eNSP实验——防火墙 IPSec 配置
文章目录
- eNSP实验——防火墙 IPSec 安全隧道配置
- 基础概念
- 一、IPsec 简介
- 1. IPsec 定义
- 2. IPSec 的核心目标
- 3. IPSec 的核心协议
- 4. IPSec 核心作用
- 二、IPSec 工作原理
- 1. 核心目标
- 2. 两大核心协议
- 3. 两种工作模式
- 传输模式(Transport Mode)
- 隧道模式(Tunnel Mode)
- 4. 密钥管理(IKE协议)
- IKE阶段1:建立管理通道
- IKE阶段2:建立数据通道
- 5. 完整通信流程示例
- 三、 IPSec 虚拟专用网络 与 SSL 虚拟专用网络 对比
- IPSec 虚拟专用网络 vs SSL 虚拟专用网络 对比表
- 1. 核心差异
- 1.1 网络层级与数据保护范围
- 1.2 部署与易用性
- 1.3 穿透能力
- 1.4 性能对比
- 1.5 如何选择?
- 实验环境
- 拓扑图
- 设备信息划分表
- 一、网络通信
- 1. 接口配置
- 2. 防火墙策略配置
- 3. 路由配置
- 4. 测试
- 二、配置 IPSec 虚拟专用网络(IKEv1)
- 1. IKE 提议配置(定义数据保护/认证方式)
- 2. IKE 对等体配置(Peer)
- 3. IPsec 提议配置(定义IPsec数据保护方式)
- 4. ACL 配置(定义哪些流量触发虚拟专用网络)
- 5. IPsec 策略配置(绑定所有参数)
- 6. 应用到外部网络接口
- 7. 验证
- 8. 抓包测试
eNSP实验——防火墙 IPSec 安全隧道配置
仅供参考
基础概念
一、IPsec 简介
1. IPsec 定义
IPsec(Internet Protocol Security) 是一种网络层安全协议,用于在公共网络(如互联网)上建立安全的端到端数据保护通信通道(虚拟专用网络)。它通过对IP数据包进行数据保护和认证,确保数据的机密性、完整性和身份验证,广泛应用于企业分支机构互联、远程办公等场景。
核心作用:在不安全的网络(如互联网)中建立安全的通信隧道。
2. IPSec 的核心目标
-
机密性:通过数据保护(如AES)防止数据被窃听。
-
完整性:通过哈希算法(如SHA-256)验证数据未被篡改。
-
身份认证:确认通信双方身份合法(如预共享密钥/数字证书)。
3. IPSec 的核心协议
IPSec(Internet Protocol Security)的核心协议包括 AH(认证头协议) 和 ESP(封装安全载荷协议)
| 协议 | 功能 | 协议号 | NAT兼容性 | 典型应用 |
|---|---|---|---|---|
| AH | 提供数据完整性校验、身份认证和抗重放攻击,不数据保护数据 | 51 | ❌ 不兼容 | 内部网络防篡改(如日志传输) |
| ESP | 数据保护数据 + 完整性校验 + 身份认证 + 抗重放攻击 | 50 | ✅ 支持(需NAT-T) | 企业虚拟专用网络、远程访问 |
4. IPSec 核心作用
IPSec(Internet Protocol Security)的核心作用是为IP网络通信提供端到端的安全保护,确保数据在不可信网络(如互联网)中传输时的机密性、完整性、身份认证和抗重放攻击
| 安全目标 | 实现方式 | 应用场景示例 |
|---|---|---|
| 机密性 | 数据保护数据(如使用AES、3DES算法) | 防止黑客窃取敏感数据(如银行交易) |
| 数据完整性 | 哈希校验(如SHA-256)检测数据是否被篡改 | 确保合同文件传输未被恶意修改 |
| 身份认证 | 预共享密钥(PSK)或数字证书验证通信双方身份 | 防止攻击者伪装成合法网关接入虚拟专用网络 |
