项目7-任务4 IPSec VPN的配置与调试

实训任务书项目7安全网络技术的配置与调试任务4IPSecVPN的配置与调试班级：学号：目录TOC\o"1-2"\h\u336一、实训目标 230271二、实训环境 23390三、任务描述 221258四、任务分析 323740五、实训内容 3317601、子任务1：网络设备的基本配置 3163292、子任务1结果提交 4191193、子任务2：配置IPSec策略 4138844、子任务2结果提交 5254835、子任务3：配置路由 534966、子任务3结果提交 6131577、任务拓展（选做） 6264618、任务拓展结果提交（选做） 1026521六、实训总结 13121401、收获与心得体会 13265062、存在的问题 13一、实训目标通过本次实训，应能够：（1）掌握IPSecVPN基本原理与华为防火墙配置方法。（2）能在eNSP搭建总部与双分支IPSecVPN拓扑并完成基础网络配置。（3）能通过预共享密钥建立IPSec隧道，实现分支与总部安全通信。（4）学会验证VPN连通性，排查常见配置问题。二、实训环境双核计算机，内存4G以上，并安装以下软件：（1）Windows7即以上操作系统，安装华为eNSP软件（V100R001C00版本及以上）。（2）实训用到的素材文件，请从配套课程网站下载或者教材配套电子资源中获取。三、任务描述某公司有1个总部和2个分支机构，分支机构1和分支机构2分别通过FW2和FW3与R1（模拟互联网）相连。该公司希望总部的子网和分支机构的子网进行连接，考虑到数据专线的成本较高，该公司决定采用IPSecVPN技术。配置IPSecVPN的网络拓扑图如图1-1所示，设备的端口和IP地址规划表如表1-1所示，IPSec配置表如表1-2所示。图1-1配置IPSecVPN的网络拓扑图表1-1设备的端口和IP地址规划表设备名称端口IP地址默认网关备注FW1GE1/0/3192.168.10.1/24不适用与PC1相连GE1/0/11.1.1.1/24无与R1的GE0/0/0端口相连R1GE0/0/01.1.1.2/24无与FW1的GE1/0/1端口相连GE0/0/13.3.3.2/24无与FW2的GE1/0/1端口相连GE0/0/22.2.2.2/24无与FW3的GE1/0/1端口相连FW2GE1/0/3192.168.20.1/24无与PC2相连GE1/0/13.3.3.1/24无与R1的GE0/0/1端口相连FW3GE1/0/3192.168.30.1/24无与PC3相连GE1/0/12.2.2.1/24无与R1的GE0/0/2端口相连PC1NIC192.168.10.2/24192.168.10.1/24与FW1的GE1/0/3端口相连PC2NIC192.168.20.2/24192.168.20.1/24与FW2的GE1/0/3端口相连PC3NIC192.168.30.2/24192.168.30.1/24与FW3的GE1/0/3端口相连表1-2IPSec配置表设备名称对端IP地址认证方式预共享密钥本端ID类型对端ID类型FW13.3.3.12.2.2.1预共享密钥Test!1234IPAnyFW21.1.1.1预共享密钥Test!1234IPIPFW31.1.1.1预共享密钥Test!1234IPIP四、任务分析本任务的需求是：分支机构1中的计算机PC2、分支机构2中的计算机PC3均能与总部中的计算机PC1之间进行安全通信，FW1与FW2、FW1与FW3之间分别建立IPSec隧道，FW2与FW3之间不建立IPSec隧道，总部采用ISAKMP方式安全策略组与分支机构之间建立IPSecVPN。要完成本任务，首先需要在3台防火墙和1台路由器上进行基本配置，然后配置IPSec安全策略，最后需要进行验证测试。五、实训内容（1）FW1的基本配置。①配置端口IP地址。②配置端口加入相应的安全区域。③配置Trust区域与Untrust区域之间的域间安全策略。④配置Untrust区域与Local区域之间的域间安全策略。（2）R1的基本配置。配置R1的端口IP地址。（3）FW2的基本配置。在FW2上进行基础配置，包括配置端口IP地址、端口加入安全区域和域间安全策略。①配置端口IP地址。②配置端口加入相应的安全区域。③配置Trust区域与Untrust区域之间的域间安全策略。④配置Untrust区域与Local区域之间的域间安全策略。（4）FW3的基本配置。在FW3上进行基础配置，包括配置端口IP地址、端口加入安全区域和域间安全策略。①配置端口IP地址。②配置端口加入相应的安全区域。③配置Trust区域与Untrust区域之间的域间安全策略。④配置Untrust区域与Local区域之间的域间安全策略。（1）在FW1上配置IPsec策略。在FW1上配置IPSec策略，并在端口上应用IPSec策略。①定义被保护的数据流。配置高级ACL，定义被保护的数据流。②配置IPSec提议。③配置IKE提议。④配置IKE对等体。⑤配置安全策略。⑥在端口上应用安全策略组。（2）在FW2上配置IPsec策略。在FW2上配置IPSec策略，并在端口上应用IPSec策略。①定义被保护的数据流。