H3CVPN原理及配置

第1章VPN原理和配置 ISSUE1 1 日期 杭州华三通信技术有限公司版权所有 未经授权不得使用与传播 随着网络应用的发展 组织需要将Intranet Extranet和Internet接入融合起来组织越来越需要降低昂贵的专线网络布署 使用和维护费用 缩减布署周期 提高灵活性 引入 理解VPN的体系结构掌握GREVPN的工作原理和配置掌握L2TPVPN的工作原理和配置掌握IPSecVPN的工作原理和配置能够执行基本的VPN设计 课程目标 学习完本课程 您应该能够 VPN概述GREVPNL2TPIPSecVPNVPN设计规划 目录 VPN概述 VPN概念VPN的分类主要VPN技术 VPN VirtualPrivateNetwork 合作伙伴 隧道 办事处 总部 分支机构 异地办事处 Internet 什么是VPN VPN VirtualPrivateNetwork 虚拟私有网 以共享的公共网络为基础 构建私有的专用网络以虚拟的连接 而非以物理连接贯通网络处于私有的管理策略之下 具有独立的地址和路由规划RFC2764描述了基于IP的VPN体系结构 VPN的优势 可以快速构建网络 减小布署周期与私有网络一样提供安全性 可靠性和可管理性可利用Internet 无处不连通 处处可接入简化用户侧的配置和维护工作提高基础资源利用率于客户可节约使用开销于运营商可以有效利用基础设施 提供大量 多种业务 VPN的关键概念术语 隧道 Tunnel 封装 Encapsulation 验证 Authentication 授权 Authorization 加密 Encryption 解密 Decryption VPN的分类方法 按照业务用途分类 AccessVPN IntranetVPN ExtranetVPN按照运营模式 CPE BasedVPN Network BasedVPN按照组网模型 VPDN VPRN VLL VPLS按照网络层次 Layer1VPN Layer2VPN Layer3VPN 传输层VPN 应用层VPN AccessVPN POP POP 用户直接发起连接 POP ISP发起连接 总部 隧道 IntranetVPN ExtranetVPN CPE BasedVPN Network BasedVPN 隧道 总部 VLL 虚拟专线 VPRN VPDN 虚拟私有拨号网络 适用范围 出差员工异地小型办公机构 POP POP 用户直接发起连接 POP ISP发起连接 总部 隧道 VPLS 虚拟私有LAN服务 不同网络层次的VPN 一层VPN二层VPN三层VPN传输层VPN应用层VPN 主要VPN技术 主要的二层VPN技术L2TP 二层隧道协议PPTP 点到点隧道协议MPLSL2VPN主要的三层VPN技术GREIPSecVPNBGP MPLSVPN 其它VPN技术 老式VPN技术包括ATM FrameRelay X 25等分组交换技术SSL SecureSocketsLayer L2F Layer2Forwarding DVPN DynamicVirtualPrivateNetwork 动态VPN 基于VLAN的VPN802 1QinQXOT X 25overTCPProtocol VPN概述GREVPNL2TPIPSecVPNVPN设计规划 目录 GREVPN 概述GRE封装GREVPN工作原理GREVPN配置GREVPN典型应用小结 GREVPN GRE GenericRoutingEncapsulation 在任意一种网络协议上传送任意一种其它网络协议的封装方法RFC2784可以用于任意的VPN实现GREVPN直接使用GRE封装 在一种网络上传送其它协议虚拟的隧道 Tunnel 接口 GRE协议栈 协议B GRE 协议A 链路层协议 载荷协议 封装协议 承载协议 协议B载荷 GRE封装包格式 链路层 GRE 协议B 协议A 载荷 RFC1701GRE头格式 RFC1701SRE格式 常见GRE载荷协议号 RFC2784GRE标准头格式 GRE扩展头格式 载荷协议包 以IP作为承载协议的GRE封装 GRE被当作一种IP协议对待IP用协议号47标识GRE 链路层 GRE IP IP协议号47 以IP作为载荷协议的GRE封装 GRE使用以太类型标识载荷协议载荷协议类型值0 x0800说明载荷协议为IP IPoverIP的GRE封装 GRE隧道 RTA RTB IP IPX IPX GRETunnel 站点A 站点B S0 0 S0 0 E0 0 E0 0 Tunnel0 Tunnel0 IPX数据流 IPX包 IPX包 GRE封装包 IPoverIPGRE隧道 RTA RTB IP公网 IP私网 IP私网 GRETunnel 站点A 站点B S0 0 S0 0 E0 0 E0 0 Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 203 1 1 2 24 202 1 1 1 24 IP私网之间的数据流 私网IP包 GRE封装包 私网IP包 GRE隧道处理流程 隧道起点路由查找加封装承载协议路由转发中途转发解封装隧道终点载荷协议路由查找 GRE隧道处理 隧道起点路由查找 RTA RTB IP公网 IP私网 IP私网 站点A 站点B S0 