GRE OVER IPSEC WITH OSPF配置举例Word下载.docx
《GRE OVER IPSEC WITH OSPF配置举例Word下载.docx》由会员分享,可在线阅读,更多相关《GRE OVER IPSEC WITH OSPF配置举例Word下载.docx(26页珍藏版)》请在冰豆网上搜索。
3使用指南3
3.1使用场合3
3.2.1配置IPsec安全联盟3
3.2.2配置GRE协议5
3.2.3配置OSPF路由协议6
3.3注意事项6
3.4举例7
3.4.1组网需求7
3.4.2组网图7
3.4.3配置7
3.4.4验证结果12
3.4.5故障排除15
4关键命令16
4.1ipsecpolicy(系统视图)16
4.2ipseccard-proposal17
4.3ikepeer18
5相关资料18
5.1相关协议和标准18
1特性介绍
IPsec(IPsecurity)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。
GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。
Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
通常情况下,IPsec不能传输路由协议,例如RIP和OSPF;
或者非IP数据流,例如IPX(InternetworkPacketExchange)和AppleTalk。
这样,如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsecVPN网络中实现不同的网络的路由。
2
特性的优点
该特性适合较为大型的网络中总部与分支机构之间,保证了所有的数据,包括路由信息在内的所有报文都能够得到保护。
3
使用指南
3.1
使用场合
1)总部与分支机构跨越Internet互联。
2)总部与分支机构之间的路由协议为动态路由协议。
3.2配置步骤
配置GREoverIPsecwithOSPF,需要配置以下内容:
●
配置IPsec安全联盟
配置GRE协议
配置OSPF路由协议
3.2.1
配置IPsec安全联盟
IPsec的配置主要包含以下几个步骤:
配置访问控制列表
配置IKE对等体
定义安全提议
创建安全策略
在接口上应用安全策略
使能加密卡快转功能
1.
IPsec使用高级访问控制列表来判断哪些报文需要受到保护,哪些则不需要,用于IPsec的扩展访问控制列表可称为加密访问控制列表。
发起方的访问控制列表的镜像应该为接收方的访问控制列表的子集,或者双方的访问控制列表互为镜像,这样协商才能成功。
建议用户将本端和对端的访问控制列表配置成互为镜像。
步骤
操作说明
操作命令
1
在系统视图下,创建一个高级访问控制列表
[H3C]aclnumberacl-number[match-order{config|auto}]
2
在高级访问控制列表视图下,配置ACL规则
[H3C-acl-adv-3000]rule[rule-id]{permit|deny}protocol[source{sour-addrsour-wildcard|any}][destination{dest-addrdest-wildcard|any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code|icmp-message}][precedenceprecedence][dscpdscp][established][tostos][time-rangetime-name][logging][fragment]
2.
在实施IPsec的过程中,可以使用Internet密钥交换IKE(InternetKeyExchange)协议来建立安全联盟,该协议建立在由Internet安全联盟和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)定义的框架上。
IKE为IPsec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPsec的使用和管理。
配置一个IKE对等体并进入ikepeer视图
ikepeerpeer-name
配置IKE阶段协商所使用的身份验证字
pre-shared-keykey
3
配置对端设备的IP地址
remote-addresslow-ip-address[high-ip-address]
3.
安全提议保存IPsec需要使用的特定安全性协议以及加密/验证算法,为IPsec协商安全联盟提供各种安全参数。
为了能够成功的协商IPsec的安全联盟,两端必须使用相同的安全提议。
创建加密卡安全提议并进入安全提议视图
[H3C]ipseccard-proposalproposal-name
指定加密卡安全提议使用的加密卡
[H3C-ipsec-card-proposal-card10]useencrypt-cardslot-id
设置安全协议对IP报文的封装形式
[H3C-ipsec-card-proposal-card10]encapsulation-mode{transport|tunnel}
4
设置安全提议采用的安全协议
[H3C-ipsec-card-proposal-card10]transform{ah|ah-esp|esp}
5
设置ESP协议采用的加密算法
[H3C-ipsec-card-proposal-card10]espencryption-algorithm{3des|des|aes}
6
设置ESP协议采用的验证算法
[H3C-ipsec-card-proposal-card10]espauthentication-algorithm{md5|sha1}
4.