②配置IPSec安全提议。③配置IKE提议④配置IKE对等体。⑤配置安全策略。⑥在端口上应用安全策略组。（3）在FW3上配置IPsec策略。在FW3上配置IPSec策略，并在端口上应用此安全策略。①定义被保护的数据流。②配置IPSec安全提议。③配置IKE安全提议。④配置IKE对等体⑤配置安全策略。⑥端口上应用安全策略组。（1）在FW1上配置默认路由。（2）在FW2上配置默认路由。（3）在FW3上配置默认路由。任务测试在总部防火墙FW1上查看IKE提议，可以查看到两对IKE安全提议。在分支防火墙FW2和FW3上查看IKE安全提议，可以查看到对端为总部的IKE提议。在总部防火墙FW1上查看IPSec提议，可以查看到两对双向的IPSec提议，分别对应两个分支防火墙FW2和FW3。在分支防火墙FW2和FW3上查看IPSec提议，可以查看到FW1的一对反向IPSec提议。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。RA为企业分支网关，RB为企业总部网关，分支与总部通过公网建立通信。分支子网为172.16.10.0/24，总部子网为172.16.20.0/24。由于分支子网较为庞大，有大量需要IPSec保护的数据流，因此可以基于虚拟隧道端口方式建立IPSec隧道，对Tunnel端口下的流量进行保护，不需要使用ACL定义待保护的流量特征。网络拓扑图如图1-2所示。图7-2任务拓展的网络拓扑图一、任务分析本任务拓展需通过GREoverIPSec实现分支与总部内网的安全互通，先配置公网接口IP与基础路由保障物理连通，再在分支网关RA与总部网关RB上创建GRE隧道并配置静态路由将内网流量引入隧道，随后通过高级ACL匹配GRE流量，依次配置IKE提议、IKE对等体、IPSec提议与IPSec策略，最后在公网接口应用IPSec策略对GRE隧道加密，触发SA建立后验证IKESA、IPSecSA状态与内网PC互通性，完成加密隧道的部署与测试。二、配置步骤（1）基础网络配置①在RA路由器上配置<Huawei>system-view[Huawei]undoinfo-centerenable[Huawei]sysnameRA[RA]interfaceGigabitEthernet0/0/0[RA-GigabitEthernet0/0/0]ipaddress1.1.1.1255.255.255.0[RA-GigabitEthernet0/0/0]quit[RA]interfaceGigabitEthernet0/0/1[RA-GigabitEthernet0/0/1]ipaddress172.16.10.254255.255.255.0[RA-GigabitEthernet0/0/1]quit②在RB路由器上配置<Huawei>system-view[Huawei]undoinfo-centerenable[Huawei]sysnameRB[RB]interfaceGigabitEthernet0/0/0[RB-GigabitEthernet0/0/0]ipaddress172.16.20.254255.255.255.0 [RB-GigabitEthernet0/0/0]quit[RB]interfaceGigabitEthernet0/0/1[RB-GigabitEthernet0/0/1]ipaddress2.2.2.1255.255.255.0[RB-GigabitEthernet0/0/1]quit[RB]iproute-static0.0.0.00.0.0.02.2.2.2③在Internet路由器上配置。<Huawei>system-view[Huawei]sysnameInternet [Internet]undoinfo-centerenable[Internet]interfaceGigabitEthernet0/0/0[Internet-GigabitEthernet0/0/0]ipaddress1.1.1.2255.255.255.0[Internet-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[Internet-GigabitEthernet0/0/1]ipaddress2.2.2.2255.255.255.0[Internet-GigabitEthernet0/0/1]quit④基础连通性测试在RA上执行命令：ping2.2.2.1，确认与RB公网互通；在RB上执行命令：ping1.1.1.1，验证公网连通性正常。