GRE OVER IPSEC WITH OSPF配置举例
摘要:本文简单描述了应用了OSPF路由的GRE Over IPsec的特点,详细描述了在SecPath 系列防火墙上配置GRE over IPsec with OSPF的基本配置方法和详细步骤,给出了一种GRE Over IPsec with OSPF的基本配置案例。
目录
1 特性介绍 (3)
2 特性的优点 (3)
3 使用指南 (3)
3.1 使用场合 (3)
3.2.1 配置IPsec安全联盟 (3)
3.2.2 配置GRE协议 (5)
3.2.3 配置OSPF路由协议 (6)
3.3 注意事项 (6)
3.4 举例 (7)
3.4.1 组网需求 (7)
3.4.2 组网图 (7)
3.4.3 配置 (7)
3.4.4 验证结果 (12)
3.4.5 故障排除 (15)
4 关键命令 (16)
4.1 ipsec policy(系统视图) (16)
4.2 ipsec card-proposal (17)
4.3 ike peer (18)
5 相关资料 (18)
5.1 相关协议和标准 (18)
1特性介绍
IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel 的技术。Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel 的两端分别对数据报进行封装及解封装。
通常情况下,IPsec不能传输路由协议,例如RIP和OSPF;或者非IP数据流,例如IPX (Internetwork Packet Exchange)和AppleTalk。这样,如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由。
2 特性的优点
该特性适合较为大型的网络中总部与分支机构之间,保证了所有的数据,包括路由信息在内的所有报文都能够得到保护。
3 使用指南
3.1 使用场合
1) 总部与分支机构跨越Internet互联。
2) 总部与分支机构之间的路由协议为动态路由协议。
3.2 配置步骤
配置GRE over IPsec with OSPF,需要配置以下内容:
●配置IPsec安全联盟
●配置GRE协议
●配置OSPF路由协议
3.2.1 配置IPsec安全联盟
IPsec的配置主要包含以下几个步骤:
●配置访问控制列表
●配置IKE对等体
●定义安全提议
●创建安全策略
●在接口上应用安全策略
●使能加密卡快转功能
1. 配置访问控制列表
IPsec使用高级访问控制列表来判断哪些报文需要受到保护,哪些则不需要,用于IPsec的扩展访问控制列表可称为加密访问控制列表。发起方的访问控制列表的镜像应该为接收方的访问控制列表的子集,或者双方的访问控制列表互为镜像,这样协商才能成功。建议用户将
2. 配置IKE对等体
在实施IPsec的过程中,可以使用Internet密钥交换IKE(Internet Key Exchange)协议来建立安全联盟,该协议建立在由Internet安全联盟和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)定义的框架上。IKE为IPsec提供了自动协商交换
3. 定义安全提议
安全提议保存IPsec需要使用的特定安全性协议以及加密/验证算法,为IPsec协商安全联盟
4. 创建安全策略
安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;后者则由IKE自动协商生成这些参数。本文档仅介绍IKE 方式创建安全策略。
5. 在接口上应用安全策略组
为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密安全网关配合进行报文的加密处理。
6. 启用加密卡快转功能
加密卡快转指的是对于[SourIP, SourPort, DestIP, DestPort, Prot]五元组相同的一系列报文,安全网关在接收或发送第一个报文时就会创建一个快转表项,之后符合此表项的所有报文都会直接被发往加密卡进行加密或解密,然后再由加密卡发往目的出口。这样省去了对每个报文逐一进行从IP到IPsec的处理,加速了处理过程。
3.2.2 配置GRE协议
在各项配置中,必须先创建虚拟Tunnel接口,才能在虚拟Tunnel接口上进行其它功能特性的配置。当删除虚拟Tunnel接口后,该接口上的所有配置也将被删除。
GRE主要配置包括:
●创建虚拟Tunnel接口(必选)
●设置Tunnel接口报文的封装模式(可选)
●指定Tunnel的源端(必选)
●指定Tunnel的目的端(必选)
●
3.2.3 配置OSPF路由协议
对于基本的OSPF配置,需要进行的操作包括:
●配置Router ID
●启动OSPF
●进入OSPF区域视图
3.3 注意事项
当配置GRE over IPsec with OSPF时,应该注意以下几点:
1) IPsec保护的数据流应该是GRE隧道两端的Tunnel接口地址,也就是说ACL的源和目的地址应该为Tunnel接口的Source和Destination。
2) 要使所有的数据流都要经由GRE over IPsec隧道转发,就必须配置路由使所有数据都由Tunnel接口转发。
3) 要使OSPF路由信息通过GRE隧道转发,就必须指定Tunnel接口所在网段运行OSPF 协议,而不能指定应用了IPsec策略组的接口所在网段。
3.4 举例
3.4.1 组网需求
本例使用一个通用组网图,使用的设备皆为SecPath系列防火墙。SecPathA和SecPathB分别为两个局域网络的出口防火墙,在两个防火墙之间建立GRE over IPsec隧道。为模拟Internet网络,使用Router作为中间路由器,只需要简单配置IP地址即可。网段17.1.1.0/24和17.2.1.0/24将通过GRE over IPsec隧道互通。
3.4.2 组网图
图1 GRE over IPsec with OSPF典型组网图
3.4.3 配置
1. 使用的版本
H3C Comware Platform Software
Comware software, Version 3.40, Release 1607P03
Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd.