0 S0 0 E0 0 E0 0 Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 203 1 1 2 24 202 1 1 1 24 GRE隧道处理 加封装 RTA RTB IP公网 IP私网 IP私网 站点A 站点B Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 203 1 1 2 24 202 1 1 1 24 RTATunnel0接口参数 GRE封装源接口S0 0 地址202 1 1 1目标地址203 1 1 2 D S 私网IP包 GRE头 公网IP头 目的地址 203 1 1 2 源地址 202 1 1 1 S0 0 S0 0 E0 0 E0 0 GRE隧道处理 承载协议路由转发 RTA RTB IP公网 IP私网 IP私网 站点A 站点B Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 203 1 1 2 24 202 1 1 1 24 S0 0 S0 0 E0 0 E0 0 GRE隧道处理 中途转发 RTA RTB IP公网 IP私网 IP私网 站点A 站点B S0 0 S0 0 E0 0 E0 0 Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 203 1 1 2 24 202 1 1 1 24 GRE隧道处理 解封装 RTA RTB IP公网 IP私网 IP私网 站点A 站点B Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 203 1 1 2 24 202 1 1 1 24 RTBTunnel0接口参数 GRE封装源接口S0 0 地址202 1 1 1目标地址203 1 1 2 D S 私网IP包 GRE头 公网IP头 私网IP包 S0 0 S0 0 E0 0 E0 0 GRE隧道处理 隧道终点载荷协议路由查找 RTA RTB IP公网 IP私网 IP私网 站点A 站点B Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 203 1 1 2 24 202 1 1 1 24 S0 0 S0 0 E0 0 E0 0 GRE穿越NAT RTA RTB IP公网 IP私网 IP私网 E1 0 S0 0 E0 0 E0 0 Tunnel0 Tunnel0 IP addr B IP addr A NAT网关 S0 0 IP addr R RTA配置 隧道源IP addr A隧道目的IP addr B RTB配置 隧道源IP addr B隧道目的IP addr R NAT配置 地址映射 IP addr A IP addr R GREVPN基本配置 创建虚拟Tunnel接口 H3C interfacetunnelnumber指定Tunnel的源端 H3C Tunnel0 source ip addr interface typeinterface num 指定Tunnel的目的端 H3C Tunnel0 destinationip address设置Tunnel接口的网络地址 H3C Tunnel0 ipaddressip addressmask配置通过Tunnel的路由 GREVPN路由配置 RTA RTB IP公网 IP私网 IP私网 站点A 站点B S1 0 S1 0 E0 0 E0 0 Tunnel0 Tunnel0 载荷网路由AS 承载网路由AS 虚假的Tunnel接口状态 RTA RTB 站点A 站点B E1 0 E1 0 E0 0 E0 0 Tunnel0 Tunnel0 备份隧道空闲 服务器 服务器 RTC E1 0 E0 0 Tunnel0 Tunnel1 UP UP UP UP GREVPN高级配置 设置Tunnel接口报文的封装模式 H3C Tunnel0 tunnel protocolgre设置Tunnel两端进行端到端校验 H3C Tunnel0 grechecksum设置Tunnel接口的识别关键字 H3C Tunnel0 grekeykey number配置Tunnel的keepalive功能 H3C Tunnel0 keepaliveintervaltimes GREVPN配置实例 待续 RTA RTB IP公网 IP私网 IP私网 站点A 站点B S1 0 S1 0 E0 0 E0 0 Tunnel0 Tunnel0 10 1 1 1 24 10 1 2 1 24 10 1 2 2 24 10 1 3 1 24 132 108 5 2 24 192 13 2 1 24 GREVPN配置实例 RTB Serial1 0 ipaddress132 108 5 2255 255 255 0 RTB Ethernet0 0 ipaddress10 1 3 1255 255 255 0 RTB interfacetunnel0 RTB Tunnel0 ipaddress10 1 2 2255 255 255 0 RTB Tunnel0 source132 108 5 2 RTB Tunnel0 destination192 13 