（2）GRE隧道配置①A路由器GRE隧道配置[RA]interfaceTunnel0/0/0[RA-Tunnel0/0/0]tunnel-protocolgre[RA-Tunnel0/0/0]ipaddress192.168.1.1255.255.255.0[RA-Tunnel0/0/0]source1.1.1.1[RA-Tunnel0/0/0]destination2.2.2.1[RA-Tunnel0/0/0]quit[RA]iproute-static172.16.20.0255.255.255.0Tunnel0/0/0[RA]quit②RB路由器GRE隧道配置[RB]interfaceTunnel0/0/0[RB-Tunnel0/0/0]tunnel-protocolgre[RB-Tunnel0/0/0]ipaddress192.168.1.2255.255.255.0[RB-Tunnel0/0/0]source2.2.2.1[RB-Tunnel0/0/0]destination1.1.1.1[RB-Tunnel0/0/0]quit[RB]iproute-static172.16.10.0255.255.255.0Tunnel0/0/0[RB]quit③GRE隧道连通性测试在RA上执行命令：ping192.168.1.2，在RB上执行命令：ping192.168.1.1，确认隧道互通正常；执行命令：displayinterfaceTunnel0/0/0，确认隧道接口状态为“UP”。（3）IPSec策略配置①RA路由器上配置//配置ACL[RA]aclnumber3000[RA-acl-adv-3000]rulepermitgresource1.1.1.10.0.0.0destination2.2.2.10.0.0.0[RA-acl-adv-3000]quit//配置IKE提议（阶段1协商）[RA]ikeproposal1[RA-ike-proposal-1]encryption-algorithmaes-cbc-256[RA-ike-proposal-1]authentication-algorithmsha1 [RA-ike-proposal-1]dhgroup14[RA-ike-proposal-1]quit//配置IKE对等体[RA]ikepeerRBv1[RA-ike-peer-RB]pre-shared-keyciperadnin@1234[RA-ike-peer-RB]ike-proposal1[RA-ike-peer-RB]remote-address2.2.2.1[RA-ike-peer-RB]quit//配置IKE提议（阶段2协商）[RA]ipsecproposalPROPOSAL1[RA-ipsec-proposal-PROPOSAL1]espencryption-algorithmaes-256[RA-ipsec-proposal-PROPOSAL1]espauthentication-algorithmsha1[RA-ipsec-proposal-PROPOSAL1]quit//配置IPSec策略，引用ACL、提议和对等体[RA]ipsecpolicyPOLICY110isakmp[RA-ipsec-policy-isakmp-POLICY1-10]securityacl3000[RA-ipsec-policy-isakmp-POLICY1-10]proposalPROPOSAL1[RA-ipsec-policy-isakmp-POLICY1-10]ike-peerRB[RA-ipsec-policy-isakmp-POLICY1-10]quit//在公网接口挂载IPSec策略[RA]interfaceGigabitEthernet0/0/0[RA-GigabitEthernet0/0/0]ipsecpolicyPOLICY1[RA-GigabitEthernet0/0/0]quit②在RB路由器上配置//配置ACL[RB]aclnumber3000[RB-acl-adv-3000]rulepermitgresource2.2.2.10.0.0.0destination1.1.1.10.0.0.0[RB-acl-adv-3000]quit//配置IKE提议（阶段1协商）[RB]ikeproposal1[RB-ike-proposal-1]encryption-algorithmaes-cbc-256[RB-ike-proposal-1]authentication-algorithmsha1[RB-ike-proposal-1]dhgroup14[RB-ike-proposal-1]quit//配置IKE对等体（与RA协商）[RB]ikepeerRAv1[RB-ike-peer-RA]pre-shared-keyciperadmin@1234[RB-ike-peer-RA]ike-proposal1[RB-ike-peer-RA]remote-address1.1.1.1[RB-ike-peer-RA]quit//配置IPSec提议（阶段2协商）[RB]ipsecproposalPROPOSAL1[RB-ipsec-proposal-PROPOSAL1]espencryption-algorithmaes-256[RB-ipsec-proposal-PROPOSAL1]espauthentication-algorithmsha1[RB-ipsec-proposal-PROPOSAL1]quit//配置IPSec策略，引用ACL、提议和对等体[RB]ipsecpolicyPOLICY110isakmp[RB-ipsec-policy-isakmp-POLICY1-10]secur