| 抗重放攻击 | 序列号机制阻止攻击者重复发送捕获的数据包 | 避免支付请求被重复提交 |
📝 补充说明
- IKE 的两种版本
- IKEv1:传统标准,分主模式(Main Mode)和野蛮模式(Aggressive Mode)
- IKEv2:更高效,支持MOBIKE(移动设备漫游优化)
- AH 和 ESP
- AH:协议号
51,仅认证(无数据保护),适用于NAT受限环境。 - ESP:协议号
50,支持数据保护+认证,实际更常用。
- AH:协议号
- SA 的双向性
- 每个IPSec连接需要两个SA(入站和出站),通过SPI(Security Parameter Index)区分。
IPsec 虚拟专用网络 建立方式使用频率
| 排名 | 方式 | 使用频率 | 主要原因 |
|---|---|---|---|
| 1 | IKEv2 | ⭐⭐⭐⭐⭐(最高) | 更安全、高效,支持移动设备(MOBIKE)、NAT-T,适合现代网络 |
| 2 | IKEv1 主模式 | ⭐⭐⭐⭐(高) | 传统企业 虚拟专用网络 主流方式,兼容性强 |
| 3 | IKEv1 野蛮模式 | ⭐⭐(中低) | 主要用于动态 IP 或远程接入(如 L2TP/IPsec) |
| 4 | 手动模式 | ⭐(极少) | 仅用于测试或特殊设备(如某些工业控制系统) |
二、IPSec 工作原理
1. 核心目标
IPSec 通过以下机制保障网络通信安全:
- 机密性:数据保护数据(如AES算法)防止窃听。
- 完整性:哈希校验(如SHA-256)检测数据篡改。
- 身份认证:预共享密钥/数字证书验证双方身份。
- 抗重放攻击:序列号机制阻止重复数据包。
典型应用场景:
- 企业分支机构间虚拟专用网络
- 远程员工访问内网资源
- 物联网设备安全通信(如智能电表数据传输)
2. 两大核心协议
| 协议 | 关键功能 | 协议号 | NAT兼容性 | 性能开销 |
|---|---|---|---|---|
| AH | 数据源认证、完整性校验 | 51 | ❌ 不兼容 | 低(无数据保护) |
| ESP | 数据保护+认证+完整性校验 | 50 | ✅ 支持(需NAT-T) | 中高(含数据保护) |
如何选择?
- 需数据保护:选ESP(如虚拟专用网络场景)
- 仅防篡改:选AH(如内部网络监控)
NAT-T:当存在NAT设备时,ESP需封装为UDP 4500端口数据包。
3. 两种工作模式
传输模式(Transport Mode)
-
数据包结构:
[原始IP头][AH/ESP头][TCP/UDP数据][ESP尾部] -
特点:
- 原始IP头暴露,仅数据保护上层数据
- 适合主机到主机通信(如两台服务器直连)
隧道模式(Tunnel Mode)
-
数据包结构:
[新IP头][AH/ESP头][原始IP头+数据][ESP尾部] -
特点:
- 完全隐藏原始IP,安全性更高
- 适合网关到网关(如企业防火墙间虚拟专用网络)
实验建议:eNSP中配置防火墙虚拟专用网络时,默认使用隧道模式。
4. 密钥管理(IKE协议)
IKE阶段1:建立管理通道
- 协商参数:
- 数据保护算法(如AES-256)
- 认证方式(如预共享密钥)
- DH组(如group14用于密钥交换)
- 两种模式:
- 主模式(6条消息):更安全,抗中间人攻击
- 积极模式(3条消息):快速但安全性较低
IKE阶段2:建立数据通道
- 生成IPSec SA(安全关联)
- 可选 PFS(完美前向保密):每次会话使用独立密钥
调试命令(华为设备):
display ike sa # 查看阶段1状态
display ipsec sa # 查看阶段2状态
