HVPN原理及配置ppt课件.pptVIP

第1章VPN原理和配置,ISSUE1.1,日期：,随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性,引入,理解VPN的体系结构掌握GREVPN的工作原理和配置掌握L2TPVPN的工作原理和配置掌握IPSecVPN的工作原理和配置能够执行基本的VPN设计,课程目标,学习完本课程，您应该能够：,VPN概述GREVPNL2TPIPSecVPNVPN设计规划,目录,VPN概述,VPN概念VPN的分类主要VPN技术,VPN（VirtualPrivateNetwork）,合作伙伴,隧道,办事处,总部,分支机构,异地办事处,Internet,什么是VPN,VPN（VirtualPrivateNetwork，虚拟私有网）以共享的公共网络为基础，构建私有的专用网络以虚拟的连接，而非以物理连接贯通网络处于私有的管理策略之下，具有独立的地址和路由规划RFC2764描述了基于IP的VPN体系结构,VPN的优势,可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性可利用Internet，无处不连通，处处可接入简化用户侧的配置和维护工作提高基础资源利用率于客户可节约使用开销于运营商可以有效利用基础设施，提供大量、多种业务,VPN的关键概念术语,隧道（Tunnel）封装（Encapsulation）验证（Authentication）授权（Authorization）加密（Encryption）解密（Decryption）,VPN的分类方法,按照业务用途分类：AccessVPN，IntranetVPN，ExtranetVPN按照运营模式：CPE-BasedVPN，Network-BasedVPN按照组网模型：VPDN，VPRN，VLL，VPLS按照网络层次：Layer1VPN，Layer2VPN，Layer3VPN，传输层VPN，应用层VPN,AccessVPN,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,IntranetVPN,ExtranetVPN,CPE-BasedVPN,Network-BasedVPN,隧道,总部,VLL，虚拟专线,VPRN,VPDN，虚拟私有拨号网络,适用范围：出差员工异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,VPLS，虚拟私有LAN服务,不同网络层次的VPN,一层VPN二层VPN三层VPN传输层VPN应用层VPN,主要VPN技术,主要的二层VPN技术L2TP：二层隧道协议PPTP：点到点隧道协议MPLSL2VPN主要的三层VPN技术GREIPSecVPNBGP/MPLSVPN,其它VPN技术,老式VPN技术包括ATM，FrameRelay，X.25等分组交换技术SSL（SecureSocketsLayer）L2F（Layer2Forwarding）DVPN（DynamicVirtualPrivateNetwork，动态VPN）基于VLAN的VPN802.1QinQXOT（X.25overTCPProtocol）,VPN概述GREVPNL2TPIPSecVPNVPN设计规划,目录,GREVPN,概述GRE封装GREVPN工作原理GREVPN配置GREVPN典型应用小结,GREVPN,GRE(GenericRoutingEncapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法RFC2784可以用于任意的VPN实现GREVPN直接使用GRE封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口,GRE协议栈,协议B,GRE,协议A,链路层协议,载荷协议,封装协议,承载协议,协议B载荷,GRE封装包格式,链路层,GRE,协议B,协议A,载荷,RFC1701GRE头格式,RFC1701SRE格式,常见GRE载荷协议号,RFC2784GRE标准头格式,GRE扩展头格式,载荷协议包,以IP作为承载协议的GRE封装,GRE被当作一种IP协议对待IP用协议号47标识GRE,链路层,GRE,IP,IP协议号47,以IP作为载荷协议的GRE封装,GRE使用以太类型标识载荷协议载荷协议类型值0 x0800说明载荷协议为IP,IPoverIP的GRE封装,GRE隧道,RTA,RTB,IP,IPX,IPX,GRETunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX数据流,IPX包,IPX包,GRE封装包,IPoverIPGRE隧道,RTA,RTB,IP公网,IP私网,IP私网,GRETunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,IP私网之间的数据流,私网IP包,GRE封装包,私网IP包,GRE隧道处理流程,隧道起点路由查找加封装承载协议路由转发中途转发解封装隧道终点载荷协议路由查找,GRE隧道处理隧道起点路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,GRE隧道处理加封