C00400030 IPSec配置和应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置ESP协议的加密密钥(以16进制方式输入) [Router-ipsec-policy-manual-map1-10] sa encryption-hex { inbound | outbound } esp hex-key
www.h3c.com
15
IKE协商安全提议
RTA
交换安全提议 并协商参数
目录
配置前准备 配置IPSec隧道 配置IKE IPSec隧道配置示例 IPSec与传统VPN技术结合
IPSec配置前准备
What —— 确定需要保护的数据
Where —— 确定使用安全保护的路径
Which —— 确定使用哪种安全保护
How —— 确定安全保护的强度
www.h3c.com
[Router] display ipsec statistics
www.h3c.com
20
display ipsec sa命令显示示例
<Sysname> display ipsec sa Interface: Ethernet0/0 path MTU: 1500 IPsec policy name: "r2" sequence number: 1 mode: isakmp connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 2.2.2.2 remote address: 1.1.1.2 Flow: sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP [inbound ESP SAs] spi: 3564837569 (0xd47b1ac1) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436380/2686 max received sequence-number: 5 anti-replay check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 801701189 (0x2fc8fd45) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436380/2686 max sent sequence-number: 6 udp encapsulation used for nat traversal: N www.h3c.com
[Router-ipsec-policy-manual-map1-10] ike-peer peer-name
[Router-ipsec-policy-manual-map1-10] pfs { dh-group1 | dhgroup2 | dh-group5 | dh-group14 }
[Router-ipsec-policy-manual-map1-10] sa duration { timebased seconds | traffic-based kilobytes }
配置协议的验证密钥(以字符串方式输入) [Router-ipsec-policy-manual-map1-10] sa string-key { inbound | outbound } { ah | esp } string-key 配置ESP协议的加密密钥(以字符串方式输入)
[Router-ipsec-policy-manual-map1-10] sa string-key { inbound | outbound } esp string-key
IPSec配置和应用
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
引入
本章讲解在路由器上配置和应用IPSec VPN的方法 及信息显示和调试命令,并给出了相关的配置示例。
E*(^^Jo34,ewlklsk!#%GJ*(de!-3dlK; GRE和L2TP 不能提供足够的安全性,因此在需要提
4
目录
配置前准备 配置IPSec隧道 配置IKE IPSec隧道配置示例 IPSec与传统VPN技术结合
IPSec的配置任务
配置安全ACL 配置安全提议
创建安全提议
选择安全协议 选择安全算法 选择工作模式
配置安全策略
手工配置参数的安全策略 通过IKE协商参数的安全策略
[Router-ipsec-proposal-tran1] esp authentication-algorithm { md5 | sha1 }
配置AH协议采用的验证算法
[Router-ipsec-proposal-tran1] ah authentication-algorithm { md5 | sha1 }
www.h3c.com
14
配置手工配置参数的安全策略(续)
配置SA使用的密钥
配置协议的验证密钥(以16进制方式输入)
[Router-ipsec-policy-manual-map1-10] sa authentication-hex { inbound | outbound } { ah | esp } hex-key
在接口上应用安全策略
6
www.h3c.com
配置安全ACL
IPSec通信双方安全ACL的源和目的须 对称
本端:
acl number 3101 rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2 0.0.0.7
对端:
acl number 3204 rule 1 permit ip source 173.2.2.2 0.0.0.7 destination 173.1.1.1 0.0.0.0
www.h3c.com源自文库
9
安全策略的两种类型
静态——手工配置参数的安全策略
需要用户手工配置密钥、SPI、安全协议和算法
等参数
在隧道模式下还需要手工配置安全隧道两个端点
的IP地址
动态——通过IKE协商参数的安全策略
由IKE自动协商生成密钥、SPI、安全协议和算
法等参数
www.h3c.com