2 1 RTB iproute static10 1 1 0255 255 255 0tunnel0 RTA Serial1 0 ipaddress192 13 2 1255 255 255 0 RTA Ethernet0 0 ipaddress10 1 1 1255 255 255 0 RTA interfacetunnel0 RTA Tunnel0 ipaddress10 1 2 1255 255 255 0 RTA Tunnel0 source192 13 2 1 RTA Tunnel0 destination132 108 5 2 RTA iproute static10 1 3 0255 255 255 0tunnel0 GREVPN的显示和调试 显示Tunnel接口的工作状态displayinterfacetunnelnumber例如 H3C displayinterfacestunnel1Tunnel1isup lineprotocolisupMaximumTransmissionUnitis128Internetaddressis1 1 1 1255 255 255 010packetsinput 640bytes0inputerrors 0broadcast 0drops10packetsoutput 640bytes0outputerrors 0broadcast 0noprotocol打开Tunnel调试信息debuggingtunnel 连接不连续的网络 RTA RTB IP IPX IPX GRETunnel 站点A 站点B Tunnel0 Tunnel0 S0 0 S0 0 E0 0 E0 0 单一骨干承载多个上层协议 RTA RTB IP IPX IPX GRETunnel 站点A 站点B Tunnel0 Tunnel0 IP IP Team1 Team2 Group1 Group2 S0 0 S0 0 E0 0 E0 0 扩大载荷协议的工作范围 RTA RTB IP公网 载荷协议 载荷协议 站点A 站点B S0 0 S0 0 E0 0 E0 0 Tunnel0 Tunnel0 GREVPN的优点 可以当前最为普遍的IP网络作为承载网络支持多种协议支持IP组播简单明了 容易布署 GREVPN的缺点 点对点隧道静态配置隧道参数布署复杂连接关系时代价巨大缺乏安全性不能分隔地址空间 VPN概述GREVPNL2TPIPSecVPNVPN设计规划 目录 L2TP 概述概念术语协议封装协议操作L2TP多实例配置和故障排除小结 L2TP LayerTwoTunnelProtocolRFC2661隧道传送PPP验证和动态地址分配无加密措施点对网络特性 传统拨号接入 PSTN ISDN LAN 总部 NAS 出差员工 RADIUS 使用L2TP构建VPDN L2TP功能组件 远程系统 RemoteSystem LAC L2TPAccessConcentrator LNS L2TPNetworkServer NAS NetworkAccessServer L2TP功能组件 L2TP术语 呼叫 Call 隧道 Tunnel 控制连接 ControlConnection 会话 Session AVP AttributeValuePair 呼叫 隧道和控制连接 会话 L2TP拓扑结构 1 独立LAC方式 L2TP拓扑结构 2 客户LAC方式 L2TP头格式 L2TP协议栈和封装过程 私有IP PPP L2TP UDP 公有IP 链路层 物理层 物理层 私有IP PPP IP包 公有IP UDP L2TP PPP IP包 私有IP 链路层 私有IP PPP 物理层 L2TP UDP 公有IP 链路层 物理层 物理层 私有IP 链路层 物理层 Client LAC LNS Server LAC侧封装过程 LNS侧解封装过程 L2TP协议栈结构 L2TP协议操作 建立控制连接建立会话转发PPP帧Keepalive关闭会话关闭控制连接 建立控制连接 LAC LNS SCCRQSCCRPSCCCNZLB 控制连接的建立由PPP触发任意源端口 1701重定位为任意源端口 任意目标端口 建立会话 LAC LNS ICRQICRPICCNZLB 会话的建立以控制连接的建立为前提会话与呼叫有一一对应关系同一个隧道中可以建立多个会话 转发PPP帧 会话建立后 即可转发PPP帧TunnelID和SessionID用于区分不同隧道和不同会话的数据 Keepalive LAC LNS HelloHello L2TP用Hello控制消息维护隧道的状态 关闭会话 关闭控制连接 L2TP的验证过程 L2TP多实例 L2TP协议上加入多实例技术 让L2TP支持在一台设备将不同的用户划分在不同的VPN 各个VPN之内的数据可以互通 且在LNS两个不同VPN之间的数据不能互相访问 即使L2TP接入是同一个设备 VPN1总部 Client LNS HOST Internet L2TPTUNNEL Client VPN2总部 VPN1 HOST VPN2 10 1 1 10 1 1 10 1 2 10 1 2 L2TP基本配置任务 LAC侧设置用户名 密码及配置用户验证启用L2TP创建L2TP组设置发起L2TP连接请求及LNS地址LNS侧设置用户名 