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,RTATunnel0接口参数：GRE封装源接口S0/0，地址目标地址,D,S,私网IP包,GRE头,公网IP头,目的地址：,源地址：,S0/0,S0/0,E0/0,E0/0,GRE隧道处理承载协议路由转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,S0/0,S0/0,E0/0,E0/0,GRE隧道处理中途转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,GRE隧道处理解封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,RTBTunnel0接口参数：GRE封装源接口S0/0，地址目标地址,D,S,私网IP包,GRE头,公网IP头,私网IP包,S0/0,S0/0,E0/0,E0/0,GRE隧道处理隧道终点载荷协议路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,S0/0,S0/0,E0/0,E0/0,GRE穿越NAT,RTA,RTB,IP公网,IP私网,IP私网,E1/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IP_addr_B,IP_addr_A,NAT网关,S0/0,IP_addr_R,RTA配置：隧道源IP_addr_A隧道目的IP_addr_B,RTB配置：隧道源IP_addr_B隧道目的IP_addr_R,NAT配置：地址映射：IP_addr_AIP_addr_R,GREVPN基本配置,创建虚拟Tunnel接口H3Cinterfacetunnelnumber指定Tunnel的源端H3C-Tunnel0sourceip-addr|interface-typeinterface-num指定Tunnel的目的端H3C-Tunnel0destinationip-address设置Tunnel接口的网络地址H3C-Tunnel0ipaddressip-addressmask配置通过Tunnel的路由,GREVPN路由配置,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由AS,承载网路由AS,虚假的Tunnel接口状态,RTA,RTB,站点A,站点B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲！,服务器,服务器,RTC,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,UP,UP,GREVPN高级配置,设置Tunnel接口报文的封装模式H3C-Tunnel0tunnel-protocolgre设置Tunnel两端进行端到端校验H3C-Tunnel0grechecksum设置Tunnel接口的识别关键字H3C-Tunnel0grekeykey-number配置Tunnel的keepalive功能H3C-Tunnel0keepaliveintervaltimes,GREVPN配置实例（待续）,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,/24,/24,/24,/24,/24,/24,GREVPN配置实例,RTB-Serial1/0ipaddressRTB-Ethernet0/0ipaddressRTBinterfacetunnel0RTB-Tunnel0ipaddressRTB-Tunnel0sourceRTB-Tunnel0destinationRTBiproute-statictunnel0,RTA-Serial1/0ipaddressRTA-Ethernet0/0ipaddressRTAinterfacetunnel0RTA-Tunnel0ipaddressRTA-Tunnel0sourceRTA-Tunnel0destinationRTAiproute-statictunnel0,GREVPN的显示和调试,显示Tunnel接口的工作状态displayinterfacetunnelnumber例如：H3Cdisplayinterfacestunnel1Tunnel1isup,lineprotocolisupMaximumTransmissionUnitis128Internetaddressis10packetsinput,640bytes0inputerrors,0broadcast,0drops10packetsoutput,640bytes0outputerrors,0broadcast,0noprotocol打开Tunnel调试信息debuggingtunnel,连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRETunnel,站点A,站点B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,单一骨干承载多个上层协议,RTA,RTB,IP,IPX,IPX,GRETunnel,站点A,站点B