IPSec VPN的产生背景

  企业分支之间经常有互联的需求，企业互联的方式很多，可以使用广域网专线或者Internet线路。

      部分企业从成本和需求的考虑点出发会选择使用Internet进行互联 ，但是存在信息泄露等安全风险 ，因此保障数据在传输时不会被窃取或者被篡改成为了重点关注因素 。可以在各分支与总部之间建立IPSec隧道 ，通过将数据报文进行加密传输 ，达到保障企业安全互联的目的。

IPSec VPN点到点应用场景

 点到点IPSec VPN也称为局域网到局域网IPSec VPN或网关到网关IPSec VPN ，主要用于两个网关之间建立IPSec隧道 ，从而实现局域网之间安全地互访。

       点到点IPSec VPN两端网关必须提供固定的IP地址或固定的域名，通信双方都可以主动发起连接。

实验拓扑

实验配置

1.配置接口ip，划分安全区域

2.配置acl定义被保护的数据流

[fw1]acl 3000

[fw1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 des 192.168.2.0 0.

0.0.255

fw2同理

3.配置ike、ipsec安全提议（采用默认配置）

[fw1]ike proposal 10 

[fw1]ipsec proposal 10

Fw2同理，

4.配置对等体

[fw1-ike-peer-a]ike-proposal 10

[fw1-ike-peer-a]pre-shared-key tke@123// 两端预共享密钥得一致

[fw1-ike-peer-a]remote-address 1.1.2.22

Fw2同理

5.配置ipsec策略

[fw1]ipsec  policy ipsec1 10 isakmp

[fw1-ipsec-policy-isakmp-ipsec1-10]proposal 10

[fw1-ipsec-policy-isakmp-ipsec1-10]security acl 3000

[fw1-ipsec-policy-isakmp-ipsec1-10]ike-peer a//对端设备在设置对等体对端名称的的时候不要一样

[fw1-ipsec-policy-isakmp-ipsec1-10]q

6.在接口下应用ipsec策略

[fw1]int g 1/0/0

[fw1-GigabitEthernet1/0/0]ipsec policy ipsec1

7.配置安全策略

fw1：

security-policy

 rule name t-u

  source-zone trust

  destination-zone untrust

  source-address 192.168.1.0 mask 255.255.255.0

  destination-address 192.168.2.0 mask 255.255.255.0

  action permit

 rule name u-t

  source-zone untrust

  destination-zone trust

  source-address 192.168.2.0 mask 255.255.255.0

  destination-address 192.168.1.0 mask 255.255.255.0

  action permit

 rule name l-u

  source-zone local

  destination-zone untrust

  source-address 1.1.1.11 mask 255.255.255.255

  destination-address 1.1.2.22 mask 255.255.255.255

  action permit

 rule name u-l

  source-zone untrust

  destination-zone local

  source-address 1.1.2.22 mask 255.255.255.255

  action permit

fw2同理

8.配置路由

[r1]ip route-static 192.168.1.0 24 1.1.1.11

[r1]ip route-static 192.168.2.0 24 1.1.2.22

[fw1]ip route-static 1.1.2.0 24 1.1.1.1

[fw1]ip route-static 192.168.2.0 24 1.1.1.1

fw2同理

实验结果

使用pc1 ping pc2 可以通信