華為VPN技術二:IpSec
手工配置
配置步驟:
1、配置安全策略
①配置引流路由
ip route-static 0.0.0.0 0.0.0.0 202.138.163.2 ###配置明細路由即可
②配置保護的數據流
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
####配置保護的數據流有三種方式:1、ACL;2、虛擬隧道接口;3、Efficient VPN策略。多采用ACL方式。
③配置安全提議
多采用ESP協議
ipsec proposal tran1
esp authentication-algorithm sha2-256 ###
esp encryption-algorithm aes-256 ###設置ESP協議采用的加密算法
###數據的封裝模式默認為隧道模式
④配置安全策略
ipsec policy map1 10 manual
security acl 3000 ###調用保護的數據流
proposal tran1 ###調用安全提議
tunnel local 202.138.163.1 ###
tunnel remote 202.138.162.1
sa spi inbound esp 54321 ###配置出/入方向SA的SPI值
sa string-key inbound esp cipher huawei ### 配置ESP協議的認證密鑰(以字符串方式輸入)
sa spi outbound esp 12345
sa string-key outbound esp cipher huawei
2、引用安全策略
interface GigabitEthernet0/0/0
ip address 202.138.163.1 255.255.255.0
ipsec policy map1
###在與公網互聯的接口下調用安全策略
原理解析:
數據的封裝模式
隧道模式:
在連接互聯網的路由器上配置IPSEC。如拓撲中在R1和R3上配置。
在隧道模式下,AH報頭或ESP報頭插在原始IP頭之前,另外生成一個新IP頭(新IP頭為對等體的IP地址)放到AH報頭或ESP報頭之前。
傳輸模式:
在兩端的終端上配置,C/S架構。如拓撲中在PC1和PC2上配置。
在傳輸模式下,AH報頭或ESP報頭被插入到IP頭之後但在傳輸層協議之前。傳輸模式保護原始數據包的有效負載。
隧道模式和傳輸模式對比:
從安全性來講,隧道模式優於傳輸模式。它可以完全地對原始IP數據包進行認證和加密,並且可以使用對等體的IP地址來隱藏客戶機的IP地址。
從性能來講,因為隧道模式有一個額外的IP頭,所以它將比傳輸模式占用更多帶寬。
安全協議
AH與ESP的不同:
認證頭協議AH:提供數據來源認證、數據完整性校驗和報文抗重放功能。AH的工作原理是在每一個數據包的標準IP報頭後面添加一個AH報頭(AH Header)。
封裝安全載荷協議ESP:除提供AH的功能之外,還提供對有效載荷的加密功能。ESP協議允許對報文同時進行加密和認證,或只加密,或只認證。ESP的工作原理是在每一個數據包的標準IP報頭後面添加一個ESP報頭(ESP Header),並在數據包後面追加一個ESP尾(ESP Tail和ESP Auth data)。
查看命令:
display ipsec sa ### 查看IPSec SA的相關信息
display ipsec policy ### 查看安全策略的信息
display ipsec statistics { ah | esp } ### 查看IPSec處理報文的統計信息
display ike statistics { all | msg | v1 | v2 } ### 查看IKE處理報文的統計信息
IKE 配置
配置過程:
1、配置安全策略
①配置引流路由
ip route-static 10.1.2.0 255.255.255.0 202.138.163.2
ip route-static 202.138.162.0 255.255.255.0 202.138.163.2
②配置保護的數據流
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
③配置IPSec安全提議
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
④配置IKE
配置IKE安全提議
ike proposal 5 ###配置安全提議
encryption-algorithm aes-cbc-128 ###配置IKE安全提議使用的加密算法
authentication-algorithm md5 ###配置IKE安全提議使用的認證算法
配置IKE peer
ike peer spub v1
pre-shared-key cipher huawei ###配置認證字
ike-proposal 5 ###引用安全提議
remote-address 202.138.162.1 ###配置IKE協商時的對端IP地址或域名
⑤配置安全策略
ipsec policy map1 10 isakmp
security acl 3000
ike-peer spub
proposal tran1
2、調用安全策略
interface GigabitEthernet0/0/0
ip address 202.138.163.1 255.255.255.0
