H3C SMB Router IPSec VPN配置指导.docx

上传人:b****7 文档编号:10142037 上传时间:2023-02-08 格式:DOCX 页数:21 大小:274.48KB
下载 相关 举报
H3C SMB Router IPSec VPN配置指导.docx_第1页
第1页 / 共21页
H3C SMB Router IPSec VPN配置指导.docx_第2页
第2页 / 共21页
H3C SMB Router IPSec VPN配置指导.docx_第3页
第3页 / 共21页
H3C SMB Router IPSec VPN配置指导.docx_第4页
第4页 / 共21页
H3C SMB Router IPSec VPN配置指导.docx_第5页
第5页 / 共21页
点击查看更多>>
下载资源
资源描述

H3C SMB Router IPSec VPN配置指导.docx

《H3C SMB Router IPSec VPN配置指导.docx》由会员分享,可在线阅读,更多相关《H3C SMB Router IPSec VPN配置指导.docx(21页珍藏版)》请在冰豆网上搜索。

H3C SMB Router IPSec VPN配置指导.docx

H3CSMBRouterIPSecVPN配置指导

SMBRouterIPSecVPN配置举例

关键词:

IKE、IPSec、VPN、NAT穿越、DPD、Hub&SPOKE

摘 要:

本文是对SMBRouter的IPSecVPN功能配置进行介绍,指导用户组网配置。

缩略语:

缩略语

英文全名

中文解释

IKE

InternetKeyExchange

因特网密钥交换

ISAKMP

InternetSecurityAssociationandKeyManagementProtocol

互联网安全联盟和密钥管理协议

IPSec

IPSecurity

IP安全

AH

AuthenticationHeader

认证头

ESP

EncapsulatingSecurityPayload

封装安全载荷

PFS

PerfectForwardSecrecy

完善的前向安全性

DPD

DeadPeerDetection

对等体存活检测

NAT

networkaddresstranslation

网络地址转换

 

目 录

1概述...3

1.1特性简介..3

1.2基本概念..3

1.2.1安全联盟..3

1.2.2IPSec封装模式..4

1.2.3验证算法..4

1.2.4加密算法..4

1.2.5协商方式..4

1.2.6IKEDPD.5

1.3IPSec配置指导..5

1.3.1配置思路..5

1.3.2配置指导..5

2一对一IPSecVPN典型配置案例...7

2.1.1组网需求..7

2.1.2组网图..7

2.1.3配置步骤..7

3Hub&SpokeVPN典型配置案例...11

3.1.1组网需求..11

3.1.2组网图..11

3.1.3设置步骤..12

4常见问题解答(FAQ)...17

4.1VPN隧道数据不通,如何处理?

..17

4.2若VPN组网中存在NAT设备,双方如何配置?

..17

4.3双WAN手动均衡时的路由问题..17

4.4策略路由的问题..18

 

1 概述

1.1 特性简介

H3CSMBRouter系列路由器是主要定位于中小企业市场、政府、网吧等环境的网络路由器,包括ER3000系列、ER5000系列、ICG1000系列等多个产品型号。

下文中将使用名称SMBRouter来统一指代这些产品。

本文是SMBRouter产品上IPSecVPN的配置指导,涉及到IKE和IPSec各项参数的配置注意以及与对端设备对接时的配置方案,此配置指导适用于H3CSMB系列路由器。

本文介绍的IPSecVPN特性配置适用于SMBRouter多个产品版本,具体版本包括:

ICG1000V100R006、ICG1800V100R004、ER3200V201R004、ER3100V201R004、ER5200V201R003、ER5100V201R003、ER3260V201R003。

请注意版本号R后面的数字,不小于所列版本号的产品均可以参考此文。

小于所列版本号的产品属于IPSec特性的旧版本,其配置方式有所不同,相对比较简单,此处不再详述。

 

1.2 基本概念

IPSec(IPsecurity)协议族是Internet工程专门小组IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全功能。

