H3CVPN原理及配置.ppt

第1章 VPN原理和配置,ISSUE 1.1,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来 组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性,引入,理解VPN的体系结构 掌握GRE VPN的工作原理和配置 掌握L2TP VPN的工作原理和配置 掌握IPSec VPN的工作原理和配置 能够执行基本的VPN设计,课程目标,学习完本课程，您应该能够：,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,目录,VPN概述,VPN概念 VPN的分类 主要VPN技术,VPN（Virtual Private Network）,合作伙伴,隧道,办事处,总部,分支机构,异地办事处,Internet,什么是VPN,VPN（Virtual Private Network，虚拟私有网） 以共享的公共网络为基础，构建私有的专用网络 以虚拟的连接，而非以物理连接贯通网络 处于私有的管理策略之下，具有独立的地址和路由规划 RFC 2764描述了基于IP的VPN体系结构,VPN的优势,可以快速构建网络，减小布署周期 与私有网络一样提供安全性，可靠性和可管理性 可利用Internet，无处不连通，处处可接入 简化用户侧的配置和维护工作 提高基础资源利用率 于客户可节约使用开销 于运营商可以有效利用基础设施，提供大量、多种业务,VPN的关键概念术语,隧道（Tunnel） 封装（Encapsulation） 验证（Authentication） 授权（Authorization） 加密（Encryption） 解密（Decryption）,VPN的分类方法,按照业务用途分类：Access VPN，Intranet VPN，Extranet VPN 按照运营模式：CPE-Based VPN，Network-Based VPN 按照组网模型：VPDN，VPRN，VLL，VPLS 按照网络层次：Layer 1 VPN， Layer 2 VPN， Layer 3 VPN，传输层VPN，应用层VPN,Access VPN,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,Intranet VPN,Extranet VPN,CPE-Based VPN,Network-Based VPN,隧道,总部,VLL，虚拟专线,VPRN,VPDN，虚拟私有拨号网络,适用范围： 出差员工 异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,VPLS，虚拟私有LAN服务,不同网络层次的VPN,一层 VPN 二层 VPN 三层 VPN 传输层VPN 应用层VPN,主要VPN技术,主要的二层VPN技术 L2TP：二层隧道协议 PPTP：点到点隧道协议 MPLS L2 VPN 主要的三层VPN技术 GRE IPSec VPN BGP/MPLS VPN,其它VPN技术,老式VPN技术 包括ATM，Frame Relay，X.25等分组交换技术 SSL（Secure Sockets Layer） L2F（Layer 2 Forwarding） DVPN（Dynamic Virtual Private Network，动态VPN） 基于VLAN的VPN 802.1QinQ XOT（X.25 over TCP Protocol）,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,目录,GRE VPN,概述 GRE封装 GRE VPN工作原理 GRE VPN配置 GRE VPN典型应用 小结,GRE VPN,GRE (Generic Routing Encapsulation) 在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784 可以用于任意的VPN实现 GRE VPN 直接使用GRE封装，在一种网络上传送其它协议 虚拟的隧道（Tunnel）接口,GRE协议栈,协议B,GRE,协议A,链路层协议,载荷协议,封装协议,承载协议,协议B载荷,GRE封装包格式,链路层,GRE,协议B,协议A,载荷,RFC 1701 GRE头格式,RFC 1701 SRE格式,常见GRE载荷协议号,RFC 2784 GRE标准头格式,GRE扩展头格式,载荷协议包,以IP作为承载协议的GRE封装,GRE被当作一种IP协议对待 IP用协议号47标识GRE,链路层,GRE,IP,IP协议号47,以IP作为载荷协议的GRE封装,GRE使用以太类型标识载荷协议 载荷协议类型值0x0800说明载荷协议为IP,IP over IP的GRE封装,GRE隧道,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX数据流,IPX包,IPX包,GRE封装包,IP over IP GRE隧道,RTA,RTB,IP公网,IP私网,IP私网,GRE Tunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,IP私网之间的数据流,私网IP包,GRE封装包,私网IP包,GRE隧道处理流程,隧道起点路由查找 加封装 承载协议路由转发 中途转发 解封装 隧道终点载荷协议路由查找,GRE隧道处理隧道起点路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,GRE隧道处理加封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,RTA Tunnel0接口参数： GRE封装 源接口S0/0，地址 