reset ipsec sa all # 重置所有SA
5. 完整通信流程示例
场景:防火墙A(总部)与防火墙B(分部)建立IPSec 虚拟专用网络
- 初始协商:
- 防火墙A向B发送IKE提议(AES-256+SHA2-256+DH group14)。
- 身份认证:
- 双方通过预共享密钥确认身份(若失败:检查密钥/防火墙规则)。
- IPSec SA建立:
- 协商ESP参数(如AES-128+SHA1),生成数据保护密钥。
- 数据传输:
- 总部PC1发送数据 → 防火墙A用ESP数据保护 → 互联网 → 防火墙B解密 → 分部PC2。
- 连接维护:
- 每1小时自动更新密钥(抗密钥破解)。
排错重点:
- 阶段1失败:检查UDP 500端口连通性、密钥一致性。
- 阶段2失败:确认ACL规则匹配流量、数据保护算法一致。
三、 IPSec 虚拟专用网络 与 SSL 虚拟专用网络 对比
IPSec 虚拟专用网络 vs SSL 虚拟专用网络 对比表
| 对比维度 | IPSec 虚拟专用网络 | SSL 虚拟专用网络 |
|---|---|---|
| 工作层级 | 网络层(L3) | 应用层(L7,通常基于HTTPS) |
| 数据保护范围 | 整个IP包(隧道模式)或上层数据(传输模式) | 仅数据保护应用层数据(如HTTP流量) |
| 配置复杂度 | 高(需终端设备支持,如防火墙配置) | 低(浏览器即可访问,无需专用客户端) |
| 身份认证 | 预共享密钥/数字证书 | 用户名密码/证书/双因素认证 |
| NAT兼容性 | 需NAT-T(UDP 4500) | 天然支持NAT(基于HTTPS 443端口) |
| 典型应用场景 | 企业分支机构互联、固定站点间长期数据保护 | 远程员工访问内网Web应用、移动办公 |
| 性能开销 | 高(全流量数据保护) | 低(仅数据保护应用数据) |
| 安全性 | 端到端数据保护,抗中间人攻击 | 依赖TLS协议,可能受浏览器漏洞影响 |
| 用户端要求 | 需安装客户端或配置系统 | 无需客户端(浏览器即可) |
1. 核心差异
1.1 网络层级与数据保护范围
- IPSec 虚拟专用网络:
- 在网络层数据保护,保护所有流量(包括Ping、SMB等非应用层协议)。
- 适合需要全局数据保护的场景(如分支机构全流量互通)。
- SSL 虚拟专用网络:
- 在应用层数据保护,仅保护特定应用(如Web页面、文件传输)。
- 适合远程访问OA系统、邮箱等Web服务。
类比:
- IPSec像“给整个快递包裹数据保护封装”。
- SSL像“只数据保护包裹里的文件内容”。
1.2 部署与易用性
- IPSec 虚拟专用网络:
- 需配置网关设备(如防火墙),客户端需支持IPSec协议(如Windows内置客户端)。
- 适合IT团队管理的固定设备。
- SSL 虚拟专用网络:
- 用户通过浏览器访问(如
https://虚拟专用网络.company.com),无需复杂配置。 - 适合BYOD(自带设备)的移动员工。
- 用户通过浏览器访问(如
1.3 穿透能力
- IPSec 虚拟专用网络:
- 在严格防火墙环境中可能被拦截(需开放UDP 500/4500)。
- SSL 虚拟专用网络:
- 伪装成HTTPS流量,几乎能穿透所有防火墙(使用443端口)。
1.4 性能对比
| 场景 | IPSec 虚拟专用网络 | SSL 虚拟专用网络 |
|---|---|---|
| 带宽占用 | 高(全流量数据保护) | 低(选择性数据保护) |
| 延迟 | 较高(数据保护/封装开销) | 较低 |
| 适合流量类型 | 大文件传输、VoIP | 网页浏览、轻量应用 |
1.5 如何选择?
