用策略模板方式ipsec安全策略可以简化多条ipsec隧道建立时的配置工作量。适用于对端ip地址不固定,比如dhcp或者pppoe,一般用于总部的配置。
建立时,未定义的可选参数由发起方来决定,响应方会接受发起方的建议,本端配置了策略模板方式ipsec安全策略时不能发起协商,只能作为协商响应方接受对端的协商请求。(比如ike peer中定义的隧道对端ip地址)
只能有一方是配置策略模板,另一方必须配置isakmp方式的ipsec安全策略。
需求和拓扑
企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。组网如下:
要求实现如下需求:
- 分支机构PC2、PC3能与总部PC1之间进行安全通信。
- FW_A、FW_B以及FW_A、FW_C之间分别建立IPSec隧道。FW_B、FW_C不直接建立任何IPSec连接。
?
操作步骤
1、配置接口ip地址和安全区域(除了f3的公网接口)
2、配置公网路由可达
3、配置安全区域(暂时全通策略)
4、配置dhcp
4.1、ar2配置基于接口的dhcp server
注意:基于接口的dhcp server是可以不用额外配置地址池的,地址池默认包含接口所在网段的所有ip地址。
//首先全局开启dhcp
dhcp enable
//其次接口开启dhcp server
interface g0/0/2
dhcp select interface4.2、f3公网接口开启ip地址基于dhcp 获取
interface g1/0/1
ip address dhcp-alloc4.3、检查一下接口地址是否获取到
//f3
disaplay ip interface brief5、配置ipsec
5.1、配置感兴趣流
//f1
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
//f2
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
//f3
acl number 3000
rule 5 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.2555.2、配置ipsec安全提议
//f1f2f3
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-2565.3、配置ike安全提议
//f1f2f3
ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
5.4、配置ike peer
//f1
ike peer b
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.5.1
ike peer c
pre-shared-key Test!1234
ike-proposal 10
//因为f3的公网接口是dhcp获取的,所以可能是变化的,而且也是不可预测的。所以不配置remote-address
//f2f3
ike peer a
pre-shared-key Test!1234
ike-proposal 10
remote-address 1.1.3.15.5、配置ipsec策略
//f1
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal tran1
暂时只配置到f2的ipsec policy
//f2f3
ipsec policy map1 10 isakmp
security acl 3000
ike-peer a
proposal tran1
f2f3的配置没有变化5.6、配置ipsec 安全策略模板(和ipsec policy 的配置思路是一样的)
创建的IPSec策略模板的名称不能与设备上已存在的IPSec安全策略名称相同。
PSec安全策略模板用于定义IPSec协商需要的各种参数,模板中有些参数可以不定义,未定义的可选参数由发起方来决定,而响应方会接受发起方的建议。
通过引用IPSec安全策略模板创建的IPSec安全策略称为策略模板方式IPSec安全策略。配置了策略模板方式IPSec安全策略的一端不能主动发起协商,只能作为协商响应方接受对端的协商请求。
配置策略模板方式IPSec安全策略可以简化多条IPSec隧道建立时的配置工作量。同时可满足特定的场景,如对端的IP地址不固定或预先未知的情况(例如对端是通过PPPoE拨号获得的IP地址)下,允许这些对端设备向本端设备主动发起协商。
与ISAKMP方式不同的是,用于定义数据流保护范围的ACL在这种方式下是可选的,该参数在未配置的情况下,相当于支持最大范围的保护,即接受协商发起方的ACL配置。
//f1
ipsec policy-template map_temp 1
security acl 3001
ike-peer c
proposal tran15.7、关键一步:在ipsec策略组map1的序号为20的安全策略中引用ipsec策略模板map_temp
引用的策略模板的名称不能与IPSec安全策略名称相同。
一个IPSec安全策略组只能有一条IPSec安全策略引用策略模板,且该策略的序号推荐比其它策略的序号大,即同一个IPSec安全策略组中策略模板方式IPSec安全策略的优先级必须最低,否则可能导致其它IPSec安全策略不生效。
//f1
ipsec policy map1 20 isakmp template map_temp
5.8、接口应用ipsec 策略组map1
//f1f2f3
interface GigabitEthernet1/0/1
ipsec policy map1验证和分析
1、配置完成后,r1和r3之间可以互访,不区分先后,但是r1和r5间的互访必须首先由r5发起,引导建立ipsec sa。建立后的互访不区分先后。r3和r5之间依然不能互访。
?2、在f1上可以看到两对ike sa
[f1]dis ike sa
2022-03-20 12:30:53.570
IKE SA information :
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------
21 1.1.6.254:500 RD|A v2:2 IP 1.1.6.254
20 1.1.6.254:500 RD|A v2:1 IP 1.1.6.254
18 1.1.5.1:500 RD|A v2:2 IP 1.1.5.1
1 1.1.5.1:500 RD|ST|A v2:1 IP 1.1.5.1
Number of IKE SA : 4
--------------------------------------------------------------------------------
分支f2和f3上分别只有一对ike sa
<f3>dis ike sa
2022-03-20 12:32:30.520
IKE SA information :
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------
12 1.1.3.1:500 RD|ST|A v2:2 IP 1.1.3.1
11 1.1.3.1:500 RD|ST|A v2:1 IP 1.1.3.1
Number of IKE SA : 2
--------------------------------------------------------------------------------
?3、在f1上可以看到两对双向ipsec sa
[f1]dis ipsec sa brief
2022-03-20 12:34:19.950
IPSec SA information:
Src address Dst address SPI VPN Protocol Algorithm
-------------------------------------------------------------------------------
1.1.3.1 1.1.5.1 192002371 ESP E:AES-256 A:SHA2_256_128
1.1.5.1 1.1.3.1 192251358 ESP E:AES-256 A:SHA2_256_128
1.1.6.254 1.1.3.1 200642916 ESP E:AES-256 A:SHA2_256_128
1.1.3.1 1.1.6.254 193659331 ESP E:AES-256 A:SHA2_256_128
Number of IPSec SA : 4
---------------------------------------分支f2和f3上分别只有一对ipsec sa
<f3>dis ipsec sa brief
2022-03-20 12:37:44.140
IPSec SA information:
Src address Dst address SPI Protocol Algorithm
-------------------------------------------------------------------------------
1.1.6.254 1.1.3.1 200642916 ESP E:AES-256 A:SHA2_256_128
1.1.3.1 1.1.6.254 193659331 ESP E:AES-256 A:SHA2_256_128
Number of IPSec SA : 2
--------------------------------------