特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

1.2.1 安全联盟

IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体(Peer)。

IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。

例如,某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护,并使用3DES(TripleDataEncryptionStandard,三重数据加密标准)进行加密;另一方面,策略可能规定来自另一个站点的数据流只使用ESP保护,并仅使用DES加密。

通过安全联盟(SecurityAssociation,以下简称SA),IPSec能够对不同的数据流提供不同级别的安全保护。

●             安全联盟SA是IPSec的基础,也是IPSec的本质。

SA是通信对等体间对某些要素的约定,例如:

使用哪种协议(AH、ESP还是两者结合使用)、协议的操作模式(传输模式和隧道模式)、加密算法(DES和3DES)、特定流中保护数据的共享密钥以及SA的生存周期等。

●             安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。

同时,如果希望同时使用AH和ESP来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP。

●             安全联盟由一个三元组来唯一标识,这个三元组包括SPI(SecurityParameterIndex,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。

SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。

●             安全联盟具有生存周期。

生存周期的计算包括两种方式:

以时间为限制和以流量为限制,SMBRouter支持以时间为限制。

1.2.2 IPSec封装模式

IPSec协议有两种报文封装模式:

传输模式(transport)和隧道模式(tunnel)。

●             在传输模式下,AH或ESP被插入到IP报文头之后但在所有传输层协议之前,或所有其他IPSec协议之前。

●             在隧道模式下,AH或ESP插在原始IP报文头之前,另外生成一个新的报文头放到AH或ESP之前。

从安全性来讲,隧道模式优于传输模式。

它可以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。

从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。

传输模式适用于主机直接访问设备时之间的加密传输;而隧道模式则适用于更普遍的VPN应用。

SMBRouter只支持隧道模式,可适用于企业的IPSecVPN组网。

1.2.3 验证算法

AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。

验证算法(authentication-algorithm)的实现主要是通过杂凑函数。

杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。

IPSec对等体进行摘要计算,如果两个摘要是相同的,则表示报文是完整未经篡改的。

一般来说,IPSec使用两种验证算法:

●             MD5:

MD5通过输入任意长度的消息,产生128bit的消息摘要。

●             SHA-1:

SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。

SHA-1的摘要长于MD5,因而是更安全的。

1.2.4 加密算法

ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。

加密算法(encryption-algorithm)实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。

SMBRouter实现了三种加密算法:

●             DES(DataEncryptionStandard):

使用56bit的密钥对每个64bit的明文块进行加密。

●             3DES(TripleDES):

使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。

●             AES(AdvancedEncryptionStandard):

SMBRouter实现了128bit、192bit和256bit密钥长度的AES算法。

1.2.5 协商方式

有两种协商方式可以建立安全联盟:

手工方式(manual)和IKE协商(ISAKMP)。

前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IPSec的一些高级特性(例如定时更新密钥)不被支持,但优点是可以不依赖IKE而单独实现IPSec功能;后者则相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。

