H3C SOHO Router IPSec VPN 配置指导 H3C SOHO Router IPSec VPN 配置指导关键词 :IKE IPSec VPN NAT 穿越 DPD Hub & SPOKE 摘要 : 本文是对 SOHO Router 的 IPSec VPN 功能配置进行介绍, 指导

Size: px

Start display at page:

Download "H3C SOHO Router IPSec VPN 配置指导 H3C SOHO Router IPSec VPN 配置指导关键词 :IKE IPSec VPN NAT 穿越 DPD Hub & SPOKE 摘要 : 本文是对 SOHO Router 的 IPSec VPN 功能配置进行介绍, 指导"

和双
5 years ago
Views:

1 关键词 :IKE IPSec VPN NAT 穿越 DPD Hub & SPOKE 摘要 : 本文是对 SOHO Router 的 IPSec VPN 功能配置进行介绍, 指导用户组网配置缩略语 : 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 ISAKMP Internet Security Association and Key Management Protocol 互联网安全联盟和密钥管理协议 IPSec IP Security IP 安全 AH Authentication Header 认证头 ESP Encapsulating Security Payload 封装安全载荷 PFS Perfect Forward Secrecy 完善的前向安全性 DPD Dead Peer Detection 对等体存活检测 NAT network address translation 网络地址转换新华三技术有限公司第 1 页, 共 45 页

2 目录 1 概述简介基本概念安全联盟 IPSec 封装模式验证算法加密算法协商方式 IKE DPD IPSec 配置指导配置思路配置指导一对一 IPSec VPN 典型配置案例组网需求组网图配置步骤 Hub & Spoke VPN 典型配置案例组网需求组网图设置步骤 WINXP 的 IPSec VPN 典型配置案例组网需求组网图配置步骤测试常见问题解答 (FAQ) VPN 隧道数据不通, 如何处理若 VPN 组网中存在 NAT 设备, 双方如何配置双 WAN 手动均衡时的路由问题策略路由的问题碰到问题时的处理方法新华三技术有限公司第 2 页, 共 45 页

3 1 概述 1.1 简介 H3C SOHO 系列路由器是主要定位于中小企业市场政府网吧等环境的网络路由器, 包括 ER3000 系列 ER5000 系列 ICG1000 系列等多个产品型号下文中将使用名称 SOHO Router 来统一指代这些产品本文是 SOHO Router 产品上 IPSec VPN 的配置指导, 涉及到 IKE 和 IPSec 各项参数的配置注意事项以及与对端设备对接时的配置方案, 此配置指导适用于 H3C SOHO 系列路由器本文介绍的 IPSec VPN 特性配置适用于 SOHO Router 多个产品版本, 具体版本包括 :ICG1000 V100R006 ICG1800 V100R004 ER3200 V201R004 ER3100 V201R004 ER5200 V201R003 ER5100 V201R003 ER3260 V201R003 请注意版本号 R 后面的数字, 不小于所列版本号的产品均可以参考此文小于所列版本号的产品属于 IPSec 特性的旧版本, 其配置方式有所不同, 相对比较简单, 此处不再详述 1.2 基本概念 IPSec(IP security) 协议族是 Internet 工程专门小组 IETF 制定的一系列协议, 它为 IP 数据报提供了高质量的可互操作的基于密码学的安全功能特定的通信方之间在 IP 层通过加密与数据源验证等方式, 来保证数据报在网络上传输时的私有性完整性真实性和防重放安全联盟 IPSec 在两个端点之间提供安全通信, 端点被称为 IPSec 对等体 (Peer) IPSec 能够允许系统网络的用户或管理员控制对等体间安全服务的粒度例如, 某个组织的安全策略可能规定来自特定子网的数据流应同时使用 AH 和 ESP 进行保护, 并使用 3DES(Triple Data Encryption Standard, 三重数据加密标准 ) 进行加密 ; 另一方面, 策略可能规定来自另一个站点的数据流只使用 ESP 保护, 并仅使用 DES 加密通过安全联盟 (Security Association, 以下简称 SA), IPSec 能够对不同的数据流提供不同级别的安全保护安全联盟 SA 是 IPSec 的基础, 也是 IPSec 的本质 SA 是通信对等体间对某些要素的约定, 例如 : 使用哪种协议 (AH ESP 还是两者结合使用 ) 协议的操作模式( 传输模式和隧道模式 ) 加密算法(DES 和 3DES) 特定流中保护数据的共享密钥以及 SA 的生存周期等安全联盟是单向的, 在两个对等体之间的双向通信, 最少需要两个安全联盟来分别对两个方向的数据流进行安全保护同时, 如果希望同时使用 AH 和 ESP 来保护对等体间的数据流, 则分别需要两个 SA, 一个用于 AH, 另一个用于 ESP 新华三技术有限公司第 3 页, 共 45 页