密码及配置用户验证启用L2TP创建L2TP组创建虚接口模板设置本端地址及分配的地址池设置接收呼叫的虚接口模板 通道对端名称和域名 L2TP基本配置命令 未完 LAC侧的配置设置用户名 密码及配置用户验证启用L2TP H3C l2tpenable创建L2TP组 H3C l2tp groupgroup number设置发起L2TP连接请求及LNS地址 H3C l2tp1 startl2tp ipip address ipip address domaindomain name fullusernameuser name L2TP的基本配置命令 未完 LNS侧的配置设置用户名 密码及配置用户验证启用L2TP H3C l2tpenable创建L2TP组 H3C l2tp groupgroup number创建虚接口模板 H3C interfacevirtual templatevirtual template number设置本端地址及为用户分配的地址池 H3C Virtual Template1 ipaddressX X X Xnetmask H3C Virtual Template1 remoteaddress poolpool number L2TP的基本配置命令 LNS侧的配置设置接收呼叫的虚拟接口模板 通道对端名称和域名L2TP组不为1 H3C l2tp1 allowl2tpvirtual templatevirtual template numberremoteremote name domaindomain name L2TP组为1 H3C l2tp1 allowl2tpvirtual templatevirtual template number remoteremote name domaindomain name L2TP可选配置任务 LAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道LNS侧可选配的参数强制本端CHAP认证强制LCP重新协商 L2TP的可选配置命令 未完 LAC侧和LNS侧可选配的参数设置本端名称 H3C l2tp1 tunnelnamename启用隧道验证及设置密码 H3C l2tp1 tunnelauthentication H3C l2tp1 tunnelpassword simple cipher password设置通道Hello报文发送时间间隔 H3C l2tp1 tunneltimerhellohello interval L2TP的可选配置命令 未完 LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序设置前缀分隔符 H3C l2tp1 l2tpdomainprefix separatorseparator设置后缀分隔符 H3C l2tp1 l2tpdomainsuffix separatorseparator设置查找规则 H3C l2tp1 l2tpmatch order dnis domain dnis domain dnis domain 强制挂断通道resetl2tptunnel remote name tunnel id L2TP的可选配置命令 LNS侧可选配的参数强制本端CHAP验证 H3C l2tp1 mandatory chap强制LCP重新协商 H3C l2tp1 mandatory lcp L2TP配置例子 未完 LAC LNS LAC local uservpdnuser H3C com LAC luser vpdnuser H3C com passwordsimpleHello LAC domainH3C com LAC isp H3C com schemelocal LAC l2tpenable LAC l2tp group1 LAC l2tp1 tunnelnameLAC LAC l2tp1 startl2tpip202 38 160 2domainH3C com LAC l2tp1 tunnelauthentication LAC l2tp1 tunnelpasswordsimpleH3C PSTN ISDN L2TP配置例子 LNS local uservpdnuser H3C com LNS luser vpdnuser H3C com passwordsimpleHello LNS interfacevirtual template1 LNS virtual template1 ipaddress192 168 0 1255 255 255 0 LNS virtual template1 pppauthentication modechapdomainH3C com LNS domainH3C com LNS isp H3C com schemelocal LNS isp H3C com ippool1192 168 0 2192 168 0 100 LNS l2tpenable LNS l2tp group1 LNS l2tp1 tunnelnameLNS LNS l2tp1 allowl2tpvirtual template1remoteLAC LNS l2tp1 tunnelauthentication