All rights reserved.
Without the owner's prior written consent, no decompiling
nor reverse-engineering shall be allowed.
H3C SecPath F1000-S uptime is 0 week, 0 day, 0 hour, 1 minute
CPU type: Mips BCM1125H 600MHz
512M bytes DDR SDRAM Memory
16M bytes Flash Memory
Pcb Version:3.0
Logic Version:2.0
BootROM Version:1.22
[SLOT 0] 2GBE (Hardware)3.0, (Driver)2.0, (Cpld)2.0
[SLOT 1] 2GBE (Hardware)3.0, (Driver)2.0, (Cpld)2.0
[SLOT 2] NDEC (Hardware)3.0, (Driver)3.3, (Cpld)2.0
Routing Platform Software
Version SecPath F1000-S 8042V100R006B01D027SP01 (COMW AREV300R002B40D028), RELEASE SOFTWARE
Compiled Mar 13 2007 17:38:39 by xiedong
3.4.4 验证结果
1) 查看SecPathA与SecPathB之间IKE SA是否正常建立[SecPathA] display ike sa
Total IKE phase-1 SAs: 2
connection-id peer flag phase doi
----------------------------------------------------------
13 2.1.1.1 RD 1 IPSEC
14 2.1.1.1 RD 2 IPSEC
flag meaning
RD--READY ST--STAY ALIVE RL--REPLACED FD--FADING TO--TIMEOUT [SecPathA]
2) 查看SecPathA与SecPathB之间的IPSEC SA是否正常建立[SecPathA] display ipsec sa
===============================
Interface: GigabitEthernet0/0
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "pol"
sequence number: 10
mode: isakmp
-----------------------------
Created by: "Encrypt-card"
connection id: 3
encapsulation mode: tunnel
perfect forward secrecy: None
tunnel:
local address: 1.1.1.1
remote address: 2.1.1.1
flow: (67 times matched)
sour addr: 1.1.1.1/255.255.255.255 port: 0 protocol: IP
dest addr: 2.1.1.1/255.255.255.255 port: 0 protocol: IP
[inbound ESP SAs]
spi: 162734026 (0x9b31fca)
proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1
sa remaining key duration (bytes/sec): 1887433736/3367
max received sequence-number: 33
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 880960815 (0x3482652f)
proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1
sa remaining key duration (bytes/sec): 1887432096/3367
max sent sequence-number: 35
udp encapsulation used for nat traversal: N
[SecPathA]
3) 查看SecPathA与SecPathB之间OSPF邻居是否正常建立[SecPathA] display ospf peer
OSPF Process 1 with Router ID 1.1.1.1
Neighbors
Area 0.0.0.0 interface 10.1.1.1(Tunnel0)'s neighbor(s)
RouterID: 2.1.1.1 Address: 10.1.1.2
State: Full Mode: Nbr is Master Priority: 1
DR: None BDR: None
Dead timer expires in 34s
Neighbor has been up for 00:06:16
[SecPathA]
4) 查看SecPathA/SecPathB是否学到对端OSPF路由[SecPathA] display ip routing-table
Routing Table: public net
Destination/Mask Protocol Pre Cost Nexthop Interface
1.1.1.0/24 DIRECT 0 0 1.1.1.1 GigabitEthernet0/0
1.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
2.1.1.0/24 STATIC 60 0 1.1.1.2 GigabitEthernet0/0 10.1.1.0/24 DIRECT 0 0 10.1.1.1 Tunnel0
10.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
17.1.1.0/24 DIRECT 0 0 17.1.1.1 GigabitEthernet0/1 17.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
17.2.1.0/24 OSPF 10 1563 10.1.1.2 Tunnel0
127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 [SecPathA]
5) 检查两个局域网之间是否能够通过GRE over IPsec隧道互通[SecPathA] ping -c 2 -a 17.1.1.1 17.2.1.1
PING 17.2.1.1: 56 data bytes, press CTRL_C to break
Reply from 17.2.1.1: bytes=56 Sequence=1 ttl=255 time=2 ms
Reply from 17.2.1.1: bytes=56 Sequence=2 ttl=255 time=1 ms
--- 17.2.1.1 ping statistics ---
2 packet(s) transmitted
2 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/2 ms
[SecPathA]tracert -a 17.1.1.1 17.2.1.1
traceroute to 17.2.1.1(17.2.1.1) 30 hops max,40 bytes packet
1 10.1.1.