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,E0/0,E0/0,扩大载荷协议的工作范围,RTA,RTB,IP公网,载荷协议,载荷协议,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,GREVPN的优点,可以当前最为普遍的IP网络作为承载网络支持多种协议支持IP组播简单明了、容易布署,GREVPN的缺点,点对点隧道静态配置隧道参数布署复杂连接关系时代价巨大缺乏安全性不能分隔地址空间,VPN概述GREVPNL2TPIPSecVPNVPN设计规划,目录,L2TP,概述概念术语协议封装协议操作L2TP多实例配置和故障排除小结,L2TP,LayerTwoTunnelProtocolRFC2661隧道传送PPP验证和动态地址分配无加密措施点对网络特性,传统拨号接入,PSTN/ISDN,LAN,总部,NAS,出差员工,RADIUS,使用L2TP构建VPDN,L2TP功能组件,远程系统（RemoteSystem）LAC（L2TPAccessConcentrator）LNS（L2TPNetworkServer）NAS（NetworkAccessServer）,L2TP功能组件,L2TP术语,呼叫（Call）隧道（Tunnel）控制连接（ControlConnection）会话（Session）AVP（AttributeValuePair）,呼叫,隧道和控制连接,会话,L2TP拓扑结构（1）独立LAC方式,L2TP拓扑结构（2）客户LAC方式,L2TP头格式,L2TP协议栈和封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,L2TP协议操作,建立控制连接建立会话转发PPP帧Keepalive关闭会话关闭控制连接,建立控制连接,LAC,LNS,SCCRQSCCRPSCCCNZLB,控制连接的建立由PPP触发任意源端口1701重定位为任意源端口任意目标端口,建立会话,LAC,LNS,ICRQICRPICCNZLB,会话的建立以控制连接的建立为前提会话与呼叫有一一对应关系同一个隧道中可以建立多个会话,转发PPP帧,会话建立后，即可转发PPP帧TunnelID和SessionID用于区分不同隧道和不同会话的数据,Keepalive,LAC,LNS,HelloHello,L2TP用Hello控制消息维护隧道的状态,关闭会话,关闭控制连接,L2TP的验证过程,L2TP多实例,L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。,VPN1总部,Client,LNS,HOST,Internet,L2TPTUNNEL,Client,VPN2总部,VPN1,HOST,VPN2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,L2TP基本配置任务,LAC侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组设置发起L2TP连接请求及LNS地址LNS侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组创建虚接口模板设置本端地址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名,L2TP基本配置命令（未完）,LAC侧的配置设置用户名、密码及配置用户验证启用L2TPH3Cl2tpenable创建L2TP组H3Cl2tp-groupgroup-number设置发起L2TP连接请求及LNS地址H3C-l2tp1startl2tpipip-addressipip-addressdomaindomain-name|fullusernameuser-name,L2TP的基本配置命令（未完）,LNS侧的配置设置用户名、密码及配置用户验证启用L2TPH3Cl2tpenable创建L2TP组H3Cl2tp-groupgroup-number创建虚接口模板H3Cinterfacevirtual-templatevirtual-template-number设置本端地址及为用户分配的地址池H3C-Virtual-Template1ipaddressX.X.X.XnetmaskH3C-Virtual-Template1remoteaddresspoolpool-number,L2TP的基本配置命令,LNS侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名L2TP组不为1：H3C-l2tp1allowl2tpvirtual-templatevirtual-template-numberremoteremote-namedomaindomain-nameL2TP组为1：H3C-l2tp1allowl2tpvirtual-templatevirtual-template-numberremoteremote-namedomaindomain-name,L2TP可选配置任务,LAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道LNS侧可选配的参数强制本端CHAP认证强制LCP重新协