安全策略规定了对什么样的数据流采用什么样的安全提议。
安全策略分为手工安全策略和IKE协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;
后者则由IKE自动协商生成这些参数。
本文档仅介绍IKE方式创建安全策略。
用IKE创建安全策略,进入安全策略视图
[H3C]ipsecpolicypolicy-nameseq-numberisakmp
设置安全策略所引用的安全提议
[H3C-ipsec-policy-isakmp-tran-10]proposalproposal-name1[proposal-name2...proposal-name6]
设置安全策略引用的访问控制列表
[H3C-ipsec-policy-isakmp-tran-10]securityaclacl-number
在安全策略中引用IKE对等体
[H3C-ipsec-policy-isakmp-tran-10]ike-peerpeer-name
5.
在接口上应用安全策略组
为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密安全网关配合进行报文的加密处理。
操作
命令
进入接口视图
[H3C]interfacetypenumber
应用安全策略组
[H3C-GigabitEthernet0/0]ipsecpolicypolicy-name
6.
启用加密卡快转功能
加密卡快转指的是对于[SourIP,SourPort,DestIP,DestPort,Prot]五元组相同的一系列报文,安全网关在接收或发送第一个报文时就会创建一个快转表项,之后符合此表项的所有报文都会直接被发往加密卡进行加密或解密,然后再由加密卡发往目的出口。
这样省去了对每个报文逐一进行从IP到IPsec的处理,加速了处理过程。
使能加密卡快转功能
[H3C]encrypt-cardfast-switch
3.2.2配置GRE协议
在各项配置中,必须先创建虚拟Tunnel接口,才能在虚拟Tunnel接口上进行其它功能特性的配置。
当删除虚拟Tunnel接口后,该接口上的所有配置也将被删除。
GRE主要配置包括:
创建虚拟Tunnel接口(必选)
设置Tunnel接口报文的封装模式(可选)
指定Tunnel的源端(必选)
指定Tunnel的目的端(必选)
设置Tunnel接口的网络地址(必选)
创建虚拟Tunnel接口
[H3C]interfacetunnelnumber
设置Tunnel接口报文的封装模式
[H3C-Tunnel0]tunnel-protocolgre
指定Tunnel的源端
[H3C-Tunnel0]sourceip-address
指定Tunnel的目的端
[H3C-Tunnel0]destinationip-address
设置Tunnel接口的网络地址
[H3C-Tunnel0]ipaddressip-addressnetmask
3.2.3配置OSPF路由协议
对于基本的OSPF配置,需要进行的操作包括:
配置RouterID
启动OSPF
进入OSPF区域视图
在指定网段使能OSPF
配置安全网关的RouterID号
[H3C]routeridrouter-id
启动OSPF,进入OSPF视图
[H3C]ospf[process-id[router-idrouter-id]]
进入OSPF区域视图
[H3C-ospf-1]areaarea-id
指定网段运行OSPF协议
[H3C-ospf-1-area-0.0.0.0]networkip-addresswildcard-mask
3.3注意事项
当配置GREoverIPsecwithOSPF时,应该注意以下几点:
1)IPsec保护的数据流应该是GRE隧道两端的Tunnel接口地址,也就是说ACL的源和目的地址应该为Tunnel接口的Source和Destination。
2)要使所有的数据流都要经由GREoverIPsec隧道转发,就必须配置路由使所有数据都由Tunnel接口转发。
3)要使OSPF路由信息通过GRE隧道转发,就必须指定Tunnel接口所在网段运行OSPF协议,而不能指定应用了IPsec策略组的接口所在网段。
3.4举例
3.4.1组网需求
本例使用一个通用组网图,使用的设备皆为SecPath系列防火墙。
SecPathA和SecPathB分别为两个局域网络的出口防火墙,在两个防火墙之间建立GREoverIPsec隧道。
为模拟Internet网络,使用Router作为中间路由器,只需要简单配置IP地址即可。
网段17.1.1.0/24和17.2.1.0/24将通过GREoverIPsec隧道互通。
3.4.2组网图
图1GREoverIPsecwithOSPF典型组网图
3.4.3配置
使用的版本
<
H3C>
displayversion
H3CComwarePlatformSoftware
Comwaresoftware,Version3.40,Release1607P03
Copyright(c)2004-2007HangzhouH3CTechnologiesCo.,Ltd.