4 安全联盟由一个三元组来唯一标识, 这个三元组包括 SPI(Security Parameter Index, 安全参数索引 ) 目的 IP 地址安全协议号 (AH 或 ESP) SPI 是为唯一标识 SA 而生成的一个 32 比特的数值, 它在 AH 和 ESP 头中传输安全联盟具有生存周期生存周期的计算包括两种方式 : 以时间为限制和以流量为限制, SOHO Router 支持以时间为限制 IPSec 封装模式 IPSec 协议有两种报文封装模式 : 传输模式 (transport) 和隧道模式 (tunnel) 在传输模式下,AH 或 ESP 被插入到 IP 报文头之后但在所有传输层协议之前, 或所有其他 IPSec 协议之前在隧道模式下,AH 或 ESP 插在原始 IP 报文头之前, 另外生成一个新的报文头放到 AH 或 ESP 之前从安全性来讲, 隧道模式优于传输模式它可以完全地对原始 IP 数据报进行验证和加密 ; 此外, 可以使用 IPSec 对等体的 IP 地址来隐藏客户机的 IP 地址从性能来讲, 隧道模式比传输模式占用更多带宽, 因为它有一个额外的 IP 头传输模式适用于主机直接访问设备时之间的加密传输 ; 而隧道模式则适用于更普遍的 VPN 应用 SOHO Router 只支持隧道模式, 可适用于企业的 IPSec VPN 组网验证算法 AH 和 ESP 都能够对 IP 报文的完整性进行验证, 以判别报文在传输过程中是否被篡改验证算法 (authentication-algorithm) 的实现主要是通过杂凑函数杂凑函数是一种能够接受任意长的消息输入, 并产生固定长度输出的算法, 该输出称为消息摘要 IPSec 对等体进行摘要计算, 如果两个摘要是相同的, 则表示报文是完整未经篡改的一般来说,IPSec 使用两种验证算法 : MD5:MD5 通过输入任意长度的消息, 产生 128bit 的消息摘要 SHA-1:SHA-1 通过输入长度小于 2 的 64 次方比特的消息, 产生 160bit 的消息摘要 SHA- 1 的摘要长于 MD5, 因而是更安全的加密算法 ESP 能够对 IP 报文内容进行加密保护, 防止报文内容在传输过程中被窥探加密算法 (encryption-algorithm) 实现主要通过对称密钥系统, 它使用相同的密钥对数据进行加密和解密 SOHO Router 实现了三种加密算法 : DES(Data Encryption Standard): 使用 56bit 的密钥对每个 64bit 的明文块进行加密 3DES(Triple DES): 使用三个 56bit 的 DES 密钥 ( 共 168bit 密钥 ) 对明文进行加密 AES(Advanced Encryption Standard):SOHO Router 实现了 128bit 192bit 和 256bit 密钥长度的 AES 算法协商方式有两种协商方式可以建立安全联盟 : 手工方式 (manual) 和 IKE 协商 (ISAKMP) 新华三技术有限公司第 4 页, 共 45 页

5 前者配置比较复杂, 创建安全联盟所需的全部信息都必须手工配置, 而且 IPSec 的一些高级特性 ( 例如定时更新密钥 ) 不被支持, 但优点是可以不依赖 IKE 而单独实现 IPSec 功能 ; 后者则相对比较简单, 只需要配置好 IKE 协商安全策略的信息, 由 IKE 自动协商来创建和维护安全联盟当与之进行通信的对等体设备数量较少时, 或是在小型静态环境中, 手工配置安全联盟是可行的对于中大型的动态网络环境中, 推荐使用 IKE 协商建立安全联盟 IKE DPD IKE DPD(Dead Peer Detection) 是 IPSec/IKE 安全隧道对端状态探测功能 DPD 具有产生数据流量小检测及时隧道恢复快的优点,DPD 功能可以有效地避免对端掉线而出现的加密黑洞, 提高了 IPSec 协议的健壮性该功能符合 RFC3706 定义, 在对接中可以确保互相兼容对 IKE 方式对接的 IPSec VPN 隧道, 建议双方都开启 DPD 功能 DPD 的运行机制中分为发送端和接收端在发送端, 当启动了 DPD 功能以后, 当触发 DPD 向对端发送 DPD 请求时, 本端等待应答报文接收端在收到 DPD 查询请求报文后, 应该立即发送响应报文按照触发 DPD 查询的方式分为按需型 (on-demand) 和周期型 (Period) SOHO Router 上 DPD 功能是按需型的当本端 SOHO Router 收到对方发来的 IPSec 数据报文时, 认为对方工作正常而不会发送 DPD 查询如果在 DPD 周期 (intervaltime) 没有收到对方的 IPSec 数据报文, 则会开始发送 DPD 查询 DPD 查询发送后,DPD 超时时间 (time-out) 定时器开始计时, 本端还是按照发送周期不断发送查询在超过定时器设定的时间结束之前, 如果所有的查询都收不到正确回应则认为对方断线, 删除 ISAKMP SA 和相应的 IPSec SA, 安全隧道同样会被删除当有符合安全策略的报文需要发送时, 会重新触发设备协商建立安全联盟 1.3 IPSec 配置指导配置思路通过 IPSec 在对等体之间 ( 此处是指路由器及其对端 ) 能够对不同的数据流实施不同的安全保护 ( 验证加密或两者同时使用 ) 数据流的区分通过支持路由的 IPSec 虚接口和配置静态路由来进行 ; 安全保护所用到的安全协议验证算法和加密算法协商模式等通过配置 IKE 安全提议来进行 ; 数据流和安全提议的关联 ( 即定义对何种数据流实施何种保护 ) SA 的协商方式对等体 IP 地址的设置 ( 即保护路径的起 / 终点 ) 所需要的密钥和 SA 的生存周期等通过配置安全策略来进行 ; 最后, 通过路由设置将数据导入实施安全策略的 IPSec 虚接口即完成了 IPSec 的配置配置指导 SOHO Router 上的 IPSec 配置请参照下列指导完成 : 新华三技术有限公司第 5 页, 共 45 页

