SANGFOR-IPSEC-V4.3-2012年度培训06-标准IPSEC-VPN-互联配置-20120602

SANGFOR标准IPSECVPN互联配置培训内容培训目标标准IPSECVPN功能介绍1.了解标准IPSECVPN的应用背景标准IPSECVPN建立过程

了解标准IPSECVPN建立连接的过程SANGFOR设备标准IPSECVPN互联配置案例1.掌握和第三方设备进行标准IPSECVPN互联时，SANGFOR设备的配置标准IPSECVPN功能介绍标准IPSECVPN建立过程SANGFOR标准IPSECVPN典型应用案例及配置SANGFORIPSEC练练手标准IPSECVPN功能介绍IPSec是一种开放标准的框架结构，特定的通信方之间在IP层通过加密和数据摘要(hash)等手段，来保证数据包在Internet网上传输时的私密性(confidentiality)

、完整性(dataintegrity)和真实性(originauthentication)。标准IPSECVPN功能介绍通过加密保证数据的私密性私密性：防止信息泄漏给未经授权的个人通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性Internet4ehIDx67NMop9eRU78IOPotVBn45TR土豆批发价两块钱一斤实在是看不懂加密4ehIDx67NMop9eRU78IOPotVBn45TR解密土豆批发价两块钱一斤标准IPSECVPN功能介绍

对数据进行hash运算来保证完整性完整性：数据没有被非法篡改，通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性。土豆两块钱一斤Hash4ehIDx67NMop9土豆两块钱一斤4ehIDx67NMop9土豆三块钱一斤4ehIDx67NMop9我偷改数据Hash2fwex67N32rfee3两者不一致代表数据已被篡改标准IPSECVPN功能介绍