- 选IPSec 虚拟专用网络 若:
- 需要站点间全流量数据保护(如总部-分部网络融合)。
- 使用非Web应用(如数据库、内部系统)。
- 选SSL 虚拟专用网络 若:
- 用户分散且设备不统一(如外包员工)。
- 仅需访问Web或特定应用(如ERP系统)。
实验环境
拓扑图
设备信息划分表
| 设备名称 | 接口 | 所属区域 | IP 地址 | 子网掩码 |
|---|---|---|---|---|
| FW1 | GE 1/0/0 | trust | 192.168.1.254 | 255.255.255.0 |
| FW1 | GE 1/0/1 | Untrust | 100.1.1.1 | 255.255.255.252 |
| FW2 | GE 1/0/0 | trust | 192.168.2.254 | 255.255.255.0 |
| FW2 | GE 1/0/1 | Untrust | 100.1.1.2 | 255.255.255.252 |
| PC1 | Ethernet 0/0/1 | trust | 192.168.1.1 | 255.255.255.0 |
| PC2 | Ethernet 0/0/1 | trust | 192.168.2.2 | 255.255.255.0 |
一、网络通信
1. 接口配置
配置完接口配置,PC是能通防火墙的接口IP地址,但是双方的PC是不能够通信的,需要进行配置防火墙策略
FW1 配置
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]q
[FW1]
[FW1]
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 100.1.1.1 30
[FW1-GigabitEthernet1/0/1]service-manage all permit
[FW1-GigabitEthernet1/0/1]q
[FW1]
[FW1]
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0
[FW1-zone-trust]q
[FW1]
[FW1]
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]q
[FW1]
FW2 配置
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip address 192.168.2.254 24
[FW2-GigabitEthernet1/0/0]service-manage all permit
[FW2-GigabitEthernet1/0/0]q
[FW2]
[FW2]
[FW2]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip address 100.1.1.2 30
[FW2-GigabitEthernet1/0/1]service-manage all permit
[FW2-GigabitEthernet1/0/1]q
[FW2]
[FW2]
[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/0
[FW2-zone-trust]q
[FW2]
[FW2]
[FW2]firewall zone untrust
[FW2-zone-untrust]add int g1/0/1
[FW2-zone-untrust]q
[FW2]
2. 防火墙策略配置
IPSec 虚拟专用网络的建立需要防火墙自身(
local区域)与对端(untrust区域)进行协议交互,这些交互 不受常规安全策略的自动放行。
安全策略必须放行 虚拟专用网络 相关流量(这里是最低限制条件)
- 允许
trust → untrust:用于内网设备主动访问外部网络,触发IPSec数据保护 - 允许
untrust → trust:用于外部网络访问内网时,解密后的虚拟专用网络流量进入内网(双向虚拟专用网络需要) - 允许
untrust → local:用于对端防火墙的IKE协商包(UDP 500/4500)访问本端防火墙
FW1 配置
[FW1]security-policy
[FW1-policy-security]rule name trust_to_untrust # 允许从信任区域(trust)到非信任区域(untrust)的流量(通常放行内网访问外部网络)
[FW1-policy-security-rule-trust_to_untrust]source-zone trust
[FW1-policy-security-rule-trust_to_untrust]destination-zone untrust
[FW1-policy-security-rule-trust_to_untrust]action permit
[FW1-policy-security-rule-trust_to_untrust]q
[FW1-policy-security]
[FW1-policy-security]rule name untrust_to_trust # 允许从非信任区域(untrust)到信任区域(trust)的流量
[FW1-policy-security-rule-untrust_to_trust]source-zone untrust
[FW1-policy-security-rule-untrust_to_trust]destination-zone trust
[FW1-policy-security-rule-untrust_to_trust]action permit
[FW1-policy-security-rule-untrust_to_trust]q
[FW1-policy-security]
[FW1-policy-security]rule name untrust_to_local # 允许外部访问防火墙本身的管理服务(需结合具体服务配置)