LNS l2tp1 tunnelpasswordsimpleH3C LAC LNS PSTN ISDN L2TP信息显示和调试 显示当前的L2TP通道的信息 H3C displayl2tptunnelLocalIDRemoteIDRemNameRemAddressSessionsPort18AS8010172 168 10 211701Totaltunnels 1 显示当前的L2TP会话的信息 H3C displayl2tpsessionLocalIDRemoteIDTunnelID112Totalsession 1 打开L2TP调试信息开关debuggingl2tp all control dump error event hidden payload time stamp L2TP故障排除 用户登录失败Tunnel建立失败在LAC端 LNS的地址设置不正确LNS 通常为路由器 端没有设置可以接收该隧道对端的L2TP组Tunnel验证不通过 如果配置了验证 应该保证双方的隧道密码一致PPP协商不通过LAC端设置的用户名与密码有误 或者是LNS端没有设置相应的用户LNS端不能分配地址 比如地址池设置的较小 或没有进行设置密码验证类型不一致数据传输失败 在建立连接后数据不能传输 如Ping不通对端用户设置的地址有误网络拥挤 L2TP特点 方面远程漫游用户接入节约费用可以由ISP或组织自身提供接入和验证L2TP不提供对数据本身的安全性保证 VPN概述GREVPNL2TPIPSecVPNVPN设计规划 目录 IPSecVPN 概述概念和术语IPSecIKE配置IPSecVPNIPSecVPN典型应用小结 IPSecVPN IP无安全保障RFC2401 IPSec体系安全协议 AH和ESP隧道模式 TunnelMode 和传输模式 TransportMode 隧道模式适宜于建立安全VPN隧道传输模式适用于两台主机之间的数据保护动态密钥交换 IKE 基本概念和术语 待续 机密性完整性身份验证对称和非对称加密算法密钥和密钥交换单向散列函数 基本概念和术语 完美前向保密加密的代价和DoS攻击重播式攻击加密的实现层次 安全性基本要求 机密性防止数据被未获得授权的查看者理解通过加密算法实现完整性防止数据在存储和传输的过程中受到非法的篡改使用单向散列函数身份验证判断一份数据是否源于正确的创建者单向散列函数 数字签名和公开密钥加密 加密算法 对称加密算法块加密算法流加密算法非对称加密算法如RSA算法 对称加密算法 双方共享一个密钥 加密方 解密方 奉天承运皇帝诏曰 共享密钥 yHidYTVdkd AOt yHidYTVdkd AOt 奉天承运皇帝诏曰 加密 解密 共享密钥 非对称加密算法 加密方 解密方 奉天承运皇帝诏曰 解密方的公开密钥 yHidYTVdkd AOt yHidYTVdkd AOt 奉天承运皇帝诏曰 加密 解密 解密方的私有密钥 加密和解密的密钥不同 单向散列函数 发送方 接收方 奉天承运皇帝诏曰 共享密钥 yYaIPyqZo yWIt yYaIPyqZo yWIt 单向散列函数 共享密钥 单向散列函数 yYaIPyqZo yWIt 奉天承运皇帝诏曰 奉天承运皇帝诏曰 yYaIPyqZo yWIt Diffie Hellman交换 a c gamod p peer2 peer1 b d gbmod p g p damod p cbmod p damod p cbmodp gabmodp 加密的实现层次 应用层 传输层 网络层 链路层 应用层 传输层 网络层 链路层 网络层 链路层 网络层 链路层 传输层 加密盒 加密盒 安全网关 安全网关 SSH S MIME SSL IPSec IPSecVPN的体系结构 安全协议负责保护数据AH ESP工作模式传输模式 实现端到端保护隧道模式 实现站点到站点保护密钥交换IKE 为安全协议执行协商 IPSec传输模式 RTA RTB IP IPX IPX 站点A 站点B IPSec隧道模式 RTA RTB IP IPX IPX IPSecTunnel 站点A 站点B IPSecSA SA SecurityAssociation 安全联盟 由一个 SPI IP目的地址 安全协议标识符 三元组唯一标识决定了对报文进行何种处理协议 算法 密钥每个IPSecSA都是单向的手工建立或IKE协商生成IPSec对数据流提供的安全服务通过SA来实现 IPSec处理流程 AH AH AuthenticationHeader RFC2402数据的完整性校验和源验证有限的抗重播能力不能提供数据加密功能 AH头格式 0 8 16 31 AH用IP协议号51标识 传输模式AH封装 载荷数据 TCP 原始IP头 载荷数据 原始IP头 TCP AH头 验证计算前 所有可变字段预先置0 AuthenticationData 密钥 AH头 单向散列函数 载荷数据 TCP 原始IP头 原始IP包 AH处理后的包 隧道模式AH封装 载荷数据 TCP 原始IP头 AuthenticationData 密钥 AH头 单向散列函数 新IP头 载荷数据 TCP 原始IP头 AH头 新IP头 验证计算前 所有可变字段预先置0 载荷数据 TCP 原始IP头 原始IP包 AH处理后的包 ESP ESP