华为AR路由器与Cisco路由器建立IPSec隧道

小乔

业务数据在Internet中一般都是透明传输的，这样就会存在很多潜在的危险，比如：密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意攻击等。网络中部署IPSec后，可对传输的数据进行保护处理，降低信息泄露的风险。
IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议，在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。
数据来源认证：接收方认证发送方身份是否合法。
数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。
数据完整性：接收方对接收的数据进行认证，以判定报文是否被篡改。
抗重放：接收方会拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
如图1所示，IPSec利用Internet构建VPN的方式，允许用户以任意方式接入VPN，并且不受地理因素的限制，无论用户在外地或海外，只需要从当地接入Internet即可。IPSec VPN不仅适用于移动办公用户、商业伙伴接入，而且适用于企业分支机构之间互连互通。

图1 IPSec VPN基本组网应用


通常情况下，分支与总部采用ACL方式建立IPSec隧道。当分支较为庞大时，有大量需要IPSec保护的数据流，建议分支与总部采用虚拟隧道接口方式建立IPSec隧道，对Tunnel接口下的流量进行保护，不需使用ACL定义待保护的流量特征。
注意事项
不同厂商设备的IPSec业务所需参数的默认值可能不一致，需要根据设备实际情况调整配置，保证建立IPSec隧道的两端设备的配置一致。
Cisco设备支持的DPD报文格式和AR路由器默认的DPD报文格式不同，如果开启DPD探测功能，需要将AR路由器的DPD报文格式设置为seq-hash-notify。
AR路由器与其他厂商设备对接，且两端设备的IPSec安全协议中都使用SHA-2算法时，如果设备之间能建立IPSec隧道，但设备之间的流量不通，则可能是两端设备的SHA-2加密解密方式不一致导致设备之间的流量不通。此时，建议在AR路由器上执行命令ipsec authentication sha2 compatible enable，使两端设备使用相同的SHA-2加密解密方式。
若Tunnel接口的源地址为某接口动态获取的IP地址，建议配置source时指定为源接口，避免当该地址变化时影响IPSec配置。


组网需求
如图2所示，AR路由器RouterA为企业分支网关，Cisco路由器RouterB为企业总部网关，分支与总部通过公网建立通信。
企业希望对分支与总部之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支较为庞大，有大量需要IPSec保护的数据流，可基于虚拟隧道接口方式建立IPSec隧道，对Tunnel接口下的流量进行保护，不需使用ACL定义待保护的流量特征。
图2配置企业分支网关AR路由器通过虚拟隧道接口与总部网关Cisco路由器建立IPSec隧道组网图

配置RouterA（AR路由器）
配置思路配置接口的IP地址和到对端的静态路由，保证两端路由可达。
配置IPSec安全提议，定义IPSec的保护方法。
配置IKE对等体，定义对等体间IKE协商时的属性。
配置安全框架，并引用安全提议和IKE对等体，确定对何种数据流采取何种保护方法。
在Tunnel接口上应用安全框架，使接口具有IPSec的保护功能。
操作步骤配置接口的IP地址和到对端的静态路由，保证两端公网路由可达
<Huawei> system-view
[Huawei] sysname RouterA
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ip address 1.1.2.10 255.255.255.0
[RouterA-GigabitEthernet1/0/0] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] ip route-static 0.0.0.0 0.0.0.0 1.1.2.1
配置Tunnel接口，Tunnel类型为IPSec
[RouterA] interface Tunnel0/0/0
[RouterA-Tunnel0/0/0] ip address 10.2.1.2 255.255.255.0
[RouterA-Tunnel0/0/0] tunnel-protocol ipsec
[RouterA-Tunnel0/0/0] source gigabitethernet 1/0/0
[RouterA-Tunnel0/0/0] destination 1.1.1.10
[RouterA-Tunnel0/0/0] quit
由于分支较为庞大，可以配置到对端私网地址的动态路由
[RouterA] ospf 2
[RouterA-ospf-2] area 0.0.0.0
[RouterA-ospf-2-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[RouterA-ospf-2-area-0.0.0.0] network 10.2.1.0 0.0.0.255
配置IKE安全提议、对等体和IPSec安全提议，定义IPSec协商的属性
# 配置IKE安全提议。
[RouterA] ike proposal 5
[RouterA-ike-proposal-5] encryption-algorithm aes-cbc-128  
[RouterA-ike-proposal-5] authentication-algorithm sha1  
[RouterA-ike-proposal-5] dh group5
[RouterA-ike-proposal-5] authentication-method pre-share
[RouterA-ike-proposal-5] quit
# 配置IKE对等体。
[RouterA] ike peer RouterA v1
[RouterA-ike-peer-RouterA] ike-proposal 5
[RouterA-ike-peer-RouterA] pre-shared-key cipher huawei@123
[RouterA-ike-peer-RouterA] dpd type periodic  
[RouterA-ike-peer-RouterA] dpd msg seq-hash-notify
[RouterA-ike-peer-RouterA] quit
# 配置IPSec安全提议。
[RouterA] ipsec proposal RouterA
[RouterA-ipsec-proposal-RouterA] transform esp
[RouterA-ipsec-proposal-RouterA] encapsulation-mode tunnel
[RouterA-ipsec-proposal-RouterA] esp authentication-algorithm sha1
[RouterA-ipsec-proposal-RouterA] esp encryption-algorithm aes-128
配置安全框架，并引用IPSec安全提议和IKE对等体
[RouterA] ipsec profile profile1
[RouterA-ipsec-profile-profile1] ike-peer RouterA
[RouterA-ipsec-profile-profile1] proposal RouterA
[RouterA-ipsec-profile-profile1] quit
在Tunnel接口上应用安全框架，使Tunnel接口具有IPSec的保护功能
[RouterA] interface tunnel 0/0/0
[RouterA-Tunnel0/0/0] ipsec profile profile1