商,L2TP的可选配置命令（未完）,LAC侧和LNS侧可选配的参数设置本端名称H3C-l2tp1tunnelnamename启用隧道验证及设置密码H3C-l2tp1tunnelauthenticationH3C-l2tp1tunnelpasswordsimple|cipherpassword设置通道Hello报文发送时间间隔H3C-l2tp1tunneltimerhellohello-interval,L2TP的可选配置命令（未完）,LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序设置前缀分隔符H3C-l2tp1l2tpdomainprefix-separatorseparator设置后缀分隔符H3C-l2tp1l2tpdomainsuffix-separatorseparator设置查找规则H3C-l2tp1l2tpmatch-orderdnis-domain|dnis|domain-dnis|domain强制挂断通道resetl2tptunnelremote-name|tunnel-id,L2TP的可选配置命令,LNS侧可选配的参数强制本端CHAP验证H3C-l2tp1mandatory-chap强制LCP重新协商H3C-l2tp1mandatory-lcp,L2TP配置例子（未完）,LAC,LNS,LAClocal-uservpdnuserH3C.comLAC-luser-vpdnuserH3C.compasswordsimpleHelloLACdomainH3C.comLAC-isp-H3C.comschemelocalLACl2tpenableLACl2tp-group1LAC-l2tp1tunnelnameLACLAC-l2tp1startl2tpipdomainH3C.comLAC-l2tp1tunnelauthenticationLAC-l2tp1tunnelpasswordsimpleH3C,PSTN/ISDN,L2TP配置例子,LNSlocal-uservpdnuserH3C.comLNS-luser-vpdnuserH3C.compasswordsimpleHelloLNSinterfacevirtual-template1LNS-virtual-template1ipaddressLNS-virtual-template1pppauthentication-modechapdomainH3C.comLNSdomainH3C.comLNS-isp-H3C.comschemelocalLNS-isp-H3C.comippool100LNSl2tpenableLNSl2tp-group1LNS-l2tp1tunnelnameLNSLNS-l2tp1allowl2tpvirtual-template1remoteLACLNS-l2tp1tunnelauthenticationLNS-l2tp1tunnelpasswordsimpleH3C,LAC,LNS,PSTN/ISDN,L2TP信息显示和调试,显示当前的L2TP通道的信息,H3Cdisplayl2tptunnelLocalIDRemoteIDRemNameRemAddressSessionsPort18AS801011701Totaltunnels=1,显示当前的L2TP会话的信息,H3Cdisplayl2tpsessionLocalIDRemoteIDTunnelID112Totalsession=1,打开L2TP调试信息开关debuggingl2tpall|control|dump|error|event|hidden|payload|time-stamp,L2TP故障排除,用户登录失败Tunnel建立失败在LAC端，LNS的地址设置不正确LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致PPP协商不通过LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户LNS端不能分配地址，比如地址池设置的较小，或没有进行设置密码验证类型不一致数据传输失败，在建立连接后数据不能传输，如Ping不通对端用户设置的地址有误网络拥挤,L2TP特点,方面远程漫游用户接入节约费用可以由ISP或组织自身提供接入和验证L2TP不提供对数据本身的安全性保证,VPN概述GREVPNL2TPIPSecVPNVPN设计规划,目录,IPSecVPN,概述概念和术语IPSecIKE配置IPSecVPNIPSecVPN典型应用小结,IPSecVPN,IP无安全保障RFC2401IPSec体系安全协议AH和ESP隧道模式（TunnelMode）和传输模式（TransportMode）隧道模式适宜于建立安全VPN隧道传输模式适用于两台主机之间的数据保护动态密钥交换IKE,基本概念和术语（待续）,机密性完整性身份验证对称和非对称加密算法密钥和密钥交换单向散列函数,基本概念和术语,完美前向保密加密的代价和DoS攻击重播式攻击加密的实现层次,安全性基本要求,机密性防止数据被未获得授权的查看者理解通过加密算法实现完整性防止数据在存储和传输的过程中受到非法的篡改使用单向散列函数身份验证判断一份数据是否源于正确的创建者单向散列函数、数字签名和公开密钥加密,加密算法,对称加密算法块加密算法流加密算法非对称加密算法如RSA算法,对称加密算法,双方共享一个密钥,加密方,解密方,奉天承运皇帝诏曰,共享密钥,yHidYTVdkd;AOt,yHidYTVdkd;AOt,奉天承运皇帝诏曰,加密,解密,共享密钥,非对称加密算法,加密方,解密方,奉天承运皇帝诏曰,解密方的公开密钥,yHidYTVdkd;AOt,yHidYTVdkd;AOt,奉天承运皇帝诏曰,加密,解密,解密方的私有密钥,加密和解密的密钥不同,单向散列函数,发送方,接收方,奉天承运皇帝诏曰,共享密钥,yYaIPyqZoyWIt,yYaIPyqZoyWIt,单向散列函数,共享密钥,单向散列函数,yYaIPyqZoyWIt,奉天承运皇帝诏曰,奉天承运皇帝诏曰,yYaIPyqZoyWIt,？