www.h3c.com
IKE协商参数的安全策略流程
数据包 待发送
第一条 安全策略
Y 是否匹配ACL N
成功 用IKE协商 安全参数 失败
提供安全服务 丢弃数据包
第二条 安全策略
成功
是否匹配ACL
N
Y
用IKE协商 安全参数
提供安全服务 丢弃数据包
失败
最后一条 安全策略
成功 是否匹配ACL N 直接明文发送 Y
一个接口只能应用一个安全策略组 IKE协商参数的安全策略可以应用到多个接口上 手工配置参数的安全策略只能应用到一个接口上
www.h3c.com
19
IPSec信息显示命令
显示安全策略的信息 显示安全提议的信息 显示安全联盟的相关信息 显示IPSec处理报文的统计信息
[Router] display ipsec policy [ brief | name policy-name [ seqnumber ] ]
RTB
IP
IPSec proposal a1
安全协议:ESP 验证算法:SHA1 加密算法:DES 模式:Tunnel IPSec proposal a2 安全协议:ESP 验证算法:MD5 加密算法:3DES 模式:Tunnel IPSec proposal b1 安全协议:AH 验证算法:SHA1 模式:Tunnel
[Router] ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
www.h3c.com
18
在接口上应用安全策略
在接口上应用安全策略
IPSec安全策略可以应用到串口、以太网口等物
[Router-Serial1/0] ipsec policy policy-name 理接口上和Tunnel、Virtual Template等逻辑接 口上
配置IPSec隧道的对端地址
[Router-ipsec-policy-manual-map1-10] tunnel remote ipaddress
配置SA的SPI
[Router-ipsec-policy-manual-map1-10] sa spi { inbound | outbound } { ah | esp } spi-number
www.h3c.com
8
配置安全提议(续)
选择安全算法
配置ESP协议采用的加密算法
[Router-ipsec-proposal-tran1] esp encryption-algorithm { 3des | aes [ key-length ] | des }
配置ESP协议采用的验证算法
供完整性和机密性保证时,可以与IPSec结合使用。 本章亦将讲解用IPSec保护GRE和L2TP的方法。
课程目标
学习完本课程,您应该能够:
描述IPSec和IKE的配置要点和任务 配置IPSec和IKE 使用display命令获取IPSec和IKE配置
和运行信息
使用debugging命令了解IPSec和IKE 运行时的重要事件和异常情况 配置IPSec保护GRE和L2TP隧道
匹配
IPSec proposal b3
安全协议:ESP 验证算法:SHA1 加密算法:DES 模式:Tunnel
IPSec proposal b5
IKE为双方协商出互相匹 配的安全提议,使用其参 数保护用户数据
安全协议:ESP 验证算法:MD5 加密算法:AES 模式:Tunnel
16
www.h3c.com
配置IKE协商参数的安全策略
创建一条安全策略,并进入安全策略视图
[Router] ipsec policy policy-name seq-number isakmp
配置安全策略引用的ACL
[Router-ipsec-policy-manual-map1-10] security acl aclnumber
配置安全策略所引用的安全提议
[Router-ipsec-policy-manual-map1-10] proposal proposalname&<1-6>
www.h3c.com
17
配置IKE协商参数的安全策略(续)
在安全策略中引用IKE对等体 配置使用此安全策略发起协商时使用 PFS特性 配置安全策略的SA生存周期 配置全局的SA生存周期
提供安全服务
丢弃数据包
用IKE协商 安全参数
失败
发送受保护 的数据 12
www.h3c.com
配置手工配置参数的安全策略
创建一条安全策略,并进入安全策略视图
[Router] ipsec policy policy-name seq-number manual
配置安全策略引用的ACL
[Router-ipsec-policy-manual-map1-10] security acl aclnumber
10
手工配置参数的安全策略流程
数据包 待发送
第一条 安全策略
Y 是否匹配ACL N
使用手工配置 的安全参数
提供安全服务
第二条 安全策略
是否匹配ACL N
Y
使用手工配置 的安全参数
提供安全服务
最后一条 安全策略
是否匹配ACL N 直接明文发送
Y
使用手工配置 的安全参数
提供安全服务
发送受保护 的数据 11
[Router] display ipsec proposal [ proposal-name ]
[Router] display ipsec sa [ brief | duration | policy policy-name [ seq-number ] | remote ip-address ]
配置安全策略所引用的安全提议
[Router-ipsec-policy-manual-map1-10] proposal proposalname
www.h3c.com
13
配置手工配置参数的安全策略(续)
配置IPSec隧道的本端地址
[Router-ipsec-policy-manual-map1-10] tunnel local ip-address
www.h3c.com
7
配置安全提议
创建安全提议,并进入安全提议视图
[Router] ipsec proposal proposal-name
选择安全协议
[Router-ipsec-proposal-tran1] transform { ah | ah-esp | esp }