[FW1-policy-security-rule-untrust_to_local]source-zone untrust
[FW1-policy-security-rule-untrust_to_local]destination-zone local
[FW1-policy-security-rule-untrust_to_local]action permit
[FW1-policy-security-rule-untrust_to_local]q
[FW1-policy-security]
[FW1-policy-security]
FW2 配置
[FW2]security-policy
[FW2-policy-security]rule name trust_to_untrust
[FW2-policy-security-rule-trust_to_untrust]source-zone trust
[FW2-policy-security-rule-trust_to_untrust]destination-zone untrust
[FW2-policy-security-rule-trust_to_untrust]action permit
[FW2-policy-security-rule-trust_to_untrust]q
[FW2-policy-security]
[FW2-policy-security]rule name untrust_to_trust
[FW2-policy-security-rule-untrust_to_trust]source-zone untrust
[FW2-policy-security-rule-untrust_to_trust]destination-zone trust
[FW2-policy-security-rule-untrust_to_trust]action permit
[FW2-policy-security-rule-untrust_to_trust]q
[FW2-policy-security]
[FW2-policy-security]rule name untrust_to_local
[FW2-policy-security-rule-untrust_to_local]source-zone untrust
[FW2-policy-security-rule-untrust_to_local]destination-zone local
[FW2-policy-security-rule-untrust_to_local]action permit
[FW2-policy-security-rule-untrust_to_local]q
[FW2-policy-security]
3. 路由配置
配置完防火墙策略只是允许不同 Zone 通信,但是没有路由,所以设备还是不能跨网段进行通信,需要配置路由。
这里配置默认路由即可,跨网段不超过 2 个网段一般都能匹配到,如果匹配不到可以使用静态路由。
[FW1]ip route-static 0.0.0.0 0 100.1.1.2
[FW2]ip route-static 0.0.0.0 0 100.1.1.1
4. 测试
PC1 主机(192.168.1.1) 给 PC2主机(192.168.2.2) 发送数据包,在对端防火墙的外部网络接口(100.1.1.2)这里开始抓包。可以看到抓包的结果也就是PC1 给 PC2 的数据包这一个过程,Protocol 使用的是 ICMP 协议,这个是没有进行数据保护的数据包。
常规情况下,ICMP 协议的数据包没有数据保护机制,数据以明文形式传输,通过抓包工具可直接解析其内容(如源地址、目的地址、消息类型等)。因此,根据抓包结果中显示的 ICMP 协议,可判定该数据包未数据保护。
二、配置 IPSec 虚拟专用网络(IKEv1)
使用的是 IKEv1(Internet Key Exchange version 1)主模式(Main Mode)动态协商方式 建立IPsec 虚拟专用网络。
IPSec 虚拟专用网络 配置步骤: IKE提议 → 2. IKE对等体 → 3. IPsec提议 → 4. ACL → 5. IPsec策略 → 6. 应用到接口
1. IKE 提议配置(定义数据保护/认证方式)
IKE提议用于协商密钥交换的数据保护、认证和密钥交换算法。双方设备必须完全一致,否则无法建立隧道。参数必须一致,编号可不同。这里FW1用的是什么数据保护,FW2就用什么数据保护,都是同样的配置。
双方防火墙(设备)配置一致
FW1 配置
[FW1]ike proposal 1 # 创建IKE提议(编号为1),用于第一阶段密钥交换协商
[FW1-ike-proposal-1]encryption-algorithm aes-256 # 设置数据保护算法:使用AES-256(高安全性对称数据保护)
[FW1-ike-proposal-1]dh group14 # 设置Diffie-Hellman密钥交换组:group14(2048位模数)
[FW1-ike-proposal-1]authentication-algorithm sha2-256 # 设置认证算法:SHA2-256(哈希算法用于完整性校验)
[FW1-ike-proposal-1]authentication-method pre-share # 设置认证方式:预共享密钥(PSK)
[FW1-ike-proposal-1]integrity-algorithm hmac-sha2-256 # 设置完整性校验算法:HMAC-SHA2-256(消息认证码)
[FW1-ike-proposal-1]q
[FW1]
FW2 配置
[FW2]ike proposal 1
[FW2-ike-proposal-1]encryption-algorithm aes-256
