演示思科路由器和H3C防火墙IPSec VPN配置,思科路由器型号为Cisco 1921,H3C防火墙型号为F100-C-EI,另外用两台交换机,其中一台交换机当做终端,另外一台三层交换机模拟互联网,采用的设备如下,图中华为交换机模拟互联网,华三交换机模拟终端。
上图实物比较乱,通过下图的拓扑图,就可以比较清晰的看到各个设备之间的连接了。
实验拓扑图
这是一个比较典型的异地IPSec VPN组网拓扑,大多数中小企业采用这种方式,实现总部和分支机构的互联,下面我将实验的关键配置贴出来,供大家参考,两台交换机的配置不是IPSec VPN的主要配置,配置也比较简单,就不贴出来了,上图华为交换机就是模拟互联网,思科路由器、华三防火墙分别模拟总部和分支机构,总部和分支机构的网络可以互通,华三交换机模拟分支下面的终端,要实现笔记本可以ping通华三交换机的IP:192.168.20.2
在实际组网环境中,总部和分支都是通过NAT上网,所以这里我们也配置思科和华三防火墙的NAT,尽可能的模拟实际组网,而且在NAT环境下配置IPSec VPN,还需要注意NAT豁免,让通过IPSec VPN的流量,不进行NAT地址转换。
思科路由器IPSec VPN关键配置:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
exit
crypto isakmp key wlts.cc address 2.2.2.1
crypto ipsec transform-set t1 ah-sha512-hmac
mode tunnel //隧道模式
exit
crypto map m1 local-address GigabitEthernet0/0
crypto map m1 1 ipsec-isakmp
set peer 2.2.2.1 //对端IP
set transform-set t1
match address 110 //感兴趣流,对应ACL 110
exit
interface GigabitEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
crypto map m1
exit
interface GigabitEthernet0/1
ip address 192.168.10.1 255.255.255.0
ip nat inside
exit
//对感兴趣流的NAT豁免
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 100 permit ip any any
access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
H3C防火墙IPSec VPN关键配置:
ike proposal 1
encryption-algorithm 3des-cbc //思科是3des
dh group2
authentication-algorithm md5
sa duration 3600
quit
ike keychain k1
pre-shared-key address 1.1.1.1 255.255.255.0 key simple wlts.cc
quit
ike profile p1
keychain k1
match remote identity address 1.1.1.1 255.255.255.0
match local address 2.2.2.1
proposal 1
quit
ipsec transform-set t1
encapsulation-mode tunnel
protocol ah
ah authentication-algorithm sha512
quit
acl advanced 3000
rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
ipsec policy p1 1 isakmp
transform-set t1
security acl 3000 //引用ACL
local-address 2.2.2.1
remote-address 1.1.1.1
ike-profile p1
quit
//外网口
interface GigabitEthernet1/0/0
ip address 2.2.2.1 255.255.255.0
nat outbound
ipsec apply policy p1
quit
//内网口
interface GigabitEthernet1/0/2
ip address 192.168.20.1 255.255.255.0
quit
IPSec VPN最主要的是两端认证、加密方式一致,理论是这样,但实际上,各个品牌哈希算法,加密算法名称还有些不同,比如思科的加密算法3des,就对应华三的3des-cbc,经过测试,思科配置3des,华三配置3des-cbc,这样配置是可以通的,证明他们实际上是一个加密算法,这就是不通厂商设备VPN对接的难点。
还需要注意的是,思科需要配置NAT豁免,就是禁止感兴趣流的源目地址做NAT转换,但经过实际测试,华三是不需要做NAT豁免配置的。
本文只介绍了基本的IPSec VPN的配置,通过上述配置,两个分支下的终端就能互相ping通了,为了简化配置,我把防火墙策略全放开了,实际使用还需要配置好防火墙策略,从而满足安全性的要求。