6 1. 配置 IPSec 虚接口 2. 定义 IPSec 安全提议创建安全提议选择安全协议 (AH ESP AH+ESP) 选择安全算法 ( 验证算法和加密算法 ) 3. 创建 IPSec 安全策略 ( 手工创建安全策略或用 IKE 创建安全策略 ) (1) 手工创建安全策略在安全策略中引用 IPSec 安全提议在安全策略中定义访问控制列表配置隧道对端地址和使用的 IPSec 虚接口配置安全联盟的 SPI 配置安全联盟使用的算法密钥 (2) 用 IKE 创建安全策略定义 IKE 安全提议定义 IKE 对等体, 配置对端地址 IKE 协商方式预共享密钥生命周期等参数, 引用 IKE 安全提议在安全策略中引用 IKE 对等体在安全策略中定义访问控制列表配置协商时使用的 PFS 特性配置协商时安全策略使用的生命周期 4. 配置 IPSec 虚接口上的路由 2 一对一 IPSec VPN 典型配置案例一对一 IPSec VPN 组网主要面向部分小型的分支机构每个分支机构只与总部建立 VPN 隧道进行通信分支用户对于网络的链路要求不高, 普通的 ADSL 线路即可满足要求 ; 当然, 用户也可以通过 LAN 接入对于总部网关部分, 可以只考虑使用单台的网关设备来进行汇接, 为满足各个分支网关的接入, 总部网关使用静态 IP 配置分支的网关采用静态或动态申请的 IP 地址与总部网关建立 VPN 链接另外, 建议双方开启 DPD 功能, 能有效监测链路状态, 确保 VPN 的实时连通组网需求在 Router A( 采用 ICG1000) 和 Router B( 采用 ICG1000) 之间建立一个安全隧道, 对客户分支机构 A 所在的子网 ( /24) 与客户分支机构 B 所在的子网 ( /24) 之间的数据流进行安全保护安全协议采用 ESP 协议, 加密算法采用 3DES, 认证算法采用 SHA1 新华三技术有限公司第 6 页, 共 45 页

7 2.1.2 组网图图 1 组网示意图配置步骤 1. 设置 Router A (1) 设置虚接口 VPN VPN 设置虚接口选择一个虚接口名称和与其相应的 WAN 口绑定, 单击 < 增加 > 按钮图 2 配置虚接口 (2) 设置 IKE 安全提议 VPN VPN 设置 IKE 安全提议输入安全提议名称, 并设置验证算法和加密算法分别为 SHA1 3DES, 单击 < 增加 > 按钮新华三技术有限公司第 7 页, 共 45 页

8 图 3 配置 IKE 安全提议 (3) 设置 IKE 对等体 VPN VPN 设置 IKE 对等体输入对等体名称, 选择对应的虚接口 ipsec1 在对端地址文本框中输入 Router B 的 IP 地址, 并选择已创建的安全提议等信息, 单击 < 增加 > 按钮当两端设备之间存在 NAT 设备时, 相关配置请参见 FAQ 中 5.2 若 VPN 组网中存在 NAT 设备, 双方如何配置的说明图 4 设置 IKE 对等体 (4) 设置 IPSec 安全提议新华三技术有限公司第 8 页, 共 45 页

9 VPN VPN 设置 IPSec 安全提议输入安全提议名称, 选择安全协议类型为 ESP, 并设置验证算法和加密算法分别为 SHA1 3DES, 单击 < 增加 > 按钮图 5 配置 IPSec 安全提议 (5) 设置 IPSec 安全策略 VPN VPN 设置 IPSec 安全策略输入安全策略名称, 在本地子网 IP/ 掩码和对端子网 /IP 掩码文本框中分别输入客户分支机构 A 和 B 所处的子网信息, 并选择协商类型为 IKE 协商对等体为 IKE-d1 安全提议为 IPSEC-PRO, 单击 < 增加 > 按钮图 6 配置 IPSec 安全策略 (6) 设置路由需要为经过 IPSec VPN 隧道处理的报文设置路由, 才能使隧道两端互通一般情况下, 只需要为隧道报文配置静态路由即可新华三技术有限公司第 9 页, 共 45 页