对数据和密钥一起进行hash运算攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。通过把数据和密钥一起进行hash运算，可以有效抵御上述攻击。土豆两块钱一斤Hashfefe23fgrNMop7土豆两块钱一斤fefe23fgrNMop7土豆三块钱一斤2fwex67N32rfee3我同时改数据和摘要两者还是不一致Hashfergergr23frewfgh标准IPSECVPN功能介绍通过身份认证保证数据的真实性真实性：数据确实是由特定的对端发出。通过身份认证可以保证数据的真实性。常用的身份认证方式包括：Pre-sharedkey，预共享密钥RSASignature，数字签名标准IPSECVPN建立过程标准IPSECVPN建立的过程需要保护的流量流经路由器，触发路由器启动相关的协商过程。启动IKE(Internetkeyexchange)阶段1，对通信双方进行身份认证，并在两端之间建立一条平安的通道。启动IKE阶段2，在上述平安通道上协商IPSec参数。按协商好的IPSec参数对数据流进行加密、hash等保护。HostAHostBRouterARouterB标准IPSECVPN建立过程HostAHostBRouterARouterBIKE阶段1协商建立IKE平安通道所使用的参数交换预共享密钥双方身份认证建立IKE平安通道协商建立IKE平安通道所使用的参数交换预共享密钥双方身份认证建立IKE平安通道标准IPSECVPN建立过程IKE阶段1协商建立IKE平安通道所使用的参数，包括：加密算法Hash算法DH算法身份认证方法存活时间标准IPSECVPN建立过程HostAHostBRouterARouterBIKE阶段2协商IPSec平安参数建立IPSecSA协商IPSec平安参数建立IPSecSA标准IPSECVPN建立过程IKE阶段2双方协商IPSec平安参数，称为变换集transformset，包括：加密算法Hash算法平安协议封装模式存活时间DH算法Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetime标准IPSECVPN建立过程IPSecSA(平安关联，SecurityAssociation)：到达lifetime以后，原有的IPSecSA就会被删除如果正在传输数据，系统会在原SA超时之前自动协商建立新的SA，从而保证数据的传输不会因此而中断。SANGFOR标准IPSEC典型应用案例及配置SANGFOR标准IPSEC典型应用案例及配置INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24220.10.10.10/30110.120.10.10/30192.168.20.0/24SANGFOR标准IPSEC典型应用案例及配置环境：一客户购置一台M5100-Q设备部署在深圳，公网地址为：，在北京有一台思科的路由器，公网地址为：。需求：客户希望通过SANGFOR设备的IPSECVPN和思科路由器的VPN互联，实现、与网段互访。SANGFOR标准IPSEC典型应用案例及配置配置思路：1.确定配置标准IPSEC的前提条件A:确保SANGFOR设备序列号里有分支授权，B:两端设备能正常上网，并且至少保证有一端有固定公网IP2.配置第一阶段，确定传输模式，对通信双方进行身份认证，并在两端建立一条平安通道。〔采用主模式或者野蛮模式〕3.配置平安选项，包括协议，认证算法，加密算法4.配置第二阶段，在上述平安通道上协商IPSEC参数，设置出入站策略。注：当两端有一端是拔号的情况下只能采用野蛮模式SANGFOR标准IPSEC典型应用案例及配置Cisco路由器配置命令如下：〔Cisco某些版本可能配置命令不一样，但过程一样〕Conft//进入特权模式配置cryptoisakmpkeysangforaddress//创立预共享密钥以及对端地址cryptoisakmppolicy100//创立isakmp策略〔第一阶段策略〕hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置认证方式〔预共享密钥〕exit//退出isakmp策略配置access-list100permitipaccess-list100permitip//创立ACL，类似我们的出入站策略，允许本端网段访问对端网段主模式互联〔双方都有固定公网IP〕SANGFOR标准IPSEC典型应用案例及配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//创立变换集及策略modetunnel//配置传输模式〔隧道模式〕SANGFOR只支持隧道模式exit//退出变换集cryptomapsangfor100ipsec-isakmp//创立IPsec策略〔第二阶段〕setpeer220.10.10.10//配置对端地址settransform-setsangforvpn//绑定变换集到映射图setpfsgroup2//配置密钥完美向前保护〔请注意跟第一阶段DH群一样〕matchaddress100//配置映射图匹配的ACL策略exit//退出配置映射图interfacee0/0//进入Cisco外网口cryptomapsangfor//将映射图绑定到接口exit//退出接口配置SANGFOR标准IPSEC典型应用案例及配置主模式互联〔双方都有固定IP〕SANGFOR设备配置：1.设置第一阶段，双方身份认证，设置参数和CISCO保持一致。选择为主模式配置对端的固定公网IP设置IKE参数，与对端设备保持一致SANGFOR标准IPSEC典型应用案例及配置2.按协商好的IPSec参数对数据流进行加密、hash等保护，保持和CISCO配置一致。选择协议，认证算法和加密算法，与对端设备一致。SANGFOR标准IPSEC典型应用案例及配置3.第二阶段，在上述平安通道上协商IPSec参数，设备出入站策略，出站策略为，，入站策略为。配置入站策略，源地址为对端的内网地址出站策略中，源地址为本地内网IP以上步骤完成，即完成了本例所有配置，实现SANGFOR与CISCO建立IPSECVPN连接勾选启用策略和启用密钥完美向前保密SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联〔SANGFOR设备拨号，CISCO为固定IP〕，拓朴如下：INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24ADSL110.120.10.10/30192.168.20.0/24SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联〔SANGFOR设备拨号，CISCO为固定IP〕Cisco路由器的配置命令如下：Conft//进入特权模式配置hostnamecisco//创立路由器名字，该名字就是它的野蛮模式身份IDcryptoisakmpkeysangforhostnamesangfor//创立预共享密钥，以及对端野蛮模式身份IDcryptoisakmpidentityhostname//用hostname再次校验身份cryptoisakmppolicy100//创立isakmp策略〔第一阶段策略〕hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置认证方式〔预共享密钥〕exit//退出isakmp策略配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//创立变换集及策略modetunnel//配置传输模式〔隧道模式〕SANGFOR只支持隧道模式exit//退出变换集配置SANGFOR标准IPSEC典型应用案例及配置access-list100permitipaccess-list100permitip//创立ACL，类似我们的出入站策略，允许本端网段访问对端网段cryptodynamic-mapsangfor100//创立动态映射图settransform-setsangforvpn//绑定变换集到映射图setpfsgroup2//配置完美密钥向前保护〔跟第一阶段一致〕matchaddress100//匹配ACL策略exit//退出映射图配置cryptomapsangfor100ipsec-isakmpdynamicsangfor//创立IPsec策略〔第二阶段〕inte0/0//进入Cisco外网口cryptomapsangfor//将映射图绑定到接口exit//退出接口配置SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联〔SANGFOR设备拨号，CISCO为固定IP〕SANGFOR设备配置：1.设置第一阶段，双方身份认证，设置参数和CISCO保持一致。选择野蛮模式远程IP为对端的公网IPIKE参数与对端保持一致野蛮模式时，需要填写我方身份ID与对端的ID，注意对端ID后要加.SANGFOR标准IPSEC典型应用案例及配置2.按协商好的IPSec参数对数据流进行加密、hash等保护，保持和CISCO配置一致。在平安选项中选择协议，认证算法和加密码算法，与对端设备一致SANGFOR标准IPSEC典型应用案例及配置3.第二阶段，在上述平安通道上协商IPSec参数，设置出入站策略，出站策略为，，入站策略为。设置出入站策略SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联〔SANGFOR设备固定IP，CISCO为拨号〕，拓朴如下：INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24220.10.10.10/30ADSL192.168.20.0/24SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联〔SANGFOR设备固定IP，CISCO为拨号〕conft//进入特权模式配置cryptoisakmppolicy100//创立isakmp策略〔第一阶段〕hashmd5//hash算法encry3des//加密算法group2//DH群authpre-share//身份认证方式exit//退出isakmp策略配置cryptoisakmppeeraddress201.1.1.2//创立isakmp对端地址setaggressive-modepasswordsangfor//创立预共享密钥setaggressive-modeclient-endpointfqdncisco//创立本端野蛮模式IDexit//退出cryptoipsectransform-setsangforesp-3desesp-md5-hmac//创立变换集及策略modetunnel//配置成隧道模式exit//退出SANGFOR标准IPSEC典型应用案例及配置access-list100permitipaccess-list100permitip//创立ACL，类似我们的出入站策略，允许本端网段访问对端网段cryptomapsangfor100ipsec-isakmp//创立映射图setpeer//配置对端地址setpfsgroup2//配置完美密钥向前保护〔跟第一阶段一致〕settransform-setsangfor//绑定变换集到映射图setsecurity-assoc