项目7-任务4 IPSec VPN的配置与调试

任务3IPSecVPN的配置与调试——项目7安全网络技术的配置与调试“网络设备安装与调试”教学资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1

某公司有1个总部和2个分支机构，分支机构1和分支机构2分别通过FW2和FW3与R1（模拟互联网）相连。该公司希望总部的子网和分支机构的子网进行连接，考虑到数据专线的成本较高，该公司决定采用IPSecVPN技术。配置IPSecVPN的网络拓扑图如图1-1所示，设备的端口和IP地址规划表如表1-1所示。任务详细描述任务描述1网络拓扑图2任务分析PART任务分析2

要实现本任务，首先需要在核心交换机上配置DHCP服务器，然后需要在接入层交换机上配置DHCPSnooping，最后需要进行验证测试。步骤提示3知识准备PART知识准备——1.IPSecVPN基础概念3（1）什么是IPSecIPSec：InternetProtocolSecurity，互联网协议安全是一套开放标准，为IP报文提供安全服务工作在网络层，对IP数据包进行加密、认证、防重放知识内容知识准备——1.IPSecVPN基础概念3（2）IPSec核心作用数据加密：公网传输不可见、不可读身份认证：确保通信双方合法可信数据完整性：防止中途被篡改防重放攻击：防止数据包被重复发送知识内容知识准备——1.IPSecVPN基础概念3（3）IPSec两大核心协议AH（认证头）提供认证、完整性、防重放不加密数据ESP（封装安全载荷）提供加密+认证+完整性+防重放知识内容知识准备——1.IPSecVPN基础概念3（4）IPSec两种工作模式传输模式只加密数据部分，不改变原IP头用于端到端通信（如远程访问）隧道模式重新封装整个IP报文，新增外层IP头用于网关到网关（总部—分支）知识内容知识准备——2.IPSec工作原理3IPSec采用IKE自动协商建立安全通道，分两个阶段：阶段1：IKE阶段（管理通道）目标：建立安全管理通道协商内容：加密算法、认证算法、DH组、身份信息建立：IKESA（安全联盟）特点：耗时较长、一对一端口、长存活时间作用：为阶段2提供安全保护知识内容知识准备——2.IPSec工作原理3阶段2：IPSec阶段（数据通道）目标：建立业务数据加密通道协商内容：ESP加密、ESP认证、生存周期建立：IPSecSA特点：快速协商、单向SA、短存活时间作用：真正对业务流量加密传输知识内容先建管理隧道，再建数据隧道；先IKE，后IPSec。知识准备——3.IPSecVPN关键配置术语3（1）定义感兴趣流的ACL定义：哪些内网流量需要被IPSec加密保护要求：两端必须镜像对称（源目互换）示例：总部192.168.10.0↔分支192.168.20.0知识内容知识准备——3.IPSecVPN关键配置术语3（2）IKE提议阶段1协商参数集包含：加密算法、认证算法、DH组、认证方式（3）IKE对等体指定对端网关IP、预共享密钥、引用IKE提议知识内容知识准备——3.IPSecVPN关键配置术语3（5）IPSec策略绑定：ACL+IPSec提议+IKE对等体模式：ISAKMP（自动协商）（6）接口应用策略在公网出口调用IPSec策略，使配置生效知识内容4任务实施PART任务实施4阶段一：基础组网搭建目标：完成设备互联与基础通信核心任务：在eNSP搭建总部+双分支VPN拓扑并正确连线；配置PC1/PC2/PC3的IP地址与网关；防火墙与路由器完成设备命名；配置所有接口IP地址；验证公网接口物理连通。操作流程任务实施4阶段二：防火墙安全区域与策略配置目标：实现防火墙域间访问放行核心任务：将防火墙内网口加入Trust区域；公网口加入Untrust区域；配置Trust与Untrust域间安全策略；配置Untrust与Local域间策略，保障IKE与IPSec协商报文正常通过。操作流程任务实施4阶段三：路由配置目标：实现公网路由可达核心任务：在总部防火墙FW1配置默认路由指向互联网R1；在分支防火墙FW2、FW3配置默认路由指向R1；确保防火墙之间公网路由互通。操作流程任务实施4阶段四：配置ACL定义IPSec感兴趣流目标：指定需要加密保护的流量核心任务：使用高级ACL匹配总部与分支之间的内网互访流量；FW1配置两条ACL规则分别匹配两个分支；FW2、FW3分别配置ACL匹配总部网段；保证两端感兴趣流严格镜像对称。操作流程任务实施4阶段五：IKE阶段配置（阶段一协商）目标：建立IKE安全管理隧道核心任务：配置IKE提议，定义加密、认证算法与DH组；创建IKE对等体，指定对端IP地址；配置预共享密钥认证方式；统一两端IKE参数保持一致。操作流程任务实施4阶段六：IPSec阶段配置（阶段二协商）目标：建立IPSec数据加密隧道核心任务：配置IPSec提议，指定ESP加密与认证算法；创建ISAKMP方式IPSec策略；绑定ACL、IPSec提议与IKE对等体；在公网接口应用IPSec策略组。操作流程5任务测试PART任务测试5（1）触发隧道建立在PC2执行ping192.168.10.2，在PC3执行ping192.168.10.2，触发IPSec安全联盟建立。（2）查看IKESA状态在防火墙执行命令：displayikesa，查看对端地址、连接状态，确认存在RD、ST标志。操作流程任务测试5（3）查看IPSecSA状态在防火墙执行命令：displayipsecsa，查看入方向与出方向ESP安全联盟、隧道地址、加密算法、SPI等信息。（4）查看IPSec策略应用在防火墙执行命令：displayipsecpolicy，确认策略绑定正确、接口应用正常。操作流程任务测试5（3）查看IPSecSA状态在防火墙执行命令：displayipsecsa，查看入方向与出方向ESP安全联盟、隧道地址、加密算法、SPI等信息。（4）查看IPSec策略应用在防火墙执行命令：displayipsecpolicy，确认策略绑定正确、接口应用正常。操作流程任务测试5（5）全网业务连通性验证PC1PingPC2、PC1PingPC3、PC2PingPC1、PC3PingPC1均能正常互通，表明IPSecVPN配置成功。操作流程6任务拓展PART任务拓展6

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。RA为企业分支网关，RB为企业总部网关，分支与总部通过公网建立通