10 配置静态路由时, 指定目的地址网段后不需要指定下一跳地址, 直接配置使用正确的 IPSec 虚接口即可高级设置路由设置静态路由图 7 配置静态路由 2. 设置 Router B 在对端 Router B 上,IPSec VPN 的配置与 Router A 是相互对应的如果对端也是使用 ICG1000, 则除了对等体的对端地址以及安全策略中的本地子网对端子网本端 ID 对端 ID 需要对应修改, 其他的设置均相似 3 Hub & Spoke VPN 典型配置案例 Hub & Spoke 网络拓扑类型 VPN 是一种星型的 VPN 网络模型该模型中存在一个中心节点即 Hub, 所有其它分支节点即 Spoke 只与 Hub 协商建立 IPSec 隧道因此, 每一个子网的网关仅需要配置到 Hub 的连接参数对于一个具有 N 个子网的网络拓扑, 只需要协商建立 N 个 VPN 隧道各个分支节点 Spoke 之间通过 Hub 对流量的转发实现互相通信, 并且不需要增加建立 VPN 隧道 Hub 作为终结隧道的头端设备, 不仅需要完成与各个分支 Spoke 的 VPN 建立维护, 还需要完成数据在不同隧道间的转发 Hub & Spoke VPN 的优点是 : 对分支 Spoke 路由器的要求低, 只需要其维护一条 IPSec 隧道 ; 减化配置的复杂性, 增加一个分支点只会增加一条隧道 ; 只有中心 Hub 需要静态 IP 配置, 其他分支可以不再申请使用静态 IP 当然, 这种 VPN 的缺点也显而易见 :VPN 的性能和可靠性过于依赖中心端 Hub; 当分支都使用动态地址时, 只能由分支 Spoke 来初始建立 IPSec 隧道组网需求在 Hub & Spoke VPN 组网方案中,SOHO Router 既可以充当分支 Spoke, 也可以作为中心 Hub 使用新华三技术有限公司第 10 页, 共 45 页

由于不同 Spoke 之间的子网要求互通, 在隧道的访问控制表定义上可以尽可能放宽, 使用 any 地址方式配置可以确保网络中增加 Spoke 时隧道配置不需要变动然后通过将其他 Spoke 子网的路由指向隧道的 IPSec 虚接口, 本子网可以通过一条隧道访问其他 Spoke 的子网中心 Hub 上只需要为各个 Spoke 的子网配置对应隧道虚接口的路由, 就能完成各个隧道之间报文的转发

11 由于不同 Spoke 之间的子网要求互通, 在隧道的访问控制表定义上可以尽可能放宽, 使用 any 地址方式配置可以确保网络中增加 Spoke 时隧道配置不需要变动然后通过将其他 Spoke 子网的路由指向隧道的 IPSec 虚接口, 本子网可以通过一条隧道访问其他 Spoke 的子网中心 Hub 上只需要为各个 Spoke 的子网配置对应隧道虚接口的路由, 就能完成各个隧道之间报文的转发各个 Spoke 使用动态上网方式, 中心 Hub 上可以配置 any 地址的对等体来处理当组网有变化时, 配置的修改也简化了, 只需要针对性地增加或减少的 Spoke 子网, 增加或减少对应的路由即可组网图图 8 组网示意图 Hub & Spoke VPN Spoke ( 动态上网未知 IP) Hub ( 静态 IP) /24 Internet / /24 IPSec Tunnel / 设置步骤 1. 设置 Spoke (1) 设置虚接口 VPN VPN 设置虚接口选择一个虚接口名称和与其相应的 WAN 口绑定, 单击 < 增加 > 按钮图 9 配置虚接口新华三技术有限公司第 11 页, 共 45 页

12 (2) 设置 IKE 安全提议 VPN VPN 设置 IKE 安全提议输入安全提议名称, 并设置验证算法和加密算法分别为 SHA1 3DES, 单击 < 增加 > 按钮图 10 配置 IKE 安全提议 (3) 设置 IKE 对等体 VPN VPN 设置 IKE 对等体图 11 设置 IKE 对等体 (4) 设置 IPSec 安全提议 VPN VPN 设置 IPSec 安全提议输入安全提议名称, 选择安全协议类型为 ESP, 并设置验证算法和加密算法分别为 SHA1 3DES, 单击 < 增加 > 按钮新华三技术有限公司第 12 页, 共 45 页

13 图 12 配置 IPSec 安全提议 (5) 设置 IPSec 安全策略 VPN VPN 设置 IPSec 安全策略 Spoke 的安全策略配置如下, 不同的 Spoke 只需要修改本地子网地址图 13 设置安全策略 (6) 设置路由高级设置路由设置静态路由在 Spoke 上为 VPN 对端子网配置指向 IPSec 虚接口静态路由新华三技术有限公司第 13 页, 共 45 页