EncapsulatingSecurityPayload RFC2406保证数据的机密性数据的完整性校验和源验证一定的抗重播能力 ESP头格式 ESP用IP协议号50标识 Padding 0 255bytes SequenceNumber SecurityParametersIndex SPI AuthenticationData NextHeader Padlength PayloadData variable 24 16 8 0 31 传输模式ESP封装 AuthenticationData 加密密钥 加密算法 载荷数据 TCP 原始IP头 ESP尾 ESPAuth 密文 ESP尾 ESP头 密文 验证密钥 ESP头 密文 载荷数据 TCP 原始IP头 原始IP包 验证算法 隧道模式ESP封装 AuthenticationData 加密密钥 加密算法 载荷数据 TCP 原始IP头 新IP头 ESP尾 ESPAuth 密文 ESP尾 ESP头 密文 验证密钥 ESP头 密文 载荷数据 TCP 原始IP头 原始IP包 验证算法 IKE IKE InternetKeyExchange RFC2409使用Diffie Hellman交换完善的前向安全性UDP端口500 IKE的作用 在不安全的网络上安全地分发密钥 验证身份为IPSec提供了自动协商交换密钥 建立SA的服务定时更新SA定时更新密钥允许IPSec提供反重播服务 IKE与IPSec的关系 IKE IPSec IKE IPSec IKE的SA协商 SA SA IKE协商的两个阶段 阶段一在网络上建立一个IKESA 为阶段二协商提供保护主模式 MainMode 和野蛮模式 AggressiveMode 阶段二在阶段一建立的IKESA的保护下完成IPSecSA的协商快速模式 QuickMode Cookie IKE交换开始时 双方的初始消息都包含一个Cookie响应方收到包含这个Cookie的下一条消息时 才开始真正的DH交换过程一定程度上阻止DoS攻击野蛮模式无法抵抗DoS IKE主模式 策略协商 DH交换 ID交换及验证 发送本地IKE策略 身份验证和交换过程验证 密钥生成 密钥生成 接受对端确认的策略 查找匹配的策略 身份验证和交换过程验证 确认对方使用的算法 产生密钥 验证对方身份 发起方策略 接收方确认的策略 发起方的密钥生成信息 接收方的密钥生成信息 发起方身份和验证数据 接收方的身份和验证数据 Peer1 Peer2 策略协商的内容 加密算法DES 3DES AES散列算法MD5 SHA验证方法预共享密钥 RSA DSA DH交换组1 MODP768位2 MODP1024位3 EC2N155字节4 EC2N185字节5 MODP1680位IKESA生存时间 LifeTime IKE野蛮模式 发送本地IKE策略开始DH交换 验证 接受对端确认的策略密钥生成验证 查找匹配的策略继续DH交换验证 发起方策略DH公共值 接收方确认的策略 DH公共值 验证载荷 验证载荷 Peer1 Peer2 IKE的优点 允许端到端动态验证降低手工布署的复杂度定时更新SA定时更新密钥允许IPSec提供抗重播服务 NAT与IPSec IKE的不兼容性 NAT网关修改IPSec报文的IP地址IPSec完整性检查失败NAT网关修改IKE的UDP端口号500IKE协商验证失败其它问题 使用NAT穿越 RTB IPX IPX IPSecTunnel RTA NAT网关 IP UDP IPSec报文 IPSec配置前准备 确定需要保护的数据确定使用安全保护的路径确定使用哪种安全保护确定安全保护的强度 IPSec的配置任务 配置访问控制列表定义安全提议创建安全提议选择安全协议选择安全算法选择报文封装形式创建安全策略手工创建安全策略用IKE创建安全策略在接口上应用安全策略 配置访问控制列表 双方列表对称 本端 aclnumber3101rule1permitipsource173 1 1 10 0 0 0destination173 2 2 20 0 0 0 对端 aclnumber3101rule1permitipsource173 2 2 20 0 0 0destination173 1 1 10 0 0 0 定义安全提议 创建安全提议 H3C ipsecproposalproposal name选择报文封装形式 H3C ipsec proposal tran1 encapsulation mode transport tunnel 选择安全协议 H3C ipsec proposal tran1 transform ah ah esp esp 选择安全算法 H3C ipsec proposal tran1 espencryption algorithm 3des des aes H3C ipsec proposal tran1 espauthentication algorithm md5 sha1 H3C ipsec proposal tran1 ahauthentication algorithm md5 sha1 创建安全策略 手工创建 未完 手工创建安全策略 H3C ipsecpolicypolicy nameseq numbermanual在安全策略中引用安全提议 H3C ipsec