目标地址,D,S,私网IP包,GRE头,公网IP头,目的地址： ,源地址： ,S0/0,S0/0,E0/0,E0/0,GRE隧道处理承载协议路由转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,S0/0,S0/0,E0/0,E0/0,GRE隧道处理中途转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,GRE隧道处理解封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,RTB Tunnel0接口参数： GRE封装 源接口S0/0，地址 目标地址,D,S,私网IP包,GRE头,公网IP头,私网IP包,S0/0,S0/0,E0/0,E0/0,GRE隧道处理隧道终点载荷协议路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,S0/0,S0/0,E0/0,E0/0,GRE穿越NAT,RTA,RTB,IP公网,IP私网,IP私网,E1/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IP_addr_B,IP_addr_A,NAT网关,S0/0,IP_addr_R,RTA配置： 隧道源IP_addr_A 隧道目的IP_addr_B,RTB配置： 隧道源IP_addr_B 隧道目的IP_addr_R,NAT配置： 地址映射： IP_addr_A IP_addr_R,GRE VPN基本配置,创建虚拟Tunnel接口 H3C interface tunnel number 指定Tunnel的源端 H3C-Tunnel0 source ip-addr | interface-type interface-num 指定Tunnel的目的端 H3C-Tunnel0 destination ip-address 设置Tunnel接口的网络地址 H3C -Tunnel0 ip address ip-address mask 配置通过Tunnel的路由,GRE VPN路由配置,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由AS,承载网路由AS,虚假的Tunnel接口状态,RTA,RTB,站点A,站点B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲！,服务器,服务器,RTC,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,UP,UP,GRE VPN高级配置,设置Tunnel接口报文的封装模式 H3C-Tunnel0 tunnel-protocol gre 设置Tunnel两端进行端到端校验 H3C-Tunnel0 gre checksum 设置Tunnel接口的识别关键字 H3C-Tunnel0 gre key key-number 配置Tunnel的keepalive功能 H3C-Tunnel0 keepalive interval times,GRE VPN配置实例（待续）,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,GRE VPN配置实例,RTB-Serial1/0 ip address RTB-Ethernet0/0 ip address RTB interface tunnel 0 RTB-Tunnel0 ip address RTB-Tunnel0 source RTB-Tunnel0 destination RTB ip route-static tunnel0,RTA-Serial1/0 ip address RTA-Ethernet0/0 ip address RTA interface tunnel 0 RTA-Tunnel0 ip address RTA-Tunnel0 source RTA-Tunnel0 destination RTA ip route-static tunnel0,GRE VPN的显示和调试,显示Tunnel接口的工作状态 display interface tunnel number 例如：H3C display interfaces tunnel 1 Tunnel1 is up, line protocol is up Maximum Transmission Unit is 128 Internet address is 10 packets input, 640 bytes 0 input errors, 0 broadcast, 0 drops 10 packets output, 640 bytes 0 output errors, 0 broadcast, 0 no protocol 打开Tunnel调试信息 debugging tunnel,连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,单一骨干承载多个上层协议,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,E0/0,E0/0,扩大载荷协议的工作范围,RTA,RTB,IP公网,载荷协议,载荷协议,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,GRE VPN的优点,可以当前最为普遍的IP网络作为承载网络 支持多种协议 支持IP组播 简单明了、容易布署,GRE VPN的缺点,点对点隧道 静态配置隧道参数 布署复杂连接关系时代价巨大 缺乏安全性 不能分隔地址空间,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,目录,L2TP,概述 概念术语 协议封装 协议操作 L2TP多实例 配置和故障排除 小结,L2TP,Layer Two Tunnel Protocol RFC 2661 隧道传送PPP 验证和动态地址分配 无加密措施 点对网络特性,传统拨号接入,PSTN/ISDN,LAN,总部,NAS,出差员工,RADIUS,使用L2TP构建VPDN,L2TP功能组件,远程系统（Remote