14 图 14 设置路由 2. 设置 Hub 在 Hub 路由器上的配置和在 Spoke 上的配置基本类似 ( 虚接口 IKE 和 IPSec 安全提议的设置均一样, 差别在于对等体和安全策略的配置 ), 设置如下 (1) 设置对等体图 15 设置对等体 (2) 设置安全策略在 Hub 路由器上为每个连接 Spoke 的 VPN 隧道配置安全策略本地子网和对端子网都使用宽范围的 any 地址 ( /0), 其他的配置与 Spoke 对应新华三技术有限公司第 14 页, 共 45 页

15 Hub 上的配置如同一个模板, 只用一条安全策略就能够匹配多个 Spoke 的 VPN 隧道配置, 协商建立针对不同子网的安全联盟 SA 图 16 设置安全策略 (3) 设置路由为不同的 Spoke 子网指定 IPSec 虚接口静态路由, 这样 Spoke 可以与 Hub 建立 VPN 通信, 不同 Spoke 的子网之间也可以通过 VPN 由 Hub 进行转发实现互相通信当网络拓扑和地址规划有变动时, 只用修改路由就很方便完成了配置调整如果子网的 IP 规划有序, 此处可以直接使用 / 的一条路由即可满足配置图 17 设置路由 4 WINXP 的 IPSec VPN 典型配置案例如果您出差在外而又希望安全连接到企业局域网, 那么您可以通过 IPSec VPN Client 和 SOHO Router 对接建立 VPN 隧道来实现安全通信微软已经将 IPSec VPN Client 集成进 WINXP 和 WIN2000 操作系统中, 您需要对它进行相关配置即可新华三技术有限公司第 15 页, 共 45 页

4.1.1 组网需求在 SOHO Router 和 WINXP 之间建立一个安全隧道, 对客户分支机构所在的子网 (192.168.

MD5,ESP 加密算法采用 3DES 4.1.2 组网图图 18 组网示意图 Router 的 WAN IP:172.16.0.

16.0.100/255.255.255.0, 默认网关指向 172.16.0.1 4.1.3 配置步骤 1.

增加 > 按钮图 19 配置虚接口 (2) 设置 IKE 安全提议 VPN VPN 设置 IKE 安全提议输入安全提议名称,

16 4.1.1 组网需求在 SOHO Router 和 WINXP 之间建立一个安全隧道, 对客户分支机构所在的子网 ( /24) 与个人电脑 WINXP 之间的数据流进行安全保护 IPSEC 安全提议采用 ESP 协议,ESP 验证算法采用 MD5,ESP 加密算法采用 3DES 组网图图 18 组网示意图 Router 的 WAN IP: / ,LAN IP 是 / WINXP 的 IP: / , 默认网关指向配置步骤 1. 设置 Router (1) 设置虚接口 VPN VPN 设置虚接口选择一个虚接口名称和与其相应的 WAN 口绑定, 单击 < 增加 > 按钮图 19 配置虚接口 (2) 设置 IKE 安全提议 VPN VPN 设置 IKE 安全提议输入安全提议名称, 并设置验证算法和加密算法分别为 MD5 3DES, 单击 < 增加 > 按钮新华三技术有限公司第 16 页, 共 45 页

17 图 20 配置 IKE 安全提议 (3) 设置 IKE 对等体 VPN VPN 设置 IKE 对等体输入对等体名称 vpn1, 选择对应的虚接口 ipsec0 在对端地址文本框中输入 WINXP 的 IP 地址, 并选择已创建的安全提议 vpn1, 输入预共享密钥 : , 单击 < 增加 > 按钮当两端设备之间存在 NAT 设备时, 相关配置请参见 FAQ 中 5.2 若 VPN 组网中存在 NAT 设备, 双方如何配置的说明图 21 设置 IKE 对等体 (4) 设置 IPSec 安全提议 VPN VPN 设置 IPSec 安全提议新华三技术有限公司第 17 页, 共 45 页

18 输入安全提议名称, 选择安全协议类型为 ESP, 并设置验证算法和加密算法分别为 MD5 3DES, 单击 < 增加 > 按钮图 22 配置 IPSec 安全提议 (5) 设置 IPSec 安全策略 VPN VPN 设置 IPSec 安全策略启用 IPSec 功能, 输入安全策略名称, 在本地子网 IP/ 掩码和对端子网 /IP 掩码文本框中分别输入公司内网和 WINXP 所处的网络信息, 并选择协商类型为 IKE 协商对等体为 vpn1 安全提议为 vpn1,pfs 确保选择默认项禁止单击 < 增加 > 按钮图 23 配置 IPSec 安全策略 (6) 设置路由需要为经过 IPSec VPN 隧道处理的报文设置路由, 才能使隧道两端互通一般情况下, 只需要为隧道报文配置静态路由即可新华三技术有限公司第 18 页, 共 45 页

19 配置静态路由时, 指定目的地址网段后不需要指定下一跳地址, 直接配置使用正确的 IPSec 虚接口即可高级设置路由设置静态路由图 24 配置静态路由 2. WINXP 网络和路由配置 (1) 为 WINXP 配置静态 IP 地址 WINXP 静态 IP 地址配置如下图所示图 25 WINXP 的 IP 地址配置新华三技术有限公司第 19 页, 共 45 页

168.0.0 mask 255.255.255.0 172.16.0.4 之后, 通过 route print 显示结果如下可看到一条通往公司内网 192.168.0.0/24 网段的路由表项, 网关地址指向 Router 的 WAN 口地址 172.