选择工作模式
[Router-ipsec-proposal-tran1] encapsulation-mode { transport | tunnel }
www.h3c.com
15
IKE协商安全提议
RTA
交换安全提议 并协商参数
目录
配置前准备 配置IPSec隧道 配置IKE IPSec隧道配置示例 IPSec与传统VPN技术结合
IPSec配置前准备
What —— 确定需要保护的数据
Where —— 确定使用安全保护的路径
Which —— 确定使用哪种安全保护
How —— 确定安全保护的强度
www.h3c.com
[Router] display ipsec statistics
www.h3c.com
20
display ipsec sa命令显示示例
<Sysname> display ipsec sa Interface: Ethernet0/0 path MTU: 1500 IPsec policy name: "r2" sequence number: 1 mode: isakmp connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 2.2.2.2 remote address: 1.1.1.2 Flow: sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP [inbound ESP SAs] spi: 3564837569 (0xd47b1ac1) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436380/2686 max received sequence-number: 5 anti-replay check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 801701189 (0x2fc8fd45) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436380/2686 max sent sequence-number: 6 udp encapsulation used for nat traversal: N www.h3c.com
[Router-ipsec-policy-manual-map1-10] ike-peer peer-name
[Router-ipsec-policy-manual-map1-10] pfs { dh-group1 | dhgroup2 | dh-group5 | dh-group14 }
[Router-ipsec-policy-manual-map1-10] sa duration { timebased seconds | traffic-based kilobytes }
配置协议的验证密钥(以字符串方式输入) [Router-ipsec-policy-manual-map1-10] sa string-key { inbound | outbound } { ah | esp } string-key 配置ESP协议的加密密钥(以字符串方式输入)
[Router-ipsec-policy-manual-map1-10] sa string-key { inbound | outbound } esp string-key
IPSec配置和应用
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
引入
本章讲解在路由器上配置和应用IPSec VPN的方法 及信息显示和调试命令,并给出了相关的配置示例。
E*(^^Jo34,ewlklsk!#%GJ*(de!-3dlK; GRE和L2TP 不能提供足够的安全性,因此在需要提
4
目录
配置前准备 配置IPSec隧道 配置IKE IPSec隧道配置示例 IPSec与传统VPN技术结合
IPSec的配置任务
配置安全ACL 配置安全提议
创建安全提议
选择安全协议 选择安全算法 选择工作模式
配置安全策略
手工配置参数的安全策略 通过IKE协商参数的安全策略
[Router-ipsec-proposal-tran1] esp authentication-algorithm { md5 | sha1 }
配置AH协议采用的验证算法
[Router-ipsec-proposal-tran1] ah authentication-algorithm { md5 | sha1 }
www.h3c.com
14
配置手工配置参数的安全策略(续)
配置SA使用的密钥
配置协议的验证密钥(以16进制方式输入)
[Router-ipsec-policy-manual-map1-10] sa authentication-hex { inbound | outbound } { ah | esp } hex-key
在接口上应用安全策略
6
www.h3c.com
配置安全ACL
IPSec通信双方安全ACL的源和目的须 对称
本端:
acl number 3101 rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2 0.0.0.7
对端:
acl number 3204 rule 1 permit ip source 173.2.2.2 0.0.0.7 destination 173.1.1.1 0.0.0.0
www.h3c.com源自文库
9
安全策略的两种类型
静态——手工配置参数的安全策略
需要用户手工配置密钥、SPI、安全协议和算法
等参数
在隧道模式下还需要手工配置安全隧道两个端点
的IP地址
动态——通过IKE协商参数的安全策略
由IKE自动协商生成密钥、SPI、安全协议和算
法等参数
www.h3c.com
www.h3c.com
IKE协商参数的安全策略流程
数据包 待发送
第一条 安全策略
Y 是否匹配ACL N
成功 用IKE协商 安全参数 失败
提供安全服务 丢弃数据包