,Diffie-Hellman交换,a,c=gamod(p),peer2,peer1,b,d=gbmod(p),(g,p),damod(p),cbmod(p),damod(p)=cbmodp=gabmodp,加密的实现层次,应用层,传输层,网络层,链路层,应用层,传输层,网络层,链路层,网络层,链路层,网络层,链路层,传输层,加密盒,加密盒,安全网关,安全网关,SSH、S/MIME,SSL,IPSec,IPSecVPN的体系结构,安全协议负责保护数据AH/ESP工作模式传输模式：实现端到端保护隧道模式：实现站点到站点保护密钥交换IKE：为安全协议执行协商,IPSec传输模式,RTA,RTB,IP,IPX,IPX,站点A,站点B,IPSec隧道模式,RTA,RTB,IP,IPX,IPX,IPSecTunnel,站点A,站点B,IPSecSA,SA（SecurityAssociation，安全联盟）由一个（SPI，IP目的地址，安全协议标识符）三元组唯一标识决定了对报文进行何种处理协议、算法、密钥每个IPSecSA都是单向的手工建立或IKE协商生成IPSec对数据流提供的安全服务通过SA来实现,IPSec处理流程,AH,AH（AuthenticationHeader）RFC2402数据的完整性校验和源验证有限的抗重播能力不能提供数据加密功能,AH头格式,0,8,16,31,AH用IP协议号51标识,传输模式AH封装,载荷数据,TCP,原始IP头,载荷数据,原始IP头,TCP,AH头,验证计算前，所有可变字段预先置0,AuthenticationData,密钥,AH头,单向散列函数,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,隧道模式AH封装,载荷数据,TCP,原始IP头,AuthenticationData,密钥,AH头,单向散列函数,新IP头,载荷数据,TCP,原始IP头,AH头,新IP头,验证计算前，所有可变字段预先置0,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,ESP,ESP（EncapsulatingSecurityPayload）RFC2406保证数据的机密性数据的完整性校验和源验证一定的抗重播能力,ESP头格式,ESP用IP协议号50标识,Padding(0-255bytes）,SequenceNumber,SecurityParametersIndex(SPI),AuthenticationData,NextHeader,Padlength,PayloadData(variable),24,16,8,0,31,传输模式ESP封装,AuthenticationData,加密密钥,加密算法,载荷数据,TCP,原始IP头,ESP尾,ESPAuth,密文,ESP尾,ESP头,密文,验证密钥,ESP头,密文,载荷数据,TCP,原始IP头,原始IP包,验证算法,隧道模式ESP封装,AuthenticationData,加密密钥,加密算法,载荷数据,TCP,原始IP头,新IP头,ESP尾,ESPAuth,密文,ESP尾,ESP头,密文,验证密钥,ESP头,密文,载荷数据,TCP,原始IP头,原始IP包,验证算法,IKE,IKE（InternetKeyExchange）RFC2409使用Diffie-Hellman交换完善的前向安全性UDP端口500,IKE的作用,在不安全的网络上安全地分发密钥，验证身份为IPSec提供了自动协商交换密钥、建立SA的服务定时更新SA定时更新密钥允许IPSec提供反重播服务,IKE与IPSec的关系,IKE,IPSec,IKE,IPSec,IKE的SA协商,SA,SA,IKE协商的两个阶段,阶段一在网络上建立一个IKESA，为阶段二协商提供保护主模式（MainMode）和野蛮模式（AggressiveMode）阶段二在阶段一建立的IKESA的保护下完成IPSecSA的协商快速模式（QuickMode）,Cookie,IKE交换开始时，双方的初始消息都包含一个Cookie响应方收到包含这个Cookie的下一条消息时，才开始真正的DH交换过程一定程度上阻止DoS攻击野蛮模式无法抵抗DoS,IKE主模式,策略协商,DH交换,ID交换及验证,发送本地IKE策略,身份验证和交换过程验证,密钥生成,密钥生成,接受对端确认的策略,查找匹配的策略,身份验证和交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