IPSec_VPN实验

2024年3月29日发(作者：)

IPSec VPN典型配置实验

【实验目的】

1、理解IPSec（IP Security）协议在网络安全中的作用。

2、理解IP层数据加密与数据源验证的原理。

3、掌握实现IPSec VPN的典型配置方法。

【实验内容】

1、 按实验一中图1-1搭建本地配置环境，通过Console接口对A和B进行IPSec VPN配置。

配置要求为：安全协议采用ESP协议，加密算法采用DES，验证算法采用SHA1-HMAC-96。

2、 按图2-1拓扑结构组网，在A和B之间建立一个安全隧道，对PC A代表的子网（10.1.1.x）

与PC B代表的子网（10.1.2.x）之间的数据流进行安全保护。

3、 从子网A向子网B发送数据包，对配置结果进行验证。

【实验环境】

1、 H3C SecPath硬件防火墙两台。

2、 PC个人计算机两台。

3、 Console口配置电缆两根。

4、 RJ-45直通（或交叉）网线三根。

防火墙A 防火墙B

Ethernet0/0 Ethernet0/0

22.1.1.1 22.1.2.1

Ethernet1/0 Ethernet1/0

208.38.163.1 208.38.162.1

PC A：

PC B：

22.1.1.2

22.1.2.2

图2-1 IPSec VPN组网图

【实验参考步骤】

1、按图2-1拓扑结构组网。

2、按实验一相应步骤建立本地配置环境并进入系统视图。

3、配置IPSec VPN

第一步：配置A

1

（1）定义ethernet 0/0（LAN口）为内部安全区域接口。

[H3C] firewall zone trust

[H3C -zone-trust] add interface ethernet 0/0

[H3C]quit

定义ethernet 1/0（WAN口）为外部广域网接口。

[H3C] firewall zone untrust

[H3C -zone-untrust] add interface ethernet 1/0

[H3C]quit

（2）配置一个访问控制列表，定义由子网10.1.1.x去子网10.1.2.x的数据流。

[H3C] acl number 3101

[H3C-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

[H3C-acl-adv-3101] rule deny ip source any destination any

（3）配置到PC B的静态路由。

[H3C] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1

（4）创建名为tran1的安全提议。

[H3C] ipsec proposal tran1

（5）报文封装形式采用隧道视图。

[H3C-ipsec-proposal-tran1] encapsulation-mode tunnel

（6）安全协议采用ESP协议。

[H3C-ipsec-proposal-tran1] transform esp

（7）选择算法。

[H3C-ipsec-proposal-tran1] esp encryption-algorithm des

[H3C-ipsec-proposal-tran1] esp authentication-algorithm sha1

（8）退回到系统视图。

[H3C-ipsec-proposal-tran1] quit

（9）创建一条安全策略，协商方式为manual。

[H3C] ipsec policy map1 10 manual

（10）引用访问控制列表。

[H3C-ipsec-policy-manual-map1-10] security acl 3101

（11）引用安全提议。

[H3C-ipsec-policy-manual-map1-10] proposal tran1

（12）设置对端地址。

[H3C-ipsec-policy-manual-map1-10] tunnel remote 202.38.162.1

（13）设置本端地址。

[H3C-ipsec-policy-manual-map1-10] tunnel local 202.38.163.1

（14）设置SPI。

[H3C-ipsec-policy-manual-map1-10] sa spi outbound esp 12345

[H3C-ipsec-policy-manual-map1-10] sa spi inbound esp 54321

（15）设置密钥。

[H3C-ipsec-policy-manual-map1-10] sa string-key outbound esp abcdefg

[H3C-ipsec-policy-manual-map1-10] sa string-key inbound esp gfedcba

[H3C-isec-policy-manual-map1-10] quit

（16）配置本端以太网口的IP地址（Ethernet0/0）

[H3C] interface ethernet 0/0

[H3C-Ethernet0/0] ip address 10.1.1.1 255.255.255.0

[H3C]interface ethernet 1/0

[H3C-Ethernet1/0] ip address 202.38.163.1 255.0.0.0

（17）配置本端广域网口的IP地址（Ethernet1/0）。

（18）应用安全策略组。

[H3C-Ethernet1/0] ipsec policy map1

（19）保存当前设置

[H3C]save

2