[FW2-ike-proposal-1]dh group14
[FW2-ike-proposal-1]authentication-algorithm sha2-256
[FW2-ike-proposal-1]authentication-method pre-share
[FW2-ike-proposal-1]integrity-algorithm hmac-sha2-256
[FW2-ike-proposal-1]q
[FW2]
2. IKE 对等体配置(Peer)
IKE 对等体配置需要捆绑前面配置好的 IKE 提议
两端防火墙配置一致,但是
remote-address要指定对端的防火墙接口IP地址(FW1写FW2的接口IP地址,FW2写FW1的接口IP地址)
FW1 配置
[FW1]ike peer FW2 # 创建IKE对等体,名称标识为"FW2"(通常用于对端防火墙)
[FW1-ike-peer-FW2]pre-shared-key asd123.. # 设置预共享密钥(用于身份认证)
[FW1-ike-peer-FW2]ike-proposal 1 # 绑定IKE提议(引用之前定义的提议1),需确保两端设备的IKE提议参数完全一致(数据保护算法/DH组等)
[FW1-ike-peer-FW2]remote-address 100.1.1.2 # 指定对端外部网络IP地址(虚拟专用网络隧道终点)
[FW1-ike-peer-FW2]q
[FW1]
FW2 配置
[FW2]ike peer FW1 # 创建IKE对等体,名称标识为"FW1"(通常用于对端防火墙)
[FW2-ike-peer-FW1]pre-shared-key asd123..
[FW2-ike-peer-FW1]ike-proposal 1
[FW2-ike-peer-FW1]remote-address 100.1.1.1 # 指定对端外部网络IP地址(虚拟专用网络隧道终点)
[FW2-ike-peer-FW1]q
[FW2]
注释:
pre-shared-key是双方约定的密码,类似WiFi密码,双方设备必须配置一致。remote-address是对端设备的外部网络IP。
3. IPsec 提议配置(定义IPsec数据保护方式)
这里定义IPsec隧道建立后的数据数据保护方式,双方防火墙(设备)必须配置一致。
FW1 配置
[FW1]ipsec proposal 1 # 创建IPSec安全提议(编号1),用于第二阶段SA协商
[FW1-ipsec-proposal-1]esp authentication-algorithm sha2-256 # 设置ESP协议的认证算法:SHA2-256(保证数据完整性)
[FW1-ipsec-proposal-1]esp encryption-algorithm aes-256 # 设置ESP协议的数据保护算法:AES-256(高安全性对称数据保护)
[FW1-ipsec-proposal-1]transfor esp # 指定封装模式为ESP(Encapsulating Security Payload)
[FW1-ipsec-proposal-1]q
[FW1]
FW2 配置
[FW2]ipsec proposal 1
[FW2-ipsec-proposal-1]esp authentication-algorithm sha2-256
[FW2-ipsec-proposal-1]esp encryption-algorithm aes-256
[FW2-ipsec-proposal-1]transfor esp
[FW2-ipsec-proposal-1]q
[FW2]
注释:
- 这里定义IPsec隧道建立后的数据数据保护方式,双方设备必须配置一致。
esp表示封装协议(也可选ah,但通常用esp)。
4. ACL 配置(定义哪些流量触发虚拟专用网络)
主要用于访问控制,匹配在隧道中可以传输的流量。
FW1 配置
# 定义规则:允许192.168.1.0/24访问192.168.2.0/24的IP流量
[FW1]acl 3000
[FW1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.16
8.2.0 0.0.0.255
[FW1-acl-adv-3000]q
[FW1]
FW2 配置
# 定义规则:允许192.168.2.0/24访问192.168.1.0/24的IP流量
[FW2]acl 3000
[FW2-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.16
8.1.0 0.0.0.255
[FW2-acl-adv-3000]q
[FW2]
注释:
- 这条规则表示:源网段192.168.1.0/24到目标网段192.168.2.0/24的流量 会触发IPsec数据保护。
- 如果流量不匹配ACL,则不会走虚拟专用网络隧道。
5. IPsec 策略配置(绑定所有参数)
IPsec 策略是一个 “容器”,用于将前面的配置(ACL、IPsec提议、IKE对等体)捆绑在一起,并最终应用到接口。
逻辑关系:
IPsec策略 (POLICY1)
├─ 绑定ACL (3000) → 定义哪些流量触发虚拟专用网络
├─ 绑定IPsec提议 (IPSEC-PROPO) → 定义数据数据保护方式
└─ 绑定IKE对等体 (R2) → 定义如何协商密钥
FW1 配置
[FW1]ipsec policy fanche 1 isakmp # 创建IPSec策略,名称为"fanche",序号为1,使用IKE自动协商模式(isakmp)
Info: The ISAKMP policy sequence number should be smaller than the template poli
cy sequence number in the policy group. Otherwise, the ISAKMP policy does not ta
ke effect.