当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的。

对于中、大型的动态网络环境中,推荐使用IKE协商建立安全联盟。

1.2.6 IKEDPD

IKEDPD(DeadPeerDetection)是IPSec/IKE安全隧道对端状态探测功能。

DPD具有产生数据流量小、检测及时、隧道恢复快的优点,DPD功能可以有效地避免对端掉线而出现的加密黑洞,提高了IPSec协议的健壮性。

该功能符合RFC3706定义,在对接中可以确保互相兼容。

对IKE方式对接的IPSecVPN隧道,建议双方都开启DPD功能。

DPD的运行机制中分为发送端和接收端。

在发送端,当启动了DPD功能以后,当触发DPD向对端发送DPD请求时,本端等待应答报文。

接收端在收到DPD查询请求报文后,应该立即发送响应报文。

按照触发DPD查询的方式分为按需型(on-demand)和周期型(Period)。

SMBRouter上DPD功能是按需型的。

当本端SMBRouter收到对方发来的IPSec数据报文时,认为对方工作正常而不会发送DPD查询。

如果在DPD周期(intervaltime)没有收到对方的IPSec数据报文,则会开始发送DPD查询。

DPD查询发送后,DPD超时时间(time-out)定时器开始计时,本端还是按照发送周期不断发送查询。

在超过定时器设定的时间结束之前,如果所有的查询都收不到正确回应则认为对方断线,删除ISAKMPSA和相应的IPSecSA,安全隧道同样会被删除。

当有符合安全策略的报文需要发送时,会重新触发设备协商建立安全联盟。

1.3 IPSec配置指导

1.3.1 配置思路

通过IPSec在对等体之间(此处是指路由器及其对端)能够对不同的数据流实施不同的安全保护(验证、加密或两者同时使用)。

●             数据流的区分通过支持路由的IPSec虚接口和配置ACL来进行;

●             安全保护所用到的安全协议、验证算法和加密算法、操作模式等通过配置安全提议来进行;

●             数据流和安全提议的关联(即定义对何种数据流实施何种保护)、SA的协商方式、对等体IP地址的设置(即保护路径的起/终点)、所需要的密钥和SA的生存周期等通过配置安全策略来进行;

●             最后,通过路由设置将数据导入实施安全策略的IPSec虚接口即完成了IPSec的配置。

1.3.2 配置指导

SMBRouter上的IPSec配置请参照下列指导完成:

1.配置IPSec虚接口

2.定义IPSec安全提议

●             创建安全提议

●             选择安全协议(AH、ESP、AH+ESP)

●             选择安全算法(验证算法和加密算法)

3.创建IPSec安全策略(手工创建安全策略或用IKE创建安全策略)

(1)       手工创建安全策略

●             在安全策略中引用IPSec安全提议

●             在安全策略中定义访问控制列表

●             配置隧道对端地址和使用的IPSec虚接口

●             配置安全联盟的SPI

●             配置安全联盟使用的算法密钥

(2)       用IKE创建安全策略

●             定义IKE安全提议

●             定义IKE对等体,配置IKE协商方式和参数,引用IKE安全提议

●             在安全策略中引用IKE对等体

●             在安全策略中定义访问控制列表

●             配置协商时使用的PFS特性

4.配置IPSec虚接口上的路由

2 一对一IPSecVPN典型配置案例

一对一IPSecVPN组网主要面向部分小型的分支机构。

每个分支机构只与总部建立VPN隧道进行通信。

分支用户对于网络的链路要求不高,普通的ADSL线路即可满足要求;当然,用户也可以通过LAN接入。

对于总部网关部分,可以只考虑使用单台的网关设备来进行汇接,为满足各个分支网关的接入,总部网关使用静态IP配置。

VPN客户端可以采用静态或动态申请的IP地址与总部网关建立VPN链接。

另外,建议双方开启DPD功能,能有效监测链路状态,确保VPN的实时连通。

2.1.1 组网需求

在RouterA(采用ICG1000)和RouterB(采用ICG1000)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.1.0/24)之间的数据流进行安全保护。

安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。

2.1.2 组网图

图1组网示意图

 

2.1.3 配置步骤

1.设置RouterA

(1)       设置虚接口

VPN→IKE→虚接口

选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。

图2配置虚接口

 

(2)       设置IKE安全提议

VPN→IKE→安全提议

输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。

图3配置IKE安全提议

 

(3)       设置IKE对等体

VPN→IKE→对等体

输入对等体名称,选择对应的虚接口ipsec1。

在“对端地址”文本框中输入RouterB的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮。

图4设置IKE对等体

 

(4)       设置IPSec安全提议

VPN→IPSec→安全提议

输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。

图5配置IPSec安全提议

 

(5)       设置安全策略

VPN→IPSec→安全策略

输入安全策略名称,在“本地子网IP/掩码”和“对端子网/IP掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮。