20 (2) 增加静态路由在开始菜单的运行窗口, 输入 cmd, 进入 DOS 窗口, 执行 route print 显示增加路由前的路由配置, 如下图所示图 26 增加路由前的路由配置然后, 执行 route -p add mask ( 如果希望临时添加路由, 可以使用 route add mask 命令 ) 执行 route p add mask 之后, 通过 route print 显示结果如下可看到一条通往公司内网 /24 网段的路由表项, 网关地址指向 Router 的 WAN 口地址图 27 路由添加后新华三技术有限公司第 20 页, 共 45 页

选择 IP 安全策略管理, 再单击 < 添加 > 按钮图 29 添加 / 删除管理单元 (3) 在选择计算机或域窗口中选择

21 3. WINXP IPSec 配置 (1) 运行 MMC 在开始菜单的运行窗口, 输入 mmc, 如下图所示图 28 运行 MMC (2) 在 mmc 控制台选择文件添加 / 删除管理单元, 在弹出窗口单击 < 添加 > 按钮出现如下图所示界面, 选择 IP 安全策略管理, 再单击 < 添加 > 按钮图 29 添加 / 删除管理单元 (3) 在选择计算机或域窗口中选择本地计算机单选按钮, 如下图所示单击 < 完成 > 按钮新华三技术有限公司第 21 页, 共 45 页

22 图 30 选择计算机或域 (4) 关闭除控制台 1 窗口之外的其他窗口, 回到控制台 1 界面先选中 IP 安全策略在本地计算机节点, 再右键单击该节点选择创建 IP 安全策略菜单项, 如下图所示新华三技术有限公司第 22 页, 共 45 页

23 图 31 创建 IP 安全策略 (5) 在 IP 安全策略向导窗口中单击 < 下一步 > 按钮出现 IP 安全策略名称输入窗口, 如下图所示, 输入名称, 如 IPSEC-XP-TO-ROUTER 新华三技术有限公司第 23 页, 共 45 页

24 图 32 IP 安全策略名称 (6) 单击 < 下一步 > 按钮, 进入 IP 安全策略向导的安全通讯请求窗口, 去掉激活默认响应规则勾选框, 如下图所示图 33 安全通讯请求新华三技术有限公司第 24 页, 共 45 页

25 (7) 单击 < 下一步 > 按钮, 确保编辑属性勾选如下图所示图 34 完成 IP 安全策略向导 (8) 单击 < 完成 > 按钮, 打开 IPSEC-XP-TO-ROUTER 属性编辑窗口, 如下图所示新华三技术有限公司第 25 页, 共 45 页

26 图 35 IPSEC-XP-TO-ROUTER 属性编辑 (9) 在 IPSEC-XP-TO-ROUTER 属性编辑窗口, 去掉使用添加向导勾选框再单击 < 添加 > 按钮, 弹出新规则属性窗口, 如下图所示新华三技术有限公司第 26 页, 共 45 页

27 图 36 新规则属性 (10) 在 IP 筛选器列表页签中, 单击 < 添加 > 按钮打开 IP 筛选器列表窗口输入名称 : TO LAN, 去掉使用添加向导勾选框, 如下图所示图 37 IP 筛选器列表新华三技术有限公司第 27 页, 共 45 页

28 (11) 单击 < 添加 > 按钮, 在弹出的筛选器属性窗口中, 源地址选择我的 IP 地址, 目标地址选择一个特定的 IP 子网, 并且输入子网的 IP 地址和掩码, 如下图所示注意, 确保镜像已勾选图 38 寻址 (12) 两次单击 < 确定 > 按钮将回到新规则属性窗口在 IP 筛选器列表页签, 单击 TO LAN, 如下图所示新华三技术有限公司第 28 页, 共 45 页

29 图 39 新规则属性 (13) 单击筛选器操作页签, 选择需要安全单选框, 如下图所示新华三技术有限公司第 29 页, 共 45 页

30 图 40 筛选器操作 (14) 单击 < 编辑 > 按钮, 在弹出的需要安全属性窗口中保留默认配置, 即结果如下图所示注意确保不要勾选会话密钥完全向前保密这一选项, 除非在上述 Router 设置安全策略配置步骤中将 PFS 设置为 DH 1024 新华三技术有限公司第 30 页, 共 45 页