Allrightsreserved.
Withouttheowner'
spriorwrittenconsent,nodecompiling
norreverse-engineeringshallbeallowed.
H3CSecPathF1000-Suptimeis0week,0day,0hour,1minute
CPUtype:
MipsBCM1125H600MHz
512MbytesDDRSDRAMMemory
16MbytesFlashMemory
Pcb
Version:
3.0
Logic
2.0
BootROM
1.22
[SLOT0]2GBE
(Hardware)3.0,(Driver)2.0,(Cpld)2.0
[SLOT1]2GBE
[SLOT2]NDEC
(Hardware)3.0,(Driver)3.3,(Cpld)2.0
vrbd
RoutingPlatformSoftware
VersionSecPathF1000-S8042V100R006B01D027SP01(COMWAREV300R002B40D028),RELEASESOFTWARE
CompiledMar13200717:
38:
39byxiedong
配置防火墙SecPathA
当前视图
配置命令
简单说明
[SecPathA]
firewallpacket-filterdefaultpermit
防火墙包过滤默认改为允许
encrypt-cardfast-switch
Ikepeerpeer
[SecPathA-ike-peer-peer]
Pre-shared-key123456
remote-address2.1.1.1
quit
退出ikepeer视图
ipseccard-proposalcard10
[SecPathA-ipsec-card-proposal-card10]
useencrypt-card2/0
encapsulation-modetunnel
transformesp
espauthentication-algorithmsha1
espencryption-algorithm3des
退出安全提议视图
ipsecpolicypol10isakmp
[SecPathA-ipsec-policy-isakmp-pol-10]
securityacl3000
Ike-peerpeer
proposalcard10
退出安全策略视图
Aclnumber3000
创建一个高级访问控制列表。
[SecPathA-acl-adv-3000]
rule0permitipsource1.1.1.10.0.0.0destination2.1.1.10.0.0.0
[SecPathA-acl-adv-3000]
退出高级访问控制列表视图
interfaceGigabitEthernet0/0
进入GigabitEthernet0/0接口
[SecPathA-interfaceGigabitEthernet0/0]
Ipaddress1.1.1.1255.255.255.0
配置GigabitEthernet0/0接口的IP地址
ipsecpolicypol
退出当前接口视图
interfaceGigabitEthernet0/1
进入GigabitEthernet0/1接口
[SecPathA-interfaceGigabitEthernet0/1]
Ipaddress17.1.1.1255.255.255.0
配置GigabitEthernet0/1接口的IP地址
[SecPathA-Tunnel0]
interfaceTunnel0
tunnel-protocolgre
Ipaddress10.1.1.1255.255.255.0
配置Tunnel0接口的IP地址
source1.1.1.1
destination2.1.1.1
firewallzonetrust
进入trust安全域
[SecPathA-zone-trust]
addinterfaceGigabitEthernet0/1
添加GigabitEthernet0/1接口到trust安全域
addinterfaceTunnel0
添加Tunnel0接口到trust安全域
退出当前安全域视图
firewallzoneuntrust
进入untrust安全域
[SecPathA-zone-untrust]
addinterfaceGigabitEthernet0/0
添加GigabitEthernet0/0接口到trust安全域
ospf1
[SecPathA-ospf-1]
Area0.0.0.0
[SecPathA-ospf-1-area-0.0.0.0]
network10.1.1.00.0.0.255
network17.1.1.00.0.0.255
退出OSPF区域视图
退出OSPF视图
iproute-static2.1.1.0255.255.255.01.1.1.2
添加到隧道对端的静态路由
iproute-static17.2.1.0255.255.255.01.1.1.2
添加到对端局域网的静态路由
配置路由器Router
[Router]
防火墙