配置RouterB（Cisco路由器）
配置思路配置接口的IP地址和到对端的静态路由，保证两端路由可达。
配置IPSec安全提议，定义IPSec的保护方法。
配置IKE对等体，定义对等体间IKE协商时的属性。
配置安全框架，并引用安全提议和IKE对等体，确定对何种数据流采取何种保护方法。
在Tunnel接口上应用安全框架，使接口具有IPSec的保护功能。
操作步骤配置接口的IP地址和到对端的静态路由，保证两端公网路由可达
RouterB#configure
RouterB(config)#interface gigabitethernet 0/1
RouterB(config-if)#ip address 1.1.1.10 255.255.255.0
RouterB(config-if)#exit
RouterB(config)#interface gigabitethernet 0/2
RouterB(config-if)#ip address 10.3.1.1 255.255.255.0
RouterB(config-if)#exit
RouterB(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1
配置Tunnel接口，Tunnel类型为IPSec
RouterB(config)#interface tunnel 0
RouterB(config-if)#ip address 10.2.1.1 255.255.255.0
RouterB(config-if)#tunnel mode ipsec ipv4
RouterB(config-if)#tunnel source gigabitethernet0/1
RouterB(config-if)#tunnel destination 1.1.2.10
RouterB(config-if)#exit
由于分支较为庞大，可以配置到对端私网地址的动态路由
RouterB(config)#RouterB ospf 2
RouterB(config-RouterB)#network 10.2.1.0 0.0.0.255 area 0
RouterB(config-RouterB)#network 10.3.1.0 0.0.0.255 area 0
RouterB(config-RouterB)#exit
配置IKE安全提议、对等体和IPSec安全提议，定义IPSec协商的属性
# 配置IKE安全提议。
RouterB(config)#crypto isakmp policy 10  
RouterB(config-isakmp)#hash sha
RouterB(config-isakmp)#encryption aes 128
RouterB(config-isakmp)#group 5
RouterB(config-isakmp)#authentication pre-share
RouterB(config-isakmp)#exit
# 配置IPSec第一阶段协商其它相关参数。
RouterB(config)#crypto isakmp key huawei@123 address 0.0.0.0 no-xauth
RouterB(config)#crypto isakmp keepalive 10 periodic
# 配置IPSec安全提议。
RouterB(config)#crypto ipsec transform-set tran1 esp-sha-hmac esp-aes 128
RouterB(cfg-crypto-trans)#mode tunnel
RouterB(cfg-crypto-trans)#exit
配置安全框架，并引用IPSec安全提议
RouterB(config)#crypto ipsec profile profile1
RouterB(ipsec-profile)#set transform-set tran1
RouterB(ipsec-profile)#exit
在Tunnel接口上应用安全框架，使Tunnel接口具有IPSec的保护功能
RouterB(config)#interface tunnel 0
RouterB(config-if)#tunnel protection ipsec profile profile1
RouterB(config-if)#exit


结果验证
在RouterA与RouterB上分别执行命令display ike sa和show crypto isakmp sa，可以看到第一阶段和第二阶段SA都已建立成功，以RouterA为例。
[RouterA] display ike sa
       Conn-ID      Peer           VPN    Flag(s)     Phase
   ---------------------------------------------------------
        8          1.1.1.10         0     RD|ST         2
        6          1.1.1.10         0     RD|ST         1
   Flag Description:                                                              
   RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT              
   HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP可以看出，RouterA与RouterB成功建立IPSec隧道，他们之间的通信会被IPSec加密保护。
在分支主机上执行Ping操作可以ping通总部主机，执行命令display ipsec statistics esp查看IPSec处理报文的统计信息，“Inpacket decap count”和“Outpacket encap count”字段的计数值不为0，表明分支和总部之间的数据传输被加密。

duyulei

aaaa

繁华走走

学习学习了