,策略协商的内容,加密算法DES/3DES/AES散列算法MD5/SHA验证方法预共享密钥/RSA/DSA,DH交换组1MODP768位2MODP1024位3EC2N155字节4EC2N185字节5MODP1680位IKESA生存时间（LifeTime）,IKE野蛮模式,发送本地IKE策略开始DH交换,验证,接受对端确认的策略密钥生成验证,查找匹配的策略继续DH交换验证,发起方策略DH公共值,接收方确认的策略、DH公共值、验证载荷,验证载荷,Peer1,Peer2,IKE的优点,允许端到端动态验证降低手工布署的复杂度定时更新SA定时更新密钥允许IPSec提供抗重播服务,NAT与IPSec/IKE的不兼容性,NAT网关修改IPSec报文的IP地址IPSec完整性检查失败NAT网关修改IKE的UDP端口号500IKE协商验证失败其它问题,使用NAT穿越,RTB,IPX,IPX,IPSecTunnel,RTA,NAT网关,IP,UDP,IPSec报文,IPSec配置前准备,确定需要保护的数据确定使用安全保护的路径确定使用哪种安全保护确定安全保护的强度,IPSec的配置任务,配置访问控制列表定义安全提议创建安全提议选择安全协议选择安全算法选择报文封装形式创建安全策略手工创建安全策略用IKE创建安全策略在接口上应用安全策略,配置访问控制列表,双方列表对称,本端：aclnumber3101rule1permitipsourcedestination,对端：aclnumber3101rule1permitipsourcedestination,定义安全提议,创建安全提议H3Cipsecproposalproposal-name选择报文封装形式H3C-ipsec-proposal-tran1encapsulation-modetransport|tunnel选择安全协议H3C-ipsec-proposal-tran1transformah|ah-esp|esp选择安全算法H3C-ipsec-proposal-tran1espencryption-algorithm3des|des|aesH3C-ipsec-proposal-tran1espauthentication-algorithmmd5|sha1H3C-ipsec-proposal-tran1ahauthentication-algorithmmd5|sha1,创建安全策略手工创建（未完）,手工创建安全策略H3Cipsecpolicypolicy-nameseq-numbermanual在安全策略中引用安全提议H3C-posal-name6在安全策略中引用访问控制列表H3C-ipsec-policy-manual-map1-10securityaclacl-number配置隧道的起点和终点H3C-ipsec-policy-manual-map1-10tunnellocalip-addressH3C-ipsec-policy-manual-map1-10tunnelremoteip-address配置安全联盟的SPIH3C-ipsec-policy-manual-map1-10saspiinbound|outboundah|espspi-number,创建安全策略手工创建,配置安全联盟使用的密钥配置协议的验证密钥（以16进制方式输入）H3C-ipsec-policy-manual-map1-10saauthentication-hexinbound|outboundah|esphex-key配置协议的验证密钥（以字符串方式输入）H3C-ipsec-policy-manual-map1-10sastring-keyinbound|outboundah|espstring-key配置ESP协议的加密密钥（以16进制方式输入）H3C-ipsec-policy-manual-map1-10saencryption-hexinbound|outboundesphex-key,创建安全策略用IKE创建,用IKE创建安全策略H3Cipsecpolicypolicy-nameseq-numberisakmp在安全策略中引用安全提议H3C-posal-name6在安全策略中引用访问控制列表H3C-ipsec-policy-isakmp-map1-10securityaclacl-number在安全策略中引用IKE对等体H3C-ipsec-policy-isakmp-map1-10ike-peerpeer-name,在接口上应用安全策略,在接口上应用安全策略H3C-Serial0/0ipsecpolicypolicy-name,IKE配置任务（未完）,配置本端安全网关的名字定义IKE安全提议创建IKE安全提议选择加密算法选择验证方法选择验证算法选择Diffie-Hellman组标识配置IKESA生存周期,IKE配置任务,配置IKE对等体创建IKE对等体配置IKE协商模式配置身份验证字配置IKE协商过程中使用的ID类型指定对端安全网关设备的ID配置本端及对端安全网关设备的IP地址配置NAT穿越功能配置最大连接数,配置本端安全网关的名字,配置本端安全网关的名字H3Cikelocal-nameid,定义IKE安全提议,系统提供一条缺省的IKE安全提议,创建IKE安全提议H3Cikeproposalproposal-number选择加密算