图6配置IPSec安全策略

 

(6)       设置路由

需要为经过IPSecVPN隧道处理的报文设置路由,才能使隧道两端互通。

一般情况下,只需要为隧道报文配置静态路由即可。

配置静态路由时,指定目的地址网段后不需要指定下一跳地址,直接配置使用正确的IPSec虚接口即可。

图7配置静态路由

 

2.设置RouterB

在对端RouterB上,IPSecVPN的配置与RouterA是相互对应的。

如果对端也是使用ICG1000,则除了对等体的对端地址以及安全策略中的本地子网、对端子网需要对应修改,其他的设置均相似。

3 Hub&SpokeVPN典型配置案例

Hub&Spoke网络拓扑类型VPN是一种星型的VPN网络模型。

该模型中存在一个中心节点即Hub,所有其它分支节点即Spoke只与Hub协商建立IPSec隧道。

因此,每一个子网的网关仅需要配置到Hub的连接参数。

对于一个具有N个子网的网络拓扑,只需要协商建立N个VPN隧道。

各个分支节点Spoke之间通过Hub对流量的转发实现互相通信,并且不需要增加建立VPN隧道。

Hub作为终结隧道的头端设备,不仅需要完成与各个分支Spoke的VPN建立维护,还需要完成数据在不同隧道间的转发。

Hub&SpokeVPN的优点是:

对分支Spoke路由器的要求低,只需要其维护一条IPSec隧道;减化配置的复杂性,增加一个分支点只会增加一条隧道;只有中心Hub需要静态IP配置,其他分支可以不再申请使用静态IP。

当然,这种VPN的缺点也显而易见:

VPN的性能和可靠性过于依赖中心端Hub;当分支都使用动态地址时,只能由分支Spoke来初始建立IPSec隧道。

3.1.1 组网需求

在Hub&SpokeVPN组网方案中,SMBRouter既可以充当分支Spoke,也可以作为中心Hub使用。

由于不同Spoke之间的子网要求互通,在隧道的访问控制表定义上可以尽可能放宽,使用any地址方式配置可以确保网络中增加Spoke时隧道配置不需要变动。

然后通过将其他Spoke子网的路由指向隧道的IPSec虚接口,本子网可以通过一条隧道访问其他Spoke的子网。

中心Hub上只需要为各个Spoke的子网配置对应隧道虚接口的路由,就能完成各个隧道之间报文的转发。

各个Spoke使用动态上网方式,中心Hub上可以配置any地址的对等体来处理。

当组网有变化时,配置的修改也简化了,只需要针对性地增加或减少的Spoke子网,增加或减少对应的路由即可。

3.1.2 组网图

图8组网示意图

 

3.1.3 设置步骤

1.设置Spoke

(1)       设置虚接口

VPN→IKE→虚接口

选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。

图9配置虚接口

 

(2)       设置IKE安全提议

VPN→IKE→安全提议

输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。

图10配置IKE安全提议

 

(3)       设置IKE对等体

图11设置IKE对等体

 

(4)       设置IPSec安全提议

VPN→IPSec→安全提议

输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。

图12配置IPSec安全提议

 

(5)       设置安全策略

Spoke的安全策略配置如下,不同的Spoke只需要修改本地子网地址。

图13设置安全策略

(6)       设置路由

在Spoke上为VPN对端子网配置指向IPSec虚接口静态路由。

图14设置路由

 

2.设置Hub

在Hub路由器上的配置和在Spoke上的配置基本类似(虚接口、IKE和IPSec安全提议的设置均一样,差别在于对等体和安全策略的配置),设置如下。

(1)       设置对等体

图15设置对等体

 

(2)       设置安全策略

在Hub路由器上为每个连接Spoke的VPN隧道配置安全策略。

本地子网和对端子网都使用宽范围的any地址(0.0.0.0/0),其他的配置与Spoke对应。

Hub上的配置如同一个模板,只用一条安全策略就能够匹配多个Spoke的VPN隧道配置,协商建立针对不同子网的安全联盟SA。

图16设置安全策略

 