[FW1-ipsec-policy-isakmp-fanche-1]security acl 3000 # 绑定ACL 3000(定义需要IPSec保护的数据流)
[FW1-ipsec-policy-isakmp-fanche-1]proposal 1 # 引用IPSec安全提议(之前定义的proposal 1)
[FW1-ipsec-policy-isakmp-fanche-1]ike-peer FW2 # 指定IKE对等体(关联之前配置的ike-peer FW2)
[FW1-ipsec-policy-isakmp-fanche-1]q
[FW1]
FW2 配置
[FW2]ipsec policy fanche 1 isakmp # 创建IPSec策略,名称为"fanche",序号为1,使用IKE自动协商模式(isakmp)
Info: The ISAKMP policy sequence number should be smaller than the template poli
cy sequence number in the policy group. Otherwise, the ISAKMP policy does not ta
ke effect.
[FW2-ipsec-policy-isakmp-fanche-1]security acl 3000
[FW2-ipsec-policy-isakmp-fanche-1]proposal 1
[FW2-ipsec-policy-isakmp-fanche-1]ike-peer FW1 # 指定IKE对等体(关联之前配置的ike-peer FW1)
[FW2-ipsec-policy-isakmp-fanche-1]q
[FW2]
6. 应用到外部网络接口
FW1 配置
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ipsec policy fanche # 应用IPSec策略"fanche"到当前接口
[FW1-GigabitEthernet1/0/1]q
[FW1]
FW2 配置
[FW2]int g1/0/1
[FW2-GigabitEthernet1/0/1]ipsec policy fanche # 应用IPSec策略"fanche"到当前接口
[FW2-GigabitEthernet1/0/1]q
[FW2]
7. 验证
先在 PC1 上面给 PC2 发送数据包,只有先给对端发送数据包(就是ping一下),隧道才会建立成功,通信之后IKE会主动和对端建立隧道。 如果没有发送数据包给对端,是不会有信息显示。
建立通信之后,使用 dis ike sa 查看一下建立隧道信息。
[FW1]dis ike sa
2025-04-30 16:03:04.020 IKE SA information :
----------------------------------------------------------------------------------------------------
Conn-ID Peer 虚拟专用网络 Flag(s) Phase RemoteType RemoteID
----------------------------------------------------------------------------------------------------
2 100.1.1.2:500 RD|ST|A v2:2 IP 100.1.1.2
1 100.1.1.2:500 RD|ST|A v2:1 IP 100.1.1.2
----------------------------------------------------------------------------------------------------
Number of IKE SA : 2Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTHRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UPM--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING[FW1]
[FW2]dis ike sa
2025-04-30 16:03:10.330 IKE SA information :
----------------------------------------------------------------------------------------------------
Conn-ID Peer 虚拟专用网络 Flag(s) Phase RemoteType RemoteID