法H3C-ike-proposal-1encryption-algorithmdes-cbc|3des-cbc选择验证方法H3C-ike-proposal-1authentication-methodpre-share|rsa-signature选择验证算法H3C-ike-proposal-1authentication-algorithmmd5|sha选择Diffie-Hellman组标识H3C-ike-proposal-1dhgroup1|group2配置IKESA生存周期（可选）H3C-ike-proposal-1sadurationseconds,配置IKE对等体（未完）,创建IKE对等体H3Cikepeerpeer-name配置IKE协商模式H3C-ike-peer-1exchange-modeaggressive|main配置身份验证字H3C-ike-peer-1pre-shared-keykey配置ike协商过程中使用的ID类型H3C-ike-peer-1id-typeip|name,配置IKE对等体,指定对端安全网关设备的IDH3C-ike-peer-1remote-namename配置本端及对端安全网关设备的IP地址H3C-ike-peer-1local-addressip-addressH3C-ike-peer-1remote-addressip-address配置NAT穿越功能H3C-ike-peer-1nat-traversal配置最大连接数H3C-ike-peer-1max-connectionsnumber,IPSec隧道配置例子（未完）,RTA,RTB,IPX,IPX,站点A,站点B,S0/0,S0/0,E0/0,E0/0,/24,/24,/24,/24,IP,PC1,PC2,/24,/24,IPSec隧道配置例子,H3Caclnumber3000H3C-acl-adv-3000rulepermitipsource55destination55H3C-acl-adv-3000ruledenyipsourceanydestinationanyH3Ciproute-staticH3Cipsecproposaltran1H3C-ipsec-proposal-tran1encapsulation-modetunnelH3C-ipsec-proposal-tran1transformespH3C-ipsec-proposal-tran1espencryption-algorithmdesH3C-ipsec-proposal-tran1espauthentication-algorithmsha1H3C-ipsec-proposal-tran1quitH3CikepeerpeerH3C-ike-peer-peerpre-share-keyabcdeH3C-ike-peer-peerremote-addressH3Cipsecpolicymap110isakmpH3C-ipsec-policy-isakmp-map1-10proposaltran1H3C-ipsec-policy-isakmp-map1-10securityacl101H3C-ipsec-policy-isakmp-map1-10ike-peerpeerH3C-ipsec-policy-isakmp-map1-10quitH3Cinterfaceserial0/0H3C-Serial0/0ipaddressH3C-Serial0/0ipsecpolicymap1H3Cinterfaceethernet0/0H3C-Ethernet0/0ipaddress,RTA的配置（RTB的配置与RTA对称）,IPSec的显示与调试（未完）,显示安全联盟的相关信息displayipsecsabrief|remoteip-address|policypolicy-nameseq-number|duration显示IPSec处理报文的统计信息displayipsecstatistics显示安全提议的信息displayipsecproposalproposal-name显示安全策略的信息displayipsecpolicybrief|namepolicy-nameseq-number打开IPSec的调试功能debuggingipsecsa|packetpolicypolicy-nameseq-number|parametersip-addressprotocolspi-number|misc,IPSec的显示与调试,清除IPSec的报文统计信息resetipsecstatistics删除安全联盟resetipsecsaremoteip-address|policypolicy-nameseq-number|parametersdest-addressprotocolspi,IKE的显示与调试,显示当前已建立的安全通道displayikesa显示每个IKE提议配置的参数displayikeproposal删除安全隧道resetikesaconnection-id打开IKE的调试信息debuggingikeerror|exchange|message|misc|transport,IPSec故障诊断与排错,非法用户身份信息检查协商两端接口上配置的安全策略中的ACL内容是否相容。建议用户将两端的ACL配