policy manual map1 10 proposalproposal name1 proposal name2 proposal name6 在安全策略中引用访问控制列表 H3C ipsec policy manual map1 10 securityaclacl number配置隧道的起点和终点 H3C ipsec policy manual map1 10 tunnellocalip address H3C ipsec policy manual map1 10 tunnelremoteip address配置安全联盟的SPI H3C ipsec policy manual map1 10 saspi inbound outbound ah esp spi number 创建安全策略 手工创建 配置安全联盟使用的密钥配置协议的验证密钥 以16进制方式输入 H3C ipsec policy manual map1 10 saauthentication hex inbound outbound ah esp hex key配置协议的验证密钥 以字符串方式输入 H3C ipsec policy manual map1 10 sastring key inbound outbound ah esp string key配置ESP协议的加密密钥 以16进制方式输入 H3C ipsec policy manual map1 10 saencryption hex inbound outbound esphex key 创建安全策略 用IKE创建 用IKE创建安全策略 H3C ipsecpolicypolicy nameseq numberisakmp在安全策略中引用安全提议 H3C ipsec policy isakmp map1 10 proposalproposal name1 proposal name2 proposal name6 在安全策略中引用访问控制列表 H3C ipsec policy isakmp map1 10 securityaclacl number在安全策略中引用IKE对等体 H3C ipsec policy isakmp map1 10 ike peerpeer name 在接口上应用安全策略 在接口上应用安全策略 H3C Serial0 0 ipsecpolicypolicy name IKE配置任务 未完 配置本端安全网关的名字定义IKE安全提议创建IKE安全提议选择加密算法选择验证方法选择验证算法选择Diffie Hellman组标识配置IKESA生存周期 IKE配置任务 配置IKE对等体创建IKE对等体配置IKE协商模式配置身份验证字配置IKE协商过程中使用的ID类型指定对端安全网关设备的ID配置本端及对端安全网关设备的IP地址配置NAT穿越功能配置最大连接数 配置本端安全网关的名字 配置本端安全网关的名字 H3C ikelocal nameid 定义IKE安全提议 系统提供一条缺省的IKE安全提议 创建IKE安全提议 H3C ikeproposalproposal number选择加密算法 H3C ike proposal 1 encryption algorithm des cbc 3des cbc 选择验证方法 H3C ike proposal 1 authentication method pre share rsa signature 选择验证算法 H3C ike proposal 1 authentication algorithm md5 sha 选择Diffie Hellman组标识 H3C ike proposal 1 dh group1 group2 配置IKESA生存周期 可选 H3C ike proposal 1 sadurationseconds 配置IKE对等体 未完 创建IKE对等体 H3C ikepeerpeer name配置IKE协商模式 H3C ike peer 1 exchange mode aggressive main 配置身份验证字 H3C ike peer 1 pre shared keykey配置ike协商过程中使用的ID类型 H3C ike peer 1 id type ip name 配置IKE对等体 指定对端安全网关设备的ID H3C ike peer 1 remote namename配置本端及对端安全网关设备的IP地址 H3C ike peer 1 local addressip address H3C ike peer 1 remote addressip address配置NAT穿越功能 H3C ike peer 1 nat traversal配置最大连接数 H3C ike peer 1 max connectionsnumber IPSec隧道配置例子 未完 RTA RTB IPX IPX 站点A 站点B S0 0 S0 0 E0 0 E0 0 10 1 2 1 24 202 38 160 1 24 10 1 1 1 24 10 1 2 1 24 IP PC1 PC2 10 1 1 2 24 202 38 160 2 24 IPSec隧道配置例子 H3C aclnumber3000 H3C acl