2 2 ms 2 ms 1 ms
[SecPathA]display ipsec statistics
the security packet statistics:
input/output security packets: 91/92
input/output security bytes: 13192/13296
input/output dropped security packets: 0/58
dropped security packet detail:
no enough memory: 0
can't find SA: 58
queue is full: 0
authentication is failed: 0
wrong length: 0
replay packet: 0
too long packet: 0
wrong SA: 0
[SecPathA]
3.4.5 故障排除
配置参数建立IPsec安全通道时,可以打开IKE的Error调试开关,帮助我们查找配置问题。其命令是:
1. 故障之一:非法用户身份信息
故障排除:用户身份信息是发起IPsec通信的用户用来标识自己的数据。在实际应用中我们可以通过用户身份标识实现对不同的数据流建立不同的安全通道进行保护。目前我们是通过用户的IP地址来标识用户。
可以看到调试信息:
got NOTIFY of type INV ALID_ID_INFORMA TION
或者:
drop message from A.B.C.D due to notification type INV ALID_ID_INFORMA TION
检查协商两端接口上配置的安全策略中的ACL内容是否相容。建议用户将两端的ACL配置成互为镜像的。ACL镜像的含义请参考IPsec配置中“配置访问控制列表”内容。
2. 故障之二:提议不匹配
故障排除:
可以看到调试信息:
got NOTIFY of type NO_PROPOSAL_CHOSEN
或者:
drop message from A.B.C.D due to notification type NO_PROPOSAL_CHOSEN
协商双方没有可以匹配的提议。对于阶段1,检查IKE proposal是否有与对方匹配的。对于阶段2协商,检查双方接口上应用的IPsec安全策略的参数是否匹配,引用的IPsec安全提议的协议、加密算法和验证算法是否有匹配的。
3. 故障之三:无法建立安全通道
故障排除:实际应用中有时会发现在不稳定的网络状态下,安全通道无法建立或者存在安全
通道却无法通信,而且检查双方的ACL的配置正确,也有匹配的提议。
这种情况一般是安全通道建立好以后,有一方的安全网关重启造成的。解决办法:
●使用display ike sa命令检查双方是否都已建立阶段1的SA。
●使用display ipsec sa policy命令查看接口上的安全策略是否已建立了IPsec SA。
●根据以上两步的结果查看,如果有一方存在的SA在另一方不存在的情况,使用reset ike sa命令清除错误存在的SA,重新发起协商。
4. 故障之四:初次在接口上应用IPsec策略,收发端可正常加解密数据流;关闭掉IPsec 功能后,收发端仍可正常通信;再次应用IPsec策略后,报文不能进行IPsec处理,无法Ping 通对端。
故障排除:此问题一般出现在通信发起端直接在安全策略视图下配置安全策略,而被连接端通过引用安全策略模板来创建安全策略的情况下。当第一次使用IPsec的时候,两端可以互通是正常的。但是当第二次不使用IPsec功能时,就会在通信被连接端建立一个快转表项。当第三次又使用IPsec的时候,由于这个快转表项的存在,从而导致报文不能进入IPsec处理。因此,当第三次使用IPsec之前,通信两端使用reset ip fast-forwarding cache命令清除快速转发缓冲区中的内容,就可以恢复正常通信了。
4 关键命令
配置本特性的关键命令有:
●ipsec policy(系统视图)
●ipsec card-proposal
●ike peer
4.1 ipsec policy(系统视图)
【命令】
ipsec policy policy-name seq-number [ manual | isakmp [ template template-name ] ]
undo ipsec policy policy-name [ seq-number ]
【视图】
系统视图
【参数】
policy-name:安全策略的名称。命名规则为:长度为1~15个字符,不区分大小写,字符可以是英文字母或者数字,不能带减号“-”。
seq-number:安全策略的顺序号,取值范围1~10000,值越小优先级越高。
manual:指定用手工方式建立安全联盟。
isakmp:指定通过IKE协商建立安全联盟。
template:指定采用策略模板动态创建安全联盟。
template-name:指定被引用的template的名称。此policy-nam e将引用template-name。template-name是一个策略模板。在此之前,名为template-name的安全策略模板必须已经创建。
【描述】
在系统视图下,ipsec policy命令用来创建或修改一条安全策略,并进入安全策略(ipsec policy)视图,undo ipsec policy命令用来删除安全策略。使用undo ipsec policy policy-name
命令,用来删除名称为policy-name的安全策略组;使用undo ipsec policy policy-name seq-number命令,用来删除名称为policy-name,顺序号为seq-number的一条安全策略。
缺省情况下,没有安全策略存在。
使用此命令创建安全策略时,必须指定协商方式;在安全策略创建后,不能修改协商方式,如果要修改安全策略的协商方式,只能先删除这条安全策略,在重新创建安全策略时,指定新的协商方式。