31 图 41 安全措施 (15) 单击 < 确定 > 按钮回到新规则属性窗口单击身份验证方法页签单击 < 添加 > 按钮, 在弹出窗口中选择使用此字符串 ( 预共享密钥 ), 输入密码 :123456( 对应 Router 设置 IKE 对等体中的预共享密钥 ), 如下图所示新华三技术有限公司第 31 页, 共 45 页

32 图 42 设置身份验证方法 (16) 单击 < 确定 > 按钮回到新规则属性窗口, 删除身份验证方法页中的 Kerberos 验证方法, 如下图所示新华三技术有限公司第 32 页, 共 45 页

33 图 43 身份验证方法 (17) 单击隧道设置页签, 输入隧道对端的 IP, 即 Router 的 WAN 口 IP: , 如下图所示新华三技术有限公司第 33 页, 共 45 页

34 图 44 隧道设置 (18) 最后选择连接类型页签, 不需要作更改, 确保结果如下图所示新华三技术有限公司第 34 页, 共 45 页

35 图 45 连接类型 (19) 至此, 完成 TO LAN 的配置单击 < 应用 > 按钮, 再单击 < 确定 > 按钮回到 IPSEC-XP-TO- ROUTER 属性窗口此时结果如下图所示, 已经有一个筛选器为 TO LAN 并且处于勾选状态筛选器操作是需要安全, 身份验证方法是预共享, 隧道设置为 , 连接类型为全部新华三技术有限公司第 35 页, 共 45 页

36 图 46 查看属性规则 (20) 在这个 IPSEC-XP-TO-ROUTER 属性窗口, 再次单击 < 添加 > 按扭出现新规则属性窗口, 单击 < 添加 > 按钮, 输入新筛选器名字 FROM LAN ( 请参考 TO LAN 配置步骤配置 ) FROM LAN 筛选器属性编辑如下图所示, 源地址为一个特定子网, 目的地址则为我的 IP 地址新华三技术有限公司第 36 页, 共 45 页

37 图 47 寻址 (21) 单击 < 确定 > 按钮回到新规则属性窗口, 确保此时选中 FROM LAN, 如下图所示新华三技术有限公司第 37 页, 共 45 页

38 图 48 IP 筛选器列表 (22) 在上述新规则属性窗口中, 切换到筛选器操作页签, 同样选需要安全新华三技术有限公司第 38 页, 共 45 页

39 图 49 筛选器操作 (23) 单击 < 编辑 > 按钮, 确保结果如下图所示新华三技术有限公司第 39 页, 共 45 页

40 图 50 安全措施 (24) 切换到身份验证页签, 配置如前述一致即采用预共享密钥方式, 输入密码, 结果如下图所示新华三技术有限公司第 40 页, 共 45 页

图 51 身份验证方法 (25) 切换到隧道设置页签, 终点设置为 XPWIN 的 IP:172.16.

41 图 51 身份验证方法 (25) 切换到隧道设置页签, 终点设置为 XPWIN 的 IP: 确保编辑后结果如下图所示新华三技术有限公司第 41 页, 共 45 页

42 图 52 隧道设置 (26) 连接类型同样为所有网络连接, 单击 < 应用 > 按钮, 单击 < 确定 > 按钮 (27) 回到控制台 1, 右键单击 IPSEC-XP-TO-ROUTER, 在弹出菜单中选择指派, 如下图所示图 53 指派策略 (28) 确保策略已指派栏的状态为是, 最后结果如下图所示新华三技术有限公司第 42 页, 共 45 页

1 或局域网中任一台机器, 前面 4 个报文协商通过之后, 隧道建立,PING 成功, 表明配置成功图 55 测试连接 5 常见问题解答 (FAQ) 5.

43 图 54 查看策略指派 (29) 完成所有操作单击文件菜单, 另存控制台 1 到桌面为 ipsec, 以后可以双击查看属性测试在 WINXP PC 上 PING 一下 Router 的 LAN IP 或局域网中任一台机器, 前面 4 个报文协商通过之后, 隧道建立,PING 成功, 表明配置成功图 55 测试连接 5 常见问题解答 (FAQ) 5.1 VPN 隧道数据不通, 如何处理 (1) 单击系统状态系统诊断诊断工具, 从指定 WAN 接口 ping 隧道对端网关 IP, 确保出接口正常, 路由可达需要注意的是, 对端是否已关闭防 ping 功能新华三技术有限公司第 43 页, 共 45 页

(2) 检查一下是否存在功能限制数据流, 比如 : 是否存在 IP/MAC 绑定接入控制防火墙 QoS 等规则阻止 (3) 如果设备使用的是双 WAN 手动均衡模式, 请参见双 WAN 手动均衡时的路由问题 (4) 检查是否为隧道对端子网配置了静态路由, 路由配置和安全策略上的子网配置是否与需要保护的数据流有逻辑性矛盾 (5) 如果是手工方式设置安全策略, 请仔细检查安全策略配置算法密钥和