第二条 安全策略
成功
是否匹配ACL
N
Y
用IKE协商 安全参数
提供安全服务 丢弃数据包
失败
最后一条 安全策略
成功 是否匹配ACL N 直接明文发送 Y
一个接口只能应用一个安全策略组 IKE协商参数的安全策略可以应用到多个接口上 手工配置参数的安全策略只能应用到一个接口上
www.h3c.com
19
IPSec信息显示命令
显示安全策略的信息 显示安全提议的信息 显示安全联盟的相关信息 显示IPSec处理报文的统计信息
[Router] display ipsec policy [ brief | name policy-name [ seqnumber ] ]
RTB
IP
IPSec proposal a1
安全协议:ESP 验证算法:SHA1 加密算法:DES 模式:Tunnel IPSec proposal a2 安全协议:ESP 验证算法:MD5 加密算法:3DES 模式:Tunnel IPSec proposal b1 安全协议:AH 验证算法:SHA1 模式:Tunnel
[Router] ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
www.h3c.com
18
在接口上应用安全策略
在接口上应用安全策略
IPSec安全策略可以应用到串口、以太网口等物
[Router-Serial1/0] ipsec policy policy-name 理接口上和Tunnel、Virtual Template等逻辑接 口上
配置IPSec隧道的对端地址
[Router-ipsec-policy-manual-map1-10] tunnel remote ipaddress
配置SA的SPI
[Router-ipsec-policy-manual-map1-10] sa spi { inbound | outbound } { ah | esp } spi-number
www.h3c.com
8
配置安全提议(续)
选择安全算法
配置ESP协议采用的加密算法
[Router-ipsec-proposal-tran1] esp encryption-algorithm { 3des | aes [ key-length ] | des }
配置ESP协议采用的验证算法
供完整性和机密性保证时,可以与IPSec结合使用。 本章亦将讲解用IPSec保护GRE和L2TP的方法。
课程目标
学习完本课程,您应该能够:
描述IPSec和IKE的配置要点和任务 配置IPSec和IKE 使用display命令获取IPSec和IKE配置
和运行信息
使用debugging命令了解IPSec和IKE 运行时的重要事件和异常情况 配置IPSec保护GRE和L2TP隧道
匹配
IPSec proposal b3
安全协议:ESP 验证算法:SHA1 加密算法:DES 模式:Tunnel
IPSec proposal b5
IKE为双方协商出互相匹 配的安全提议,使用其参 数保护用户数据
安全协议:ESP 验证算法:MD5 加密算法:AES 模式:Tunnel
16
www.h3c.com
配置IKE协商参数的安全策略
创建一条安全策略,并进入安全策略视图
[Router] ipsec policy policy-name seq-number isakmp
配置安全策略引用的ACL
[Router-ipsec-policy-manual-map1-10] security acl aclnumber
配置安全策略所引用的安全提议
[Router-ipsec-policy-manual-map1-10] proposal proposalname&<1-6>
www.h3c.com
17
配置IKE协商参数的安全策略(续)
在安全策略中引用IKE对等体 配置使用此安全策略发起协商时使用 PFS特性 配置安全策略的SA生存周期 配置全局的SA生存周期
提供安全服务
丢弃数据包
用IKE协商 安全参数
失败
发送受保护 的数据 12
www.h3c.com
配置手工配置参数的安全策略
创建一条安全策略,并进入安全策略视图
[Router] ipsec policy policy-name seq-number manual
配置安全策略引用的ACL
[Router-ipsec-policy-manual-map1-10] security acl aclnumber
10
手工配置参数的安全策略流程
数据包 待发送
第一条 安全策略
Y 是否匹配ACL N
使用手工配置 的安全参数
提供安全服务
第二条 安全策略
是否匹配ACL N
Y
使用手工配置 的安全参数
提供安全服务
最后一条 安全策略
是否匹配ACL N 直接明文发送
Y
使用手工配置 的安全参数
提供安全服务
发送受保护 的数据 11
[Router] display ipsec proposal [ proposal-name ]
[Router] display ipsec sa [ brief | duration | policy policy-name [ seq-number ] | remote ip-address ]
配置安全策略所引用的安全提议
[Router-ipsec-policy-manual-map1-10] proposal proposalname
www.h3c.com
13
配置手工配置参数的安全策略(续)
配置IPSec隧道的本端地址
[Router-ipsec-policy-manual-map1-10] tunnel local ip-address
www.h3c.com
7
配置安全提议
创建安全提议,并进入安全提议视图
[Router] ipsec proposal proposal-name
选择安全协议
[Router-ipsec-proposal-tran1] transform { ah | ah-esp | esp }
选择工作模式
[Router-ipsec-proposal-tran1] encapsulation-mode { transport | tunnel }