1、3 使用指南 33.1 使用场合 33.2.1 配置IPsec安全联盟 33.2.2 配置GRE协议 53.2.3 配置OSPF路由协议 63.3 注意事项 63.4 举例 73.4.1 组网需求 73.4.2 组网图 73.4.3 配置 73.4.4 验证结果 123.4.5 故障排除 154 关键命令 164.1 ipsec policy(系统视图) 164.2 ipsec card-proposal 174.3 ike peer 185 相关资料 185.1 相关协议和标准 181特性介绍IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、
2、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。通常情况下,IPsec不能传输路由协议,例如RIP和OSPF;或者非IP数据流,
3、例如IPX(Internetwork Packet Exchange)和AppleTalk。这样,如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsec VPN网络中实现不同的网络的路由。2特性的优点该特性适合较为大型的网络中总部与分支机构之间,保证了所有的数据,包括路由信息在内的所有报文都能够得到保护。3使用指南3.1使用场合1) 总部与分支机构跨越Internet互联。2) 总部与分支机构之间的路由协议为动态路由协议。3.2 配置步骤配置GRE over IPsec with OSPF,
4、需要配置以下内容: 配置IPsec安全联盟 配置GRE协议 配置OSPF路由协议3.2.1配置IPsec安全联盟IPsec的配置主要包含以下几个步骤: 配置访问控制列表 配置IKE对等体 定义安全提议 创建安全策略 在接口上应用安全策略 使能加密卡快转功能1.IPsec使用高级访问控制列表来判断哪些报文需要受到保护,哪些则不需要,用于IPsec的扩展访问控制列表可称为加密访问控制列表。发起方的访问控制列表的镜像应该为接收方的访问控制列表的子集,或者双方的访问控制列表互为镜像,这样协商才能成功。建议用户将本端和对端的访问控制列表配置成互为镜像。步骤操作说明操作命令1在系统视图下,创建一个高级访问
5、控制列表H3C acl number acl-number match-order config | auto 2在高级访问控制列表视图下,配置ACL规则H3C-acl-adv-3000 rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-wildcard | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type
6、icmp-code | icmp-message precedence precedence dscp dscp established tos tos time-range time-name logging fragment 2.在实施IPsec的过程中,可以使用Internet密钥交换IKE(Internet Key Exchange)协议来建立安全联盟,该协议建立在由Internet安全联盟和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)定义的框架上。IKE为IPsec提供了自动协商交换密钥
7、、建立安全联盟的服务,能够简化IPsec的使用和管理。配置一个IKE对等体并进入ike peer视图ike peer peer-name配置IKE阶段协商所使用的身份验证字pre-shared-key key3配置对端设备的IP地址remote-address low-ip-address high-ip-address 3.安全提议保存IPsec需要使用的特定安全性协议以及加密/验证算法,为IPsec协商安全联盟提供各种安全参数。为了能够成功的协商IPsec的安全联盟,两端必须使用相同的安全提议。创建加密卡安全提议并进入安全提议视图H3C ipsec card-proposal propos
8、al-name指定加密卡安全提议使用的加密卡H3C-ipsec-card-proposal-card10 use encrypt-card slot-id设置安全协议对IP报文的封装形式H3C-ipsec-card-proposal-card10 encapsulation-mode transport | tunnel 4设置安全提议采用的安全协议H3C-ipsec-card-proposal-card10 transform ah | ah-esp | esp 5设置ESP协议采用的加密算法H3C-ipsec-card-proposal-card10 esp encryption-algo
9、rithm 3des | des | aes 6设置ESP协议采用的验证算法H3C-ipsec-card-proposal-card10 esp authentication-algorithm md5 | sha1 4.安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;后者则由IKE自动协商生成这些参数。本文档仅介绍IKE方式创建安全策略。用IKE创建安全策略,进入安全策略视图H3C ipsec policy policy-name seq-numbe
10、r isakmp设置安全策略所引用的安全提议H3C-ipsec-policy-isakmp-tran-10 proposal proposal-name1 proposal-name2. proposal-name6 设置安全策略引用的访问控制列表H3C-ipsec-policy-isakmp-tran-10 security acl acl-number在安全策略中引用IKE对等体H3C-ipsec-policy-isakmp-tran-10 ike-peer peer-name5. 在接口上应用安全策略组为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的或物理
11、的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密安全网关配合进行报文的加密处理。操作命令进入接口视图H3C interface type number应用安全策略组H3C-GigabitEthernet0/0 ipsec policy policy-name6. 启用加密卡快转功能加密卡快转指的是对于SourIP, SourPort, DestIP, DestPort, Prot五元组相同的一系列报文,安全网关在接收或发送第一个报文时就会创建一个快转表项,之后符合此表项的所有报文都会直接被发往加密卡进行加密或解密,然后再由加密卡发往目的出口。这样省去了对每个报文逐一进行从I
12、P到IPsec的处理,加速了处理过程。使能加密卡快转功能H3C encrypt-card fast-switch3.2.2 配置GRE协议在各项配置中,必须先创建虚拟Tunnel接口,才能在虚拟Tunnel接口上进行其它功能特性的配置。当删除虚拟Tunnel接口后,该接口上的所有配置也将被删除。GRE主要配置包括: 创建虚拟Tunnel接口(必选) 设置Tunnel接口报文的封装模式(可选) 指定Tunnel的源端(必选) 指定Tunnel的目的端(必选) 设置Tunnel接口的网络地址(必选)创建虚拟Tunnel接口H3C interface tunnel number设置Tunnel接口报
