資源描述:
《secpath系列防火墻ipsecvpn配置指導(dǎo)》由會員上傳分享����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1、1特性介紹IPsec(IPsecurity)協(xié)議族是IETF制定的一系列協(xié)議��,它為IP數(shù)據(jù)報(bào)提供了高質(zhì)量的���、可互操作的�����、基于密碼學(xué)的安全性��。特定的通信方Z間在IP層通過加密與數(shù)據(jù)源驗(yàn)證等方式��,來保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性�、完整性、真實(shí)性和防重放���。TPsec作為一種重要的安全技術(shù)得到越來越廣泛的應(yīng)用����,但是客戶網(wǎng)絡(luò)邊緣大量使用的NAT地址轉(zhuǎn)換操作可能影響到IPsec的正常操作�。目前,NAT和IPsecZ間存在的不兼容性問題主要可以分為以下三類:?IP地址和端口不匹配的問題?IPsec不能驗(yàn)證NAT報(bào)文的問題?NA
2、T超時(shí)影響IPsec的問題針對此問題��,我司在IKE野蠻模式的基礎(chǔ)上實(shí)現(xiàn)NAT穿越���,很好地解決了此問題����。為了使TKE支持目前廣泛應(yīng)用的通過ADSL及撥號方式構(gòu)建VPN的方案中的特殊情況一一即局端設(shè)備的IP地址為固定分配的��,用戶端設(shè)備的IP地址為動(dòng)態(tài)獲取的情況�,在IKE階段的協(xié)商模式屮增加了IKE野蠻模式���,它可以選擇根據(jù)協(xié)商發(fā)起端的IP地址或者ID來查找對應(yīng)的身份驗(yàn)證字�����,并最終完成協(xié)商����。IKE野蠻模式相對于主模式來說更加靈活,能夠支持協(xié)商發(fā)起端為動(dòng)態(tài)IP地址的情況�����。在IPsec/lKE組建的VPN隧道屮����,若存在NAT網(wǎng)
3、關(guān)設(shè)備�����,且NAT網(wǎng)關(guān)設(shè)備對VPN業(yè)務(wù)數(shù)據(jù)流進(jìn)行了NAT轉(zhuǎn)換的話��,則必須配置IPsec/IKE的NAT穿越功能���。該功能刪去了IKE協(xié)商過程中對UDP端口號的驗(yàn)證過程�����,同吋實(shí)現(xiàn)了對VPN隧道中MT網(wǎng)關(guān)設(shè)備的發(fā)現(xiàn)功能��,即如果發(fā)現(xiàn)NAT網(wǎng)關(guān)設(shè)備���,則將在之后的TPsec數(shù)據(jù)傳輸中使用UDP封裝(即將IPsec報(bào)文封裝到IKE協(xié)商所使用的UDP連接隧道里)的方法���,避免了NAT網(wǎng)關(guān)對IPsec報(bào)文進(jìn)行篡改(NAT網(wǎng)關(guān)設(shè)備將只能夠修改最外層的1P和UDP報(bào)文頭,對UDP報(bào)文封裝的IPsec報(bào)文將不作修改),從而保證了IPsec報(bào)文
4����、的完整性(IPsec數(shù)據(jù)加密解密驗(yàn)證過程屮要求報(bào)文原封不動(dòng)地被傳送到接收端)。目前僅在IKE野蠻模式下支持NAT穿越���,主模式下不支持���。2特性的優(yōu)點(diǎn)該特性適合IPsec隧道中間存在NAT設(shè)備的組網(wǎng)情況��。同時(shí)���,由于使用了IKE野蠻模式��,同樣也適用于IP地址不固定的遠(yuǎn)程訪問用戶與總部Z間建立IPsec隧道的情況。3使用指南3.1使用場合1)IPsec隧道中間存在NAT設(shè)備的組網(wǎng)情況2)適用于IP地址不固定的遠(yuǎn)程訪問用戶與總部之間建立IPsec隧道的情況����。3.2配置步驟1!配置野蠻模式下IPsec穿越NAT,需要以下步驟:
5����、?配置訪問控制列表?配置IKE對等體?定義安全提議?創(chuàng)建安全策略?在接口上應(yīng)用安全策略1.配置訪問控制列表IPsec使用高級訪問控制列表來判斷哪些報(bào)文需要受到保護(hù)����,哪些則不需要,用于IPsec的擴(kuò)展訪問控制列表可稱為加密訪問控制列表。在木地和遠(yuǎn)端安全網(wǎng)關(guān)上定義的加密訪問控制列表應(yīng)該是相對應(yīng)的(即互為鏡像)���,這樣在某一端加密的數(shù)據(jù)才能在對端上被解密��。否則,會造成一端不能解密另一端發(fā)來的數(shù)據(jù)��。步驟操作說明操作命令1在系統(tǒng)視圖卞���,創(chuàng)建一個(gè)高級訪問控制列表[H3C]aclnumberacl-number[match-ord
6����、er{configauto}]2在高級訪問控制列表視圖下���,配置ACL規(guī)則[H3C-acl-adv~3000]rule[rule-id]{permitdeny}protocoJ[source{sour-addrsour-wildcardany}][destination{dest~addrdest-wildcardany}][source-portoperatorportl[port2]][destination一portoperatorportJ[port2]][icrap-type{icmp-typcicmp-c
7����、odeicmp-message}][precedenceprecedence][dscpdscp][established][tostos][time-rangetime-name][logging][fragment]1.配置IKE對等體在實(shí)施IPsec的過程中,可以使用Internet密鑰交換IKE(InternetKeyExchange)協(xié)議來建立安全聯(lián)盟�����,該協(xié)議建立在由Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP(InternetSecurityAssociationandKeyManagementP
8、rotocol)定義的框架上���。IKE為IPsec提供了自動(dòng)協(xié)商交換密鑰��、建立安全聯(lián)盟的服務(wù)���,能夠簡化TPsec的使用和管理�����。步驟操作說明操作命令1配置一個(gè)IKE對等體并進(jìn)入ikepeer視圖ikepeerpeer-name2配置TKE階段的協(xié)商模式exchange-mode{aggressivemain}3配置1KE階段協(xié)商所使用的身份驗(yàn)證字pre-shar