ipsec policy map1
采用策略模板方式配置IPSEC
拓撲:
實驗環境:
兩個分公司和總部通過IPSEC互聯,總部的互聯網地址固定為60.1.3.1。分公司的互聯網地址不固定的,可能隨時更換。在這種情況下對於總公司可用策略模板來配置IPSEC,分公司用ISAKMP來配置。策略模板中僅需配置IKE對等體和預共享密鑰即可,不需制定對端IP地址。
配置步驟:
1、配置網關接口IP地址,並配置分支機構公網、私網與總部公網、私網互訪的靜態路由。
2、配置ACL。由於總部采用策略模板的方式建立IPSEC,可不配置ACL。
3、配置IPSEC安全提議
4、配置IKE對等體
5、在R1和R2上通過ISAKMP建立安全策略,在R3上通過策略模板方式建立安全策略。
R1、R2:
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer rut1
proposal pro1
R3:
ipsec policy-template user1 10 ###配置策略模板
ike-peer rut1
proposal pro1
#
ipsec policy policy1 10 isakmp template user1 ###配置安全策略調用策略模板
6、在公網接口上調用安全策略。
采用安全策略組方式與分支建立多條IPSEC
拓撲:
配置步驟:
1、配置接口的IP地址和到對端的靜態路由,保證兩端路由可達。
2、配置ACL,以定義需要IPSec保護的數據流。
3、配置IPSec安全提議,定義IPSec的保護方法。
4、配置IKE對等體,定義對等體間IKE協商時的屬性。
R3: #####配置兩個分公司的IKE對等體
ike peer tran1 v2
pre-shared-key cipher huawei
ike-proposal 5
remote-address 60.1.1.1
ike peer user1 v2
pre-shared-key cipher huawei
ike-proposal 5
remote-address 60.1.2.1
5、分別在RouterA和RouterB上創建安全策略,確定對何種數據流采取何種保護方法。在RouterC上創建安全策略組,分別確定對RouterA與RouterC、RouterB與RouterC之間的數據流采取何種保護方法。
R3: ######配置兩個分公司的IPSEC安全策略
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer tran1
proposal pro1
ipsec policy policy1 20 isakmp
security acl 3001
ike-peer user1
proposal pro1
6、在接口上應用安全策略組,使接口具有IPSec的保護功能。
采用多鏈路共享功能與總部建立IPSEC
拓撲:
R2上需要有1.1.1.1的路由,不然R3無法ping通1.1.1.1
配置步驟:
1、配置接口的IP地址和到對端的靜態路由,保證兩端路由可達。
R1: #####通過優先級來控制主備鏈路
ip route-static 10.1.2.0 255.255.255.0 70.1.1.2 preference 10
ip route-static 10.1.2.0 255.255.255.0 80.1.1.2 preference 20
ip route-static 60.1.1.0 255.255.255.0 70.1.1.2 preference 10
ip route-static 60.1.1.0 255.255.255.0 80.1.1.2 preference 20
R3: #####需在R3上配置1.1.1.1的靜態路由
ip route-static 1.1.1.0 255.255.255.0 60.1.1.2
ip route-static 10.1.1.0 255.255.255.0 60.1.1.2
ip route-static 70.1.1.0 255.255.255.0 60.1.1.2
ip route-static 80.1.1.0 255.255.255.0 60.1.1.2
2、配置ACL,以定義需要IPSec保護的數據流。
3、配置IPSec安全提議,定義IPSec的保護方法。
4、配置IKE對等體,定義對等體間IKE協商時的屬性。
R1: #####R1的IKE對等體地址為R3的互聯網接口地址
ike peer rut1 v1
pre-shared-key cipher huawei
ike-proposal 5
remote-address 60.1.1.1
R3: #####R3的IKE對等體地址為R1的loopback口地址
ike peer rut1 v1
pre-shared-key cipher huawei
ike-proposal 5
remote-address 1.1.1.1
5、配置安全策略,並引用ACL和IPSec安全提議,確定對何種數據流采取何種保護方法。
6、在接口上應用安全策略組,使接口具有IPSec的保護功能。其中RouterA上的安全策略組在應用前需要設置為多鏈路共享,用於在多個接口上應用。
建立NAT穿越功能的IPSEC
拓撲:
在IPSEC的環境下要使能NAT穿越功能,即能保證NAT的轉換,也能保證IPSEC的加密。僅在以下兩種情況中可以實現:
1、IPSEC:僅在安全協議為ESP的時候能夠實現NAT穿越。
解析:因為AH協議會對整個封裝後的IP報文(包括IP報頭)進行認證保護,如果AH報文經過NAT網關,則報頭部分的IP地址肯定會發生變化,這時傳輸到達IPSEC隧道對端時,肯定不能通過AH認證,所以IPSEC采用AH作為安全協議時是不支持NAT的。
但是ESP與AH協議不同,它無論是對IP報文進行認證保護,還是進行加密保護都不會包括最外層的IP報頭,所以在ESP報文經過NAT網關時IP報頭部分發生IP地址改變不會導致在對端進行ESP認證、數據解密時失敗,所以理論上來說采用ESP作為安全協議時是支持NAT的。
2、IKE:IKEv1的協商模式為野蠻模式時,支持NAT。
配置IKE動態協商方式,建立IKE SA也是為了建立IPSEC SA。在IPSEC中配置ESP協議後,自然能夠支持NAT,最外層包裝為IPSEC的加密和認證。
配置PPPOE撥號分支與總部建立IPSEC
拓撲:
具體配置示例查看文檔。
虛擬隧道接口建立IPSec隧道
拓撲:
配置步驟
1、配置接口的IP地址和到對端的靜態路由,保證兩端路由可達。
R1\R3:
ip route-static 202.138.162.0 255.255.255.0 202.138.163.2
2、配置IPSec安全提議,定義IPSec的保護方法。
R1\R3:
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
3、配置IKE對等體,定義對等體間IKE協商時的屬性。
R1\R3:
ike peer spub v2
pre-shared-key cipher huawei
ike-proposal 5
4、配置安全框架,並引用安全提議和IKE對等體,確定對何種數據流采取何種保護方法。
R1\R3:
ipsec profile profile1
ike-peer spub
proposal pro1 #####IPSEC安全提議的封裝模式只能是隧道模式
5、在Tunnel接口上應用安全框架,使接口具有IPSec的保護功能。
R1\R3: #####一個Tunnel接口只能建立一個IPSEC隧道,一個IPSEC Tunnel接口也只能應用一個安全框架
interface Tunnel0/0/0
ip address 192.168.1.1 255.255.255.0
tunnel-protocol ipsec
source 202.138.162.1
destination 202.138.163.1
ipsec profile profile1
6、配置Tunnel接口的轉發路由,將需要IPSec保護的數據流引到Tunnel接口
R1\R3: ####引流,在虛擬隧道接口方式中沒有ACL,安全框架不支持ACL。
ip route-static 10.1.2.0 255.255.255.0 Tunnel0/0/0
原理解析:
安全框架:
一個安全框架相當於一個安全策略,與安全策略不同的是,安全框架由名稱唯一確定,且只能通過IKE協商方式配置,不支持配置ACL,只可應用於Tunnel接口。安全框架定義了對數據流的保護方法,如使用的IPSec安全提議、用於自動協商SA所需要的IKE協商參數、SA的生存周期以及PFS特性。在IPSec虛擬隧道接口下應用安全框架後只會生成一條IPSec隧道,並對所有路由到該隧道接口的數據流進行IPSec保護,簡化了安全策略管理的復雜度。 為保證IKE協商成功,安全框架中所有配置的參數必須在本端和對端相匹配。
虛擬隧道接口:
虛擬隧道接口(即Tunnel接口)是一種三層邏輯接口,針對協議類型為GRE、mGRE或IPSec的邏輯接口,設備可提供IPSec保護功能。它建立在IKE協商的基礎上。通過配置虛擬隧道接口,並在虛擬隧道接口視圖下應用安全框架使得IPSec隧道建立。
虛擬隧道模板接口 建立IPSec隧道
拓撲:
配置信息:
具體配置信息查看華為AR文檔,虛擬隧道模板接口建立IPSEC部分。
配置過程:
1、配置接口的IP地址和到對端的靜態路由,保證兩端公網路由可達。
2、配置ACL,定義本端需要IPSec保護的子網信息。
3、配置AAA業務方案,定義本端需要IPSec推送的子網信息和接口地址。
4、配置IPSec安全提議,定義IPSec的保護方法。
5、配置IKE對等體,定義對等體間IKE協商時的屬性。
6、配置安全框架,並引用安全提議和IKE對等體,確定對哪些數據流采取哪種保護方法。
7、總部在Tunnel-Template接口上應用安全框架,分支在Tunnel接口上應用安全框架,使接口具有IPSec的保護功能。
原理解析:
配置了虛擬隧道模板接口後本端就不能發起IKE協商,只能作為協商響應方接受對端的協商請求,一般用於總部網關配置。
主要原因在Tunnel口下配置destination,在配置虛擬隧道模板的時候無法配置目的地址,所以不能發起IKE協商,只能作為協商響應方。
destination dest-ip-address:
當IPSEC虛擬Tunnel接口的目的IP地址未配置的時候,本端不能作為發起方主動發起IKE協商,只能被動接受對端發起的協商。
如果Tunnel接口的封裝模式設置為IPSEC方式,則只需要一端配置目的的IP地址即可;如果Tunnel接口的封裝模式設置為GRE方式,則兩端都需要配置目的IP地址。
華為VPN技術二:IpSec