System） LAC（L2TP Access Concentrator） LNS（L2TP Network Server） NAS（Network Access Server）,L2TP功能组件,L2TP术语,呼叫（Call） 隧道（Tunnel） 控制连接（Control Connection） 会话（Session） AVP（Attribute Value Pair）,呼叫,隧道和控制连接,会话,L2TP拓扑结构（1）独立LAC方式,L2TP拓扑结构（2）客户LAC方式,L2TP头格式,L2TP协议栈和封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,L2TP协议操作,建立控制连接 建立会话 转发PPP帧 Keepalive 关闭会话 关闭控制连接,建立控制连接,LAC,LNS,SCCRQ SCCRP SCCCN ZLB,控制连接的建立由PPP触发 任意源端口1701 重定位为任意源端口任意目标端口,建立会话,LAC,LNS,ICRQ ICRP ICCN ZLB,会话的建立以控制连接的建立为前提 会话与呼叫有一一对应关系 同一个隧道中可以建立多个会话,转发PPP帧,会话建立后，即可转发PPP帧 Tunnel ID和Session ID用于区分不同隧道和不同会话的数据,Keepalive,LAC,LNS,Hello Hello,L2TP用Hello控制消息维护隧道的状态,关闭会话,关闭控制连接,L2TP的验证过程,L2TP多实例,L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。,VPN 1 总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2总部,VPN 1,HOST,VPN 2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,L2TP基本配置任务,LAC侧 设置用户名、密码及配置用户验证 启用L2TP 创建L2TP组 设置发起L2TP连接请求及LNS地址 LNS侧 设置用户名、密码及配置用户验证 启用L2TP 创建L2TP组 创建虚接口模板 设置本端地址及分配的地址池 设置接收呼叫的虚接口模板、通道对端名称和域名,L2TP基本配置命令（未完）,LAC 侧的配置 设置用户名、密码及配置用户验证 启用L2TP H3C l2tp enable 创建L2TP组 H3C l2tp-group group-number 设置发起L2TP连接请求及LNS地址 H3C-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | fullusername user-name ,L2TP 的基本配置命令（未完）,LNS 侧的配置 设置用户名、密码及配置用户验证 启用L2TP H3C l2tp enable 创建L2TP组 H3C l2tp-group group-number 创建虚接口模板 H3C interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池 H3C-Virtual-Template1 ip address X.X.X.X netmask H3C-Virtual-Template1 remote address pool pool-number ,L2TP 的基本配置命令,LNS 侧的配置 设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1： H3C-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为1： H3C-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name ,L2TP可选配置任务,LAC和LNS侧可选配的参数 设置本端名称 启用隧道验证及设置密码 设置通道Hello报文发送时间间隔 设置域名分隔符及查找顺序 强制挂断通道 LNS侧可选配的参数 强制本端CHAP认证 强制LCP重新协商,L2TP的可选配置命令（未完）,LAC侧和LNS侧可选配的参数 设置本端名称 H3C-l2tp1 tunnel name name 启用隧道验证及设置密码 H3C-l2tp1 tunnel authentication H3C-l2tp1 tunnel password simple | cipher password 设置通道Hello报文发送时间间隔 H3C-l2tp1 tunnel timer hello hello-interval,L2TP的可选配置命令（未完）,LAC侧和LNS侧可选配的参数 配置域名分隔符及查找顺序 设置前缀分隔符 H3C-l2tp1 l2tp domain prefix-separator separator 设置后缀分隔符 H3C-l2tp1 l2tp domain suffix-separator separator 设置查找规则 H3C-l2tp1 l2tp match-order dnis-domain | dnis | domain-dnis | domain 强制挂断通道 reset l2tp tunnel remote-name | tunnel-id ,L2TP的可选配置命令,LNS侧可选配的参数 强制本端CHAP验证 H3C-l2tp1 mandatory-chap 强制LCP重新协商 H3C-l2tp1 mandatory-lcp,L2TP配置例子（未完）,LAC,LNS,LAC local-user vpdnuserH3C.com LAC-luser-vpdnuserH3C.com password simple Hello LAC domain H3C.com LAC-isp-H3C.com scheme local LAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip domain H3C.com LAC-l2tp1 