实验拓扑:
设备型号:H3C MSR36-20
接口地址:ipsec1 g0/0,1.1.1.1
ipsec2 g0/0,1.1.1.2
IPSec1内部地址:172.16.168.0/24
IPSec2内部地址:192.168.168.0/24
目的:建立IPSec隧道,使172网段和192网段互通
(1)配置IPSec1
# 配置高级ACL,定义要保护由子网172.16.168.0/24去往子网192.168.168.0/24的数据流。
<RouterA> system-view
[RouterA] acl advanced 3001
[RouterA-acl-ipv4-adv-3001] rule permit ip source 172.16.168.0 0.0.0.255 destination 192.168.168.0 0.0.0.255
# 配置到达IPSec2所在子网的静态路由。
[RouterA] ip route-static 192.168.168.0 255.255.255.0 1.1.1.2
# 创建IPsec安全提议tran1。
[RouterA] ipsec transform-set tran1
# 配置安全协议对IP报文的封装形式为隧道模式。
[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[RouterA-ipsec-transform-set-tran1] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。
[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
# 创建并配置IKE keychain,名称为key1。
[RouterA] ike keychain key1
# 配置与IP地址为1.1.1.2的对端使用的预共享密钥为明文ipsectest
[RouterA-ike-keychain-keychain1] pre-shared-key address 1.1.1.2 255.255.255.0 key simple ipsectest
# 创建并配置IKE profile,名称为pro1
[RouterA] ike profile pro1
[RouterA-ike-profile-profile1] keychain key1
[RouterA-ike-profile-profile1] match remote identity address 1.1.1.2 255.255.255.0
# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。
[RouterA] ipsec policy map1 10 isakmp
# 指定引用ACL 3001。
[RouterA-ipsec-policy-isakmp-map1-10] security acl 3001
# 指定引用的安全提议为tran1。
[RouterA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定IPsec隧道的本端IP地址为1.1.1.1,对端IP地址为1.1.1.2
[RouterA-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1
[RouterA-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.2
# 指定引用的IKE profile为pro1。
[RouterA-ipsec-policy-isakmp-map1-10] ike-profile pro1
# 在接口GigabitEthernet0/0上应用安全策略map1。
[RouterA] interface gigabitethernet 0/0
[RouterA-GigabitEthernet2/0/2] ip address 1.1.1.1 255.255.255.0
[RouterA-GigabitEthernet2/0/2] ipsec apply policy map1
(2) 配置Router B
# 配置一个IPv4高级ACL,定义要保护由子网192.168.168.0/24去往子网172.16.168.0/24的数据流。
<RouterB> system-view
[RouterB] acl advanced 3001
[RouterB-acl-ipv4-adv-3001] rule permit ip source 192.168.168.0 0.0.0.255 destination 172.16.168.0 0.0.0.255
# 配置到达Host A所在子网的静态路由。
[RouterB] ip route-static 172.16.168.0 255.255.255.0 1.1.1.1
# 创建IPsec安全提议tran1。
[RouterB] ipsec transform-set tran1
# 配置安全协议对IP报文的封装形式为隧道模式。
[RouterB-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[RouterB-ipsec-transform-set-tran1] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。
[RouterB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[RouterB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
# 创建并配置IKE keychain,名称为key1
[RouterB] ike keychain key1
[RouterB-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple ipsectest
# 创建并配置IKE profile, 名称为pro1
[RouterB] ike profile pro1
[RouterB-ike-profile-profile1] keychain key1
[RouterB-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0
# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。
[RouterB] ipsec policy map1 10 isakmp
# 指定引用ACL 3001。
[RouterB-ipsec-policy-isakmp-use1-10] security acl 3001
# 指定引用的IPsec安全提议为tran1。
[RouterB-ipsec-policy-isakmp-use1-10] transform-set tran1
[RouterB-ipsec-policy-isakmp-use1-10] local-address 1.1.1.2
[RouterB-ipsec-policy-isakmp-use1-10] remote-address 1.1.1.1
# 指定引用的IKE对等体为pro1。
[RouterB-ipsec-policy-isakmp-use1-10] ike-profile pro1
# 在接口GigabitEthernet0/0上应用IPsec安全策略map1
[RouterB] interface gigabitethernet 2/0/2
[RouterB-GigabitEthernet2/0/2] ip address 1.1.12 255.255.255.0
[RouterB-GigabitEthernet2/0/2] ipsec apply policy map1
验证配置
以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。可通过以下显示查看到协商生成的IPsec SA。
![【CTF Web】NSSCTF 3861 [LitCTF 2023]我Flag呢?Writeup(信息收集+源码泄漏+代码审计)](https://img-blog.csdnimg.cn/direct/cea19a227c8746f9821ff7a5b8dcebe6.png)