13、文的封装模式H3C-Tunnel0 tunnel-protocol gre指定Tunnel的源端H3C-Tunnel0 source ip-address指定Tunnel的目的端H3C-Tunnel0 destination ip-address设置Tunnel接口的网络地址H3C-Tunnel0 ip address ip-address netmask3.2.3 配置OSPF路由协议对于基本的OSPF配置,需要进行的操作包括: 配置Router ID 启动OSPF 进入OSPF区域视图 在指定网段使能OSPF配置安全网关的Router ID号H3C router id router-id启
14、动OSPF,进入OSPF视图H3C ospf process-id router-id router-id 进入OSPF区域视图H3C-ospf-1 area area-id指定网段运行OSPF协议H3C-ospf-1-area-0.0.0.0 network ip-address wildcard-mask3.3 注意事项当配置GRE over IPsec with OSPF时,应该注意以下几点:1) IPsec保护的数据流应该是GRE隧道两端的Tunnel接口地址,也就是说ACL的源和目的地址应该为Tunnel接口的Source和Destination。2) 要使所有的数据流都要经由GRE
15、 over IPsec隧道转发,就必须配置路由使所有数据都由Tunnel接口转发。3) 要使OSPF路由信息通过GRE隧道转发,就必须指定Tunnel接口所在网段运行OSPF协议,而不能指定应用了IPsec策略组的接口所在网段。3.4 举例3.4.1 组网需求本例使用一个通用组网图,使用的设备皆为SecPath系列防火墙。SecPathA和SecPathB分别为两个局域网络的出口防火墙,在两个防火墙之间建立GRE over IPsec隧道。为模拟Internet网络,使用Router作为中间路由器,只需要简单配置IP地址即可。网段17.1.1.0/24和17.2.1.0/24将通过GRE ov
16、er IPsec隧道互通。3.4.2 组网图图 1 GRE over IPsec with OSPF典型组网图3.4.3 配置 使用的版本display version H3C Comware Platform SoftwareComware software, Version 3.40, Release 1607P03Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved.Without the owners prior written consent, no decompilingnor
17、 reverse-engineering shall be allowed.H3C SecPath F1000-S uptime is 0 week, 0 day, 0 hour, 1 minute CPU type: Mips BCM1125H 600MHz 512M bytes DDR SDRAM Memory 16M bytes Flash Memory Pcb Version:3.0 Logic2.0 BootROM1.22 SLOT 0 2GBE (Hardware)3.0, (Driver)2.0, (Cpld)2.0 SLOT 1 2GBE SLOT 2 NDEC (Hardwa
18、re)3.0, (Driver)3.3, (Cpld)2.0vrbd Routing Platform SoftwareVersion SecPath F1000-S 8042V100R006B01D027SP01 (COMWAREV300R002B40D028), RELEASE SOFTWARECompiled Mar 13 2007 17:38:39 by xiedong 配置防火墙SecPathA当前视图配置命令简单说明SecPathAfirewall packet-filter default permit防火墙包过滤默认改为允许encrypt-card fast-switchIke
19、 peer peerSecPathA-ike-peer-peerPre-shared-key 123456remote-address 2.1.1.1quit退出ike peer视图ipsec card-proposal card10SecPathA-ipsec-card-proposal-card10use encrypt-card 2/0encapsulation-mode tunneltransform espesp authentication-algorithm sha1esp encryption-algorithm 3des退出安全提议视图ipsec policy pol 10
20、isakmpSecPathA-ipsec-policy-isakmp-pol-10security acl 3000Ike-peer peerproposal card10退出安全策略视图Acl number 3000创建一个高级访问控制列表。SecPathA-acl-adv-3000rule 0 permit ip source 1.1.1.1 0.0.0.0 destination 2.1.1.1 0.0.0.0SecPathA-acl-adv-3000 退出高级访问控制列表视图interface GigabitEthernet0/0进入GigabitEthernet0/0接口SecPat
21、hA-interfaceGigabitEthernet0/0Ip address 1.1.1.1 255.255.255.0配置GigabitEthernet0/0接口的IP地址ipsec policy pol退出当前接口视图interface GigabitEthernet0/1进入GigabitEthernet0/1接口SecPathA-interfaceGigabitEthernet0/1Ip address 17.1.1.1 255.255.255.0配置GigabitEthernet0/1接口的IP地址SecPathA-Tunnel0interface Tunnel0tunnel-p
22、rotocol greIp address 10.1.1.1 255.255.255.0配置Tunnel0接口的IP地址source 1.1.1.1destination 2.1.1.1firewall zone trust进入trust安全域SecPathA-zone-trustadd interface GigabitEthernet0/1添加GigabitEthernet0/1接口到trust安全域add interface Tunnel0添加Tunnel0接口到trust安全域退出当前安全域视图firewall zone untrust进入untrust安全域SecPathA-zone
23、-untrustadd interface GigabitEthernet0/0添加GigabitEthernet0/0接口到trust安全域ospf 1SecPathA-ospf-1Area 0.0.0.0SecPathA-ospf-1-area-0.0.0.0network 10.1.1.0 0.0.0.255network 17.1.1.0 0.0.0.255退出OSPF区域视图退出OSPF视图ip route-static 2.1.1.0 255.255.255.0 1.1.1.2 添加到隧道对端的静态路由ip route-static 17.2.1.0 255.255.255.0 1.1.1.2添加到对端局域网的静态路由 配置路由器RouterRouter防火墙
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1