tunnel authentication LAC-l2tp1 tunnel password simple H3C,PSTN/ISDN,L2TP配置例子,LNS local-user vpdnuserH3C.com LNS-luser-vpdnuserH3C.com password simple Hello LNS interface virtual-template 1 LNS-virtual-template1 ip address LNS-virtual-template1 ppp authentication-mode chap domain H3C.com LNS domain H3C.com LNS-isp-H3C.com scheme local LNS-isp-H3C.com ip pool 1 00 LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authentication LNS-l2tp1 tunnel password simple H3C,LAC,LNS,PSTN/ISDN,L2TP信息显示和调试,显示当前的L2TP通道的信息,H3C display l2tp tunnel LocalID RemoteID RemName RemAddress Sessions Port 1 8 AS8010 1 1701 Total tunnels = 1,显示当前的L2TP会话的信息,H3C display l2tp session LocalID RemoteID TunnelID 1 1 2 Total session = 1,打开L2TP调试信息开关 debugging l2tp all | control | dump | error | event | hidden | payload | time-stamp ,L2TP 故障排除,用户登录失败 Tunnel建立失败 在LAC端，LNS的地址设置不正确 LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组 Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过 LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户 LNS端不能分配地址，比如地址池设置的较小，或没有进行设置 密码验证类型不一致 数据传输失败，在建立连接后数据不能传输，如Ping不通对端 用户设置的地址有误 网络拥挤,L2TP特点,方面远程漫游用户接入 节约费用 可以由ISP或组织自身提供接入和验证 L2TP不提供对数据本身的安全性保证,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,目录,IPSec VPN,概述 概念和术语 IPSec IKE 配置IPSec VPN IPSec VPN典型应用 小结,IPSec VPN,IP无安全保障 RFC 2401IPSec体系 安全协议AH和ESP 隧道模式（Tunnel Mode）和传输模式（Transport Mode） 隧道模式适宜于建立安全VPN隧道 传输模式适用于两台主机之间的数据保护 动态密钥交换IKE,基本概念和术语（待续）,机密性 完整性 身份验证 对称和非对称加密算法 密钥和密钥交换 单向散列函数,基本概念和术语,完美前向保密 加密的代价和DoS攻击 重播式攻击 加密的实现层次,安全性基本要求,机密性 防止数据被未获得授权的查看者理解 通过加密算法实现 完整性 防止数据在存储和传输的过程中受到非法的篡改 使用单向散列函数 身份验证 判断一份数据是否源于正确的创建者 单向散列函数、数字签名和公开密钥加密,加密算法,对称加密算法 块加密算法 流加密算法 非对称加密算法 如RSA算法,对称加密算法,双方共享一个密钥,加密方,解密方,奉天承运 皇帝诏曰 ,共享密钥,yHidYTV dkd;AOt ,yHidYTV dkd;AOt ,奉天承运 皇帝诏曰 ,加密,解密,共享密钥,非对称加密算法,加密方,解密方,奉天承运 皇帝诏曰 ,解密方的公开密钥,yHidYTV dkd;AOt ,yHidYTV dkd;AOt ,奉天承运 皇帝诏曰 ,加密,解密,解密方的私有密钥,加密和解密的密钥不同,单向散列函数,发送方,接收方,奉天承运 皇帝诏曰 ,共享密钥,yYaIPyq ZoyWIt,yYaIPyq ZoyWIt,单向散列函数,共享密钥,单向散列函数,yYaIPyq ZoyWIt,奉天承运 皇帝诏曰 ,奉天承运 皇帝诏曰 ,yYaIPyq ZoyWIt,？,Diffie-Hellman交换,a,c=gamod(p),peer2,peer1,b,d=gbmod(p),(g ,p),damod(p),cbmod(p),damod(p)= cbmodp=gabmodp,加密的实现层次,应用层,传输层,网络层,链路层,应用层,传输层,网络层,链路层,网络层,链路层,网络层,链路层,传输层,加密盒,加密盒,安全网关,安全网关,SSH、S/MIME,SSL,IPSec,IPSec VPN的体系结构,安全协议 负责保护数据 AH/ESP 工作模式 传输模式：实现端到端保护 隧道模式：实现站点到站点保护 密钥交换 IKE：为安全协议执行协商,IPSec传输模式,RTA,RTB,IP,IPX,IPX,站点A,站点B,IPSec隧道模式,RTA,RTB,IP,IPX,IPX,IPSec Tunnel,站点A,站点B,IPSec SA,SA（Security Association，安全联盟） 由一个（SPI，IP目的地址，安全协议标识符）三元组唯一标识 决定了对报文进行何种处理 协议、算法、密钥 每个IPSec SA都是单向的 手工建立 或 IKE协商生成 IPSec对数据流提供的安全服务通过SA来实现,IPSec处理流程,AH,AH（Authentication Header） RFC 2402 数据的完整性校验和源验证 有限的抗重播能力 