(3)       设置路由

为不同的Spoke子网指定IPSec虚接口静态路由,这样Spoke可以与Hub建立VPN通信,不同Spoke的子网之间也可以通过VPN由Hub进行转发实现互相通信。

当网络拓扑和地址规划有变动时,只用修改路由就很方便完成了配置调整。

如果子网的IP规划有序,此处可以直接使用192.168.0.0/255.255.0.0的一条路由即可满足配置。

图17设置路由

 

4 常见问题解答(FAQ)

4.1 VPN隧道数据不通,如何处理?

(1)       单击系统状态→系统诊断→诊断工具,从指定WAN接口ping隧道对端网关IP,确保出接口正常,路由可达。

需要注意的是,对端是否已关闭防ping功能。

(2)       检查一下是否存在功能限制数据流,比如:

是否存在IP/MAC绑定、接入控制、防火墙、QoS等规则阻止。

(3)       如果设备使用的是双WAN手动均衡模式,请参见双WAN手动均衡时的路由问题。

(4)       检查是否为隧道对端子网配置了静态路由,路由配置和安全策略上的子网配置是否与需要保护的数据流有逻辑性矛盾。

(5)       如果是手工方式设置安全策略,请仔细检查安全策略配置。

算法密钥和SPI在两端应该互相对称,数据完全一致;如果是IKE方式设置安全策略,请查看是否存在与安全策略名称对应的安全联盟SA。

如果存在相关SA,请查看双方SA是否对应一致,若不一致,建议关闭此隧道重新协商。

(6)       当IPSec出现状态混乱时,通过IPSec全局开关禁用然后重新启用IPSec功能。

4.2 若VPN组网中存在NAT设备,双方如何配置?

IKEIPSec隧道两端之间如果有NAT网关设备存在,NAT对IP的修改会影响到与两端IP有关的IPSec配置。

由于协议限制,目前需要支持这种NAT穿越的IPSec组网,双方应使用IKE野蛮模式name类型的ID,并且只能使用ESP安全协议,不能使用AH安全协议。

当WAN侧网络路由器配置IKE对等体地址时,应配置对端地址为NAT设备WAN接口的IP地址;LAN侧路由器的配置与普通组网方式一样。

另外,配置IKESA周期和IPSecSA周期时,需要让LAN侧路由器的两个SA周期都小于WAN侧的路由器SA周期(推荐:

LAN侧路由器SA周期为WAN侧路由器SA周期的一半,否则运行更新时可能会出现问题)。

4.3 双WAN手动均衡时的路由问题

在SMBRouter使用双WAN手工均衡配置时,如果IPSec接口绑定在非默认链路接口,则需要为VPN对端网关地址添加静态路由或者均衡路由。

例如:

如下配置中,双WAN手动均衡的默认链路是WAN1,而IPSec的虚接口ipsec2绑定到WAN2,则需要在静态路由中为VPN对端添加指向WAN2接口的静态路由,或者在均衡路由表中添加路由。

 

4.4 策略路由的问题

策略路由的设计是为了满足对从LAN向WAN方向报文的精确匹配转发,对设备自身接口的报文不处理。

因此,如果在隧道对端需要访问SMBRouter路由器的LAN接口IP,必须配置相关的静态路由。

另外,策略路由不能处理不同IPSec虚接口之间的报文转发,在Hub&Spoke类型VPN组网中各个Spoke之间的VPN通信是通过Hub上不同虚接口之间转发完成的,这种情况只能配置静态路由处理。

所以在为IPSecVPN隧道配置路由时,应首先配置静态路由,需要进一步精确控制时再补充配置策略路由。

 

 

 

 

Copyright©2009杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 外语学习 > 英语学习

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1