具有相同名字的安全策略一起组成一个安全策略组。由名字和顺序号一起确定一条唯一的安全策略。在一个安全策略组中最大可以设置500条安全策略。在一个安全策略组中,顺序号seq-number越小的安全策略,优先级越高。在一个接口上应用一个安全策略组,实际上是同时应用了安全策略组中所有的安全策略,从而能够对不同的数据流采用不同的安全联盟进行保护。
ipsec policy policy-name seq-number isakmp template template-name命令创建一个安全策略,该策略由IKE协商建立安全联盟,而策略的参数根据template-name指定的策略模板来确定。在配置此命令前,必须已经使用命令ipsec policy-template创建策略模板。在协商过程中进行策略匹配时,策略模板中定义的参数必须相符,而策略模板中没有定义的参数由发起方来决定,响应方接受发起方的建议。策略模板中必须定义的参数是提议(proposal),其它参数为可选配置。
注意:IKE不会用带有template参数的策略去发起协商。但可以用带有template参数的策略响应对方发起的协商。
相关配置可参考命令ipsec policy(接口视图),security acl,tunnel local,t unnel remote,sa duration,proposal,display ipsec policy,ipsec policy-template,ike-pee r。
【举例】
# 设置名称为policy1,顺序号为100,采用ISAKMP方式协商的安全策略。
[H3C] ipsec policy policy1 100 isakmp
[H3C-ipsec-policy-isakmp-policy1-100]
4.2 ipsec card-proposal
【命令】
ipsec card-proposal proposal-name
undo ipsec card-proposal proposal-name
【视图】
系统视图
【参数】
proposal-name:加密卡安全提议的名称,小于16个字符组成的字符串,不区分大小写。【描述】
ipsec card-proposal命令用来创建并进入加密卡安全提议视图。undo ipsec card-proposal命令用来删除加密卡安全提议。
本命令适用于加密卡提议视图(相应的加密/解密/认证在加密卡上完成);而主机软件同时还兼容应用于主机本身的安全提议视图(命令为ipsec proposal),相应的加密/解密/认证处理由主机完成。在本视图下的操作中除了增加了use encrypt-card命令用来指定加密卡安全提议使用的加密卡的槽位外,其他的配置与ipsec proposal命令完全相同。
在完成安全提议下的配置后,需要使用命令quit退回到系统视图进行其他信息的设置。【举例】
# 创建名称为card的加密卡安全提议、使用1/0槽位的加密卡,并且进行安全和加密算法的配置。
[H3C] ipsec card-proposal card
[H3C-ipsec-card-proposal-card] use encrypt-card 1/0
[H3C-ipsec-card-proposal-card] transform ah-esp
[H3C-ipsec-card-proposal-card] ah authentication-algorithm sha1
[H3C-ipsec-card-proposal-card] esp authentication-algorithm sha1
[H3C-ipsec-card-proposal-card] esp encryption-algorithm 3des
[H3C-ipsec-card-proposal-card] quit
[H3C]
以上配置创建了名为card的加密卡安全提议,使用安全网关槽位1/0上的加密卡,设置采用的安全协议为ah-esp,AH的认证算法为SHA1,ESP的认证和加密算法分别为SHA1和3DES。最后退回到系统视图。
4.3 ike peer
【命令】
ike peer peer-name
undo ike peer peer-name
【视图】
系统视图
【参数】
peer-name:IKE对等体名,最多15个字符。
【描述】
ike peer命令用于配置一个IKE对等体,并进入ike peer视图,undo ike peer命令用于删除一个IKE对等体。
【举例】
# 配置IKE对等体为new_peer,并进入ike peer视图。
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer]
5 相关资料
5.1 相关协议和标准
表1 相关协议与标准
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
IPSEC穿越NAT 典型配置指导 Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司
IPSEC穿越NAT特性典型配置指导目录 目录 1 特性介绍 (2) 2 特性的优点 (2) 3 使用指南 (2) 3.1 使用场合 (2) 3.2 配置步骤 (2) 3.2.1 配置IKE安全提议 (3) 3.2.2 配置IKE对等体 (4) 3.2.3 配置IPSEC访问控制列表 (4) 3.2.4 配置IPSEC安全提议 (5) 3.2.5 配置IPSEC安全策略 (5) 3.2.6 应用IPSEC安全策略 (6) 3.3 注意事项 (6) 3.4 举例:隧道模式下的IPSEC穿越NAT (6) 3.4.1 组网需求 (6) 3.4.2 组网图 (7) 3.4.3 硬件连接图 (7) 3.4.4 配置 (7) 3.4.5 验证结果 (11) 3.4.6 故障排除 (11) 4 关键命令 (12) 4.1 nat traversal (12) 5 相关资料 (13) 5.1 相关协议和标准 (13) 5.2 其他相关资料 (13)