----------------------------------------------------------------------------------------------------
2 100.1.1.1:500 RD|A v2:2 IP 100.1.1.1
1 100.1.1.1:500 RD|A v2:1 IP 100.1.1.1
----------------------------------------------------------------------------------------------------
Number of IKE SA : 2Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTHRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UPM--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING[FW2]
8. 抓包测试
这里开始抓包测试,查看发送的数据包是否数据保护成功,如果数据保护成功,数据包的 Protocol 是 ESP 协议,如果不成功则是 ICMP 协议,但是这里要注意的前提是抓包的位置。在IPSec 虚拟专用网络场景中,当数据包要通过外部网络传输时,会被ESP协议数据保护封装,以保护数据安全。而当数据包到达内网后,会进行解密还原成原始协议(如ICMP)以便内网设备正常处理。
抓两个接口的数据包。防火墙连接了两个接口,一个是外部网络的接口,一个内网的接口,因为不同位置的网络环境和数据处理流程不同,抓包结果会有差异。防火墙的外部网络接口抓包应显示 ESP,防火墙的内网接口抓包应显示 ICMP。
抓包位置与协议对应关系
| 场景 | 抓包现象 | 是否正常 | 原因 |
|---|---|---|---|
| 外部网络接口抓包 | ESP 协议 | ✔️ 正常 | IPSec 隧道数据保护跨网络流量 |
| 内网接口抓包 | 解密后的 ICMP | ✔️ 正常 | 流量已通过 IPSec 解密 |
| 内网接口抓包为 ESP | ❌ 异常 | ❌ 不正常 | ACL 或 IPSec 策略配置错误 |
抓包位置与协议对应关系
- 外部网络接口抓包:由于流量经过IPSec隧道数据保护,按照IPSec的工作机制,此时数据包应采用ESP协议进行封装,所以抓包显示ESP协议是正常的,原因是IPSec隧道数据保护跨网络流量。
- 内网接口抓包:数据包到达内网时已经经过了解密过程,恢复为原始协议,对于ping等基于ICMP的测试流量,抓包显示ICMP是正常的,原因是流量已通过IPSec解密。
- 内网接口抓包为ESP:这种情况是不正常的,因为内网流量理论上已经解密,不应该再以ESP协议形式存在。其原因可能是ACL(访问控制列表)或IPSec策略配置错误,导致数据包没有被正确解密或处理
配置完之后的抓包结果(这里是抓了两个接口的数据包):
这里上面部分抓包的是防火墙外部网络接口抓的数据包,Protocol带 ESP 说明数据包数据保护成功,ISAKMP 就是建立隧道的标记 (首次建立会有,不显示也不影响)。
这里下面部分抓包的是防火墙内网接口抓的数据包,Protocol带 ICMP 这个就是解密后的数据包。
在防火墙外部网络接口抓到的数据包是
ESP且内网接口抓到的数据包是ICMP就可以了。
抓包判断
| 场景 | 抓包现象 | 是否正常 | 原因 |
|---|---|---|---|
| PC1 → PC2(外部网络接口抓包) | ESP(数据保护) | ✔️ 正常 | 流量通过 IPSec 隧道数据保护传输 |
| PC1 → PC2(内网接口抓包) | ICMP(明文) | ✔️ 正常 | 流量已通过 IPSec 解密 |
| PC1 → 防火墙外部网络接口(外部网络接口抓包) | ICMP(明文) | ✔️ 正常 | 流量未触发 IPSec 数据保护 |
(1)如果说 PC1(192.168.1.1)主机给PC2(192.168.2.2)主机发送数据包,从对端防火墙外部网络接口(100.1.1.2)开始抓包,结果是以下这样的:
看到的是数据保护的ESP数据包(无法识别原始内容)
(2)如果说 PC1(192.168.1.1)主机给PC2(192.168.2.2)主机发送数据包,从对端防火墙内网接口(192.168.2.254)开始抓包,结果是以下这样的:
看到的是解密后的明文数据(如原始ICMP/TCP流量)
(3)如果说 PC1(192.168.1.1)主机给对端防火墙外部网络接口(100.1.1.2)发送数据包,从对端防火墙外部网络接口(100.1.1.2)开始抓包,结果是以下这样的:
无相关流量(因目标非内网网段,不触发虚拟专用网络加解密)