adv 3000 rulepermitipsource10 1 1 00 0 0 255destination10 1 2 00 0 0 255 H3C acl adv 3000 ruledenyipsourceanydestinationany H3C iproute static10 1 2 0255 255 255 0202 38 160 2 H3C ipsecproposaltran1 H3C ipsec proposal tran1 encapsulation modetunnel H3C ipsec proposal tran1 transformesp H3C ipsec proposal tran1 espencryption algorithmdes H3C ipsec proposal tran1 espauthentication algorithmsha1 H3C ipsec proposal tran1 quit H3C ikepeerpeer H3C ike peer peer pre share keyabcde H3C ike peer peer remote address202 38 160 2 H3C ipsecpolicymap110isakmp H3C ipsec policy isakmp map1 10 proposaltran1 H3C ipsec policy isakmp map1 10 securityacl101 H3C ipsec policy isakmp map1 10 ike peerpeer H3C ipsec policy isakmp map1 10 quit H3C interfaceserial0 0 H3C Serial0 0 ipaddress202 38 160 1255 255 255 0 H3C Serial0 0 ipsecpolicymap1 H3C interfaceethernet0 0 H3C Ethernet0 0 ipaddress10 1 1 1255 255 255 0 RTA的配置 RTB的配置与RTA对称 IPSec的显示与调试 未完 显示安全联盟的相关信息displayipsecsa brief remoteip address policypolicy name seq number duration 显示IPSec处理报文的统计信息displayipsecstatistics显示安全提议的信息displayipsecproposal proposal name 显示安全策略的信息displayipsecpolicy brief namepolicy name seq number 打开IPSec的调试功能debuggingipsec sa packet policypolicy name seq number parametersip addressprotocolspi number misc IPSec的显示与调试 清除IPSec的报文统计信息resetipsecstatistics删除安全联盟resetipsecsa remoteip address policypolicy name seq number parametersdest addressprotocolspi IKE的显示与调试 显示当前已建立的安全通道displayikesa显示每个IKE提议配置的参数displayikeproposal删除安全隧道resetikesa connection id 打开IKE的调试信息debuggingike error exchange message misc transport IPSec故障诊断与排错 非法用户身份信息检查协商两端接口上配置的安全策略中的ACL内容是否相容 建议用户将两端的ACL配置成互为镜像的 提议不匹配对于阶段1 检查IKEproposal是否有与对方匹配的 对于阶段2协商 检查双方接口上应用的IPsec安全策略的参数是否匹配 引用的IPsec安全提议的协议 加密算法和验证算法是否有匹配的 无法建立安全通道使用resetikesa命令清除错误存在的SA 重新发起协商 IPSec特点 优点保证机密性保证数据完整性可以进行数据源验证具有一定的抗攻击能力缺点复杂的协议体系 不利用布署和维护高强度的运算 消耗大量资源增加了数据传输的延迟 不利于实时性要求强的应用 如语音和视频等仅能对点对点的数据进行保护 不支持组播 VPN概述GREVPNL2TPIPSecVPNVPN设计规划 目录 VPN设计规划 VPN设计的考虑因素GREVPN设计L2TPVPN设计IPSecVPN设计 VPN设计的安全性原则 隧道与加密数据验证用户识别与设备验证入侵检测 网络接入控制 隧道与加密 应用和业务服务器 总部网络中心 分支机构 合作伙伴 secpoint AAA服务器 出差员工 IPSEC L2TP IPSEC GRE L2TP隧道协议最适合移动用户的VPN接入GRE隧道协议最适合站点到站点的VPN接入 支持动态路由协议IPSEC提供数据加密和数据完整性 数据验证 IPSEC协议提供特定的通信双方之间在IP层通过加密与数据源验证 以保证数据包在Internet网上传输时的私有性 完整性和真实性