不能提供数据加密功能,AH头格式,0,8,16,31,AH用IP协议号51标识,传输模式AH封装,载荷数据,TCP,原始IP头,载荷数据,原始IP头,TCP,AH头,验证计算前，所有可变字段预先置0,Authentication Data,密钥,AH头,单向散列函数,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,隧道模式AH封装,载荷数据,TCP,原始IP头,Authentication Data,密钥,AH头,单向散列函数,新IP头,载荷数据,TCP,原始IP头,AH头,新IP头,验证计算前，所有可变字段预先置0,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,ESP,ESP（Encapsulating Security Payload） RFC 2406 保证数据的机密性 数据的完整性校验和源验证 一定的抗重播能力,ESP头格式,ESP用IP协议号50标识,Padding(0-255 bytes）,Sequence Number,Security Parameters Index (SPI),Authentication Data,Next Header,Pad length,Payload Data (variable),24,16,8,0,31,传输模式ESP封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始IP头,ESP尾,ESP Auth,密文,ESP尾,ESP头,密文,验证密钥,ESP头,密文,载荷数据,TCP,原始IP头,原始IP包,验证算法,隧道模式ESP封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始IP头,新IP头,ESP尾,ESP Auth,密文,ESP尾,ESP头,密文,验证密钥,ESP头,密文,载荷数据,TCP,原始IP头,原始IP包,验证算法,IKE,IKE（Internet Key Exchange） RFC 2409 使用Diffie-Hellman交换 完善的前向安全性 UDP端口500,IKE的作用,在不安全的网络上安全地分发密钥，验证身份 为IPSec提供了自动协商交换密钥、建立SA的服务 定时更新SA 定时更新密钥 允许IPSec提供反重播服务,IKE与IPSec的关系,IKE,IPSec,IKE,IPSec,IKE的SA协商,SA,SA,IKE协商的两个阶段,阶段一 在网络上建立一个IKE SA，为阶段二协商提供保护 主模式（Main Mode）和野蛮模式（Aggressive Mode） 阶段二 在阶段一建立的IKE SA的保护下完成IPSec SA的协商 快速模式（Quick Mode）,Cookie,IKE交换开始时，双方的初始消息都包含一个Cookie 响应方收到包含这个Cookie的下一条消息时，才开始真正的DH交换过程 一定程度上阻止DoS攻击 野蛮模式无法抵抗DoS,IKE主模式,策略协商,DH交换,ID交换及验证,发送本地 IKE策略,身份验证和 交换过程验证,密钥生成,密钥生成,接受对端 确认的策略,查找匹配 的策略,身份验证和 交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,策略协商的内容,加密算法 DES/3DES/AES 散列算法 MD5/SHA 验证方法 预共享密钥/RSA/DSA,DH交换组 1MODP 768位 2MODP 1024位 3EC2N 155字节 4EC2N 185字节 5MODP 1680位 IKE SA生存时间（Life Time）,IKE野蛮模式,发送本地IKE策略 开始DH交换,验证,接受对端确认的策略 密钥生成 验证,查找匹配的策略 继续DH交换 验证,发起方策略 DH公共值,接收方确认的策略、 DH公共值、验证载荷,验证载荷,Peer1,Peer2,IKE的优点,允许端到端动态验证 降低手工布署的复杂度 定时更新SA 定时更新密钥 允许IPSec提供抗重播服务,NAT与IPSec/IKE的不兼容性,NAT网关修改IPSec报文的IP地址 IPSec完整性检查失败 NAT网关修改IKE的UDP端口号500 IKE协商验证失败 其它问题,使用NAT穿越,RTB,IPX,IPX,IPSec Tunnel,RTA,NAT网关,IP,UDP,IPSec报文,IPSec配置前准备,确定需要保护的数据 确定使用安全保护的路径 确定使用哪种安全保护 确定安全保护的强度,IPSec的配置任务,配置访问控制列表 定义安全提议 创建安全提议 选择安全协议 选择安全算法 选择报文封装形式 创建安全策略 手工创建安全策略 用IKE创建安全策略 在接口上应用安全策略,配置访问控制列表,双方列表对称,本端： acl number 3101 rule 1 permit ip source destination ,对端： acl number 3101 rule 1 permit ip source destination ,定义安全提议,创建安全提议 H3C ipsec proposal proposal-name 选择报文封装形式 H3C-ipsec-proposal-tran1 encapsulation-mode transport | tunnel 选择安全协议 H3C-ipsec-proposal-tran1 transform ah | ah-esp | esp 选择安全算法 H3C-ipsec-proposal-tran1 esp encryption-algorithm 3des | des | aes H3C-ipsec-proposal-tran1 esp authentication-algorithm md5 | sha1 H3C-ipsec-proposal-tran1 ah authentication-algorithm md5 | sha1 ,创建安全策略手工创建（未完）,手工创建安全策略 H3C ipsec policy policy-name seq-number