44 (2) 检查一下是否存在功能限制数据流, 比如 : 是否存在 IP/MAC 绑定接入控制防火墙 QoS 等规则阻止 (3) 如果设备使用的是双 WAN 手动均衡模式, 请参见双 WAN 手动均衡时的路由问题 (4) 检查是否为隧道对端子网配置了静态路由, 路由配置和安全策略上的子网配置是否与需要保护的数据流有逻辑性矛盾 (5) 如果是手工方式设置安全策略, 请仔细检查安全策略配置算法密钥和 SPI 在两端应该互相对称, 数据完全一致 ; 如果是 IKE 方式设置安全策略, 请查看是否存在与安全策略名称对应的安全联盟 SA 如果存在相关 SA, 请查看双方 SA 是否对应一致, 若不一致, 建议关闭此隧道重新协商 (6) 当 IPSec 出现状态混乱时, 通过 IPSec 全局开关禁用然后重新启用 IPSec 功能 5.2 若 VPN 组网中存在 NAT 设备, 双方如何配置 IKE IPSec 隧道两端之间如果有 NAT 网关设备存在,NAT 对 IP 的修改会影响到与两端 IP 有关的 IPSec 配置由于协议限制, 目前需要支持这种 NAT 穿越的 IPSec 组网, 双方应使用 IKE 野蛮模式 name 类型的 ID, 并且只能使用 ESP 安全协议, 不能使用 AH 安全协议当 NAT 网关设备 WAN 侧网络路由器配置 IKE 对等体地址时, 应配置对端地址为 NAT 设备 WAN 接口的 IP 地址 ;LAN 侧路由器的配置与普通组网方式一样另外, 配置 IKE SA 周期和 IPSec SA 周期时, 需要让 LAN 侧路由器的两个 SA 周期都小于 WAN 侧的路由器 SA 周期 ( 推荐 :LAN 侧路由器 SA 周期为 WAN 侧路由器 SA 周期的一半, 否则运行更新时可能会出现问题 ) 5.3 双 WAN 手动均衡时的路由问题在 SOHO Router 使用双 WAN 手工均衡配置时, 如果 IPSec 接口绑定在非默认链路接口, 则需要为 VPN 对端网关地址添加静态路由或者均衡路由例如 : 如下配置中, 双 WAN 手动均衡的默认链路是 WAN1, 而 IPSec 的虚接口 ipsec2 绑定到 WAN2, 则需要在静态路由中为 VPN 对端添加指向 WAN2 接口的静态路由, 或者在均衡路由表中添加路由新华三技术有限公司第 44 页, 共 45 页

5.4 策略路由的问题策略路由的设计是为了满足对从 LAN 向 WAN 方向报文的精确匹配转发, 对设备自身接口的报文不处理因此, 如果在隧道对端需要访问 SOHO Router 的 LAN 接口 IP, 必须配置相关的静态路由另外, 策略路由不能处理不同 IPSec 虚接口之间的报文转发, 在 Hub & Spoke 类型 VPN 组网中各个 Spoke 之间的 VPN 通信是通过

45 5.4 策略路由的问题策略路由的设计是为了满足对从 LAN 向 WAN 方向报文的精确匹配转发, 对设备自身接口的报文不处理因此, 如果在隧道对端需要访问 SOHO Router 的 LAN 接口 IP, 必须配置相关的静态路由另外, 策略路由不能处理不同 IPSec 虚接口之间的报文转发, 在 Hub & Spoke 类型 VPN 组网中各个 Spoke 之间的 VPN 通信是通过 Hub 上不同虚接口之间转发完成的, 这种情况只能配置静态路由处理所以在为 IPSec VPN 隧道配置路由时, 应首先配置静态路由, 需要进一步精确控制时再补充配置策略路由 5.5 碰到问题时的处理方法多次检查配置是否正确重启 ER 路由器重启 WINXP 电脑再试试 Copyright 新华三技术有限公司版权所有, 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播本文档中的信息可能变动, 恕不另行通知新华三技术有限公司第 45 页, 共 45 页

一．NETGEAR VPN防火墙产品介绍

一．NETGEAR VPN防火墙产品介绍 NETGEAR VPN NETGEAR 6 http://www.netgear.com.cn - 1 - NETGEAR VPN... 4 1.1 VPN...4 1.2 Dynamic Domain Name Service...4 1.3 Netgear VPN...4 Netgear VPN... 6 2.1 FVS318 to FVS318 IKE Main...7 2.1.1 A VPN

H3C SOHO Router IPSec VPN 配置指导 H3C SOHO Router IPSec VPN 配置指导 关键词 :IKE IPSec VPN NAT 穿越 DPD Hub & SPOKE 摘要 : 本文是对 SOHO Router 的 IPSec VPN 功能配置进行介绍, 指导

H3C SOHO Router IPSec VPN 配置指导 H3C SOHO Router IPSec VPN 配置指导关键词 :IKE IPSec VPN NAT 穿越 DPD Hub & SPOKE 摘要 : 本文是对 SOHO Router 的 IPSec VPN 功能配置进行介绍, 指导