IPSEC 穿越NAT 特性典型配置指导 正文 关键词:IPSEC ,NAT 摘 要:本文简单描述IPSEC 及其穿越NAT 特性的特点,详细描述了路由器上配置IPSEC 穿越 NAT 的基本方法和详细步骤,给出了一种IPSEC 穿越NAT 方法的配置案例。 缩略语: 第1页
1 特性介绍 IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互 操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证 数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。 如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。 2 特性的优点 IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极 大拓展了IPSEC VPN的应用范围。 3 使用指南 3.1 使用场合 用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用 IPSEC穿越NAT特性。 要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持 此特性。 路由器VRP版本要求是VRP 3.3 Release 0006及以上。 3.2 配置步骤 IPSec协议有两种操作模式:传输模式和隧道模式。在传输模式下,AH或ESP被插入到IP头 之后但在所有传输层协议之前,或所有其他IPSec协议之前。在隧道模式下,AH或ESP插在原始 IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可 第2页
H C M S R系列路由器 I P s e c典型配置举例V 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
7 相关资料
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
网络拓扑 环境:接口地址都已经配置完,路由也配置了,双方可以互相通信了 密钥认证的算法2种:md5和sha1 加密算法2种: des和3des IPsec传输模式3种: AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(s ha1验证) ESP加密参数:esp-des(des加密)、esp-3des(3des 加密)、esp-null(不对数据进行加密) ESP验证参数:esp-md5-hmac(md5验证)、esp-sha-h mac(采用sha1验证) 1 启用IKE协商 routerA
routerA(config)#crypto isakmp policy 1 建立IKE协商策略(1是策略编号1-1000,号越小,优先级越高 routerA(config-isakmap)#hash md5 密钥认证的算法 routerA(config-isakmap)#authentication pre-sh are告诉路由使用预先共享的密钥 routerA(config)#crypto isakmp key 123456 addr ess 20.20.20.22 (123456是设置的共享密20.2 0.20.22是对端的IP地址)。 routerB routerB(config)#crypto isakmp policy 1 routerB(config-isakmap)#hash md5 routerB(config-isakmap)#authentication pre-sh are routerB(config)#crypto isakmp key 123456 addr ess 20.20.20.21 (路由B和A的配置除了这里的对端IP地址变成了20.20.20.21,其他都要一样的)。 2 配置IPSec相关参数 routerA
AR路由器配置IKE方式的IPSec VPN IPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全 协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。在Internet的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec 后,可对传输的数据进行保护处理,降低信息泄漏的风险。 采用默认配置通过IKE协商方式建立IPSec隧道示例 组网需求 如图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为/24,总部子网为/24。 企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。 图1 采用默认配置通过IKE协商方式建立IPSec隧道组网图 配置思路 采用如下思路配置采用IKE协商方式建立IPSec隧道: 1.配置接口的IP地址和到对端的静态路由,保证两端路由可达。 2.配置ACL,以定义需要IPSec保护的数据流。 3.配置IPSec安全提议,定义IPSec的保护方法。 4.配置IKE对等体,定义对等体间IKE协商时的属性。 5.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方 法。 6.在接口上应用安全策略组,使接口具有IPSec的保护功能。 操作步骤 1.分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由 # 在RouterA上配置接口的IP地址。
组网说明: 本案例采用H3C HCL模拟器来模拟IPV6 IPSEC+IKE预共享密钥典型组网配置。为了保证数据传输安全,在R1与R2建立Ipsec vpn隧道。全网采用OSPFv3协议互通。 配置思路: 1、按照网络拓扑图正确配置IP地址。 2、R1与R2建立IPSEC VPN隧道 配置过程: 第一阶段调试(基础网络配置:) R1:
[R1-GigabitEthernet0/1]ospfv3 1 area 0 [R1-GigabitEthernet0/1]quit R2:
论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】
H3C L2TP-IPSEC办公网典型组网方案【一个ETHERNET口对多个分部】【拓扑图+详细配置】 网络拓扑图: 各设备详细配置:
undo ip option source-routing # dialer-rule 1 ip permit # ike peer cnc exchange-mode aggressive pre-shared-key cnc id-type name remote-name zx remote-address 60.0.0.1 nat traversal # ipsec proposal cnc # ipsec policy cnc 1 isakmp security acl 3000 ike-peer cnc proposal cnc # dhcp server ip-pool 1
network 10.70.65.0 mask 255.255.255.240 gateway-list 10.70.65.1 dns-list 202.99.224.8 202.99.224.68 # interface Bri3/0 link-protocol ppp # interface Dialer0 link-protocol ppp ppp pap local-user wy12345kdxwl@service2m.nm password simple xwl9600 mtu 1450 ip address ppp-negotiate dialer user wy12345kdxwl@service2m.nm dialer-group 1 dialer bundle 1 nat outbound 3100 ipsec policy cnc # interface Ethernet1/0
路由器-IPSec-Over-GRE典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用IPSec-Over-GRE的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 44 10.0.0.2 RD 1 IPSEC 48 10.0.0.6 RD 2 IPSEC 47 10.0.0.6 RD 1 IPSEC 45 10.0.0.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态: disp ipsec sa
=============================== Interface: Tunnel0 path MTU: 64000 =============================== ----------------------------- IPsec policy name: "branch1" sequence number: 10 mode: isakmp ----------------------------- connection id: 8 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 10.0.0.1 remote address: 10.0.0.2 flow: (4 times matched) sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP dest addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP [inbound ESP SAs] spi: 2701983530 (0xa10cff2a) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436664/2136 max received sequence-number: 2 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2132567950 (0x7f1c678e) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436632/2136 max sent sequence-number: 3 udp encapsulation used for nat traversal: N =============================== Interface: Tunnel1 path MTU: 64000 =============================== ----------------------------- IPsec policy name: "branch2" sequence number: 10 mode: isakmp ----------------------------- connection id: 9 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 10.0.0.5 remote address: 10.0.0.6 flow: (18 times matched) sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP dest addr: 192.168.3.0/255.255.255.0 port: 0 protocol: IP [inbound ESP SAs] spi: 1612204948 (0x60184b94) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436188/2886 max received sequence-number: 9