manual 在安全策略中引用安全提议 H3C-ipsec-policy-manual-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表 H3C-ipsec-policy-manual-map1-10 security acl acl-number 配置隧道的起点和终点 H3C-ipsec-policy-manual-map1-10 tunnel local ip-address H3C-ipsec-policy-manual-map1-10 tunnel remote ip-address 配置安全联盟的SPI H3C-ipsec-policy-manual-map1-10 sa spi inbound | outbound ah | esp spi-number,创建安全策略手工创建,配置安全联盟使用的密钥 配置协议的验证密钥（以16进制方式输入） H3C-ipsec-policy-manual-map1-10sa authentication-hex inbound | outbound ah | esp hex-key 配置协议的验证密钥（以字符串方式输入） H3C-ipsec-policy-manual-map1-10sa string-key inbound | outbound ah | esp string-key 配置ESP协议的加密密钥（以16进制方式输入） H3C-ipsec-policy-manual-map1-10sa encryption-hex inbound | outbound esp hex-key,创建安全策略用IKE创建,用IKE创建安全策略 H3C ipsec policy policy-name seq-number isakmp 在安全策略中引用安全提议 H3C-ipsec-policy-isakmp-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表 H3C-ipsec-policy-isakmp-map1-10 security acl acl-number 在安全策略中引用IKE对等体 H3C-ipsec-policy-isakmp-map1-10 ike-peer peer-name,在接口上应用安全策略,在接口上应用安全策略 H3C-Serial0/0 ipsec policy policy-name,IKE配置任务（未完）,配置本端安全网关的名字 定义IKE安全提议 创建IKE安全提议 选择加密算法 选择验证方法 选择验证算法 选择Diffie-Hellman组标识 配置IKE SA生存周期,IKE配置任务,配置IKE对等体 创建IKE对等体 配置IKE协商模式 配置身份验证字 配置IKE协商过程中使用的ID类型 指定对端安全网关设备的ID 配置本端及对端安全网关设备的IP地址 配置NAT穿越功能 配置最大连接数,配置本端安全网关的名字,配置本端安全网关的名字 H3C ike local-name id,定义IKE安全提议,系统提供一条缺省的IKE安全提议,创建IKE安全提议 H3C ike proposal proposal-number 选择加密算法 H3C-ike-proposal-1 encryption-algorithm des-cbc| 3des-cbc 选择验证方法 H3C-ike-proposal-1authentication-method pre-share | rsa-signature 选择验证算法 H3C-ike-proposal-1 authentication-algorithm md5 | sha 选择Diffie-Hellman组标识 H3C-ike-proposal-1 dh group1 | group2 配置IKE SA生存周期（可选） H3C-ike-proposal-1 sa duration seconds,配置IKE对等体（未完）,创建IKE对等体 H3C ike peer peer-name 配置IKE协商模式 H3C-ike-peer-1 exchange-mode aggressive | main 配置身份验证字 H3C-ike-peer-1 pre-shared-key key 配置ike协商过程中使用的ID类型 H3C-ike-peer-1 id-type ip | name ,配置IKE对等体,指定对端安全网关设备的ID H3C-ike-peer-1 remote-name name 配置本端及对端安全网关设备的IP地址 H3C-ike-peer-1 local-address ip-address H3C-ike-peer-1 remote-address ip-address 配置NAT穿越功能 H3C-ike-peer-1 nat-traversal 配置最大连接数 H3C-ike-peer-1 max-connections number,IPSec隧道配置例子（未完）,RTA,RTB,IPX,IPX,站点A,站点B,S0/0,S0/0,E0/0,E0/0,/24,/24,/24,/24,IP,PC1,PC2,/24,/24,IPSec隧道配置例子,H3C acl number 3000 H3C-acl-adv-3000 rule permit ip source 55 destination 55 H3C-acl-adv-3000 rule deny ip source any destination any H3C ip route-static H3C ipsec proposal tran1 H3C-ipsec-proposal-tran1 encapsulation-mode tunnel H3C-ipsec-proposal-tran1 transform esp H3C-ipsec-proposal-tran1 esp encryption-algorithm des H3C-ipsec-proposal-tran1 esp authentication-alg