Huawei Technologies Co

Size: px

Start display at page:

Download "Huawei Technologies Co"

侵殷
5 years ago
Views:

1 关键词 :IPsec NAT 野蛮模式摘要 : 本文简单描述了 IPsec 穿越 NAT 网关的特点, 详细描述了在 SecPath 防火墙系列防火墙上配置 IPsec 野蛮模式下穿越 NAT 的基本配置方法和详细步骤, 给出了一种 IPsec 穿越 NAT 的基本配置案例缩略语 : 缩略语英文全名中文解释 VPN Virtual Private Network\ 虚拟私有网 IPsec IP security IP 安全 NAT Network Address Translation 网络地址转换 IKE Internet Key Exchange Internet 密钥交换

2 目录 1 特性介绍特性的优点使用指南使用场合配置步骤注意事项举例组网需求组网图配置验证结果故障排除关键命令 ipsec policy( 系统视图 ) ipsec proposal ike peer 相关资料相关协议和标准其它相关资料...14

3 1 特性介绍 IPsec(IP security) 协议族是 IETF 制定的一系列协议, 它为 IP 数据报提供了高质量的可互操作的基于密码学的安全性特定的通信方之间在 IP 层通过加密与数据源验证等方式, 来保证数据报在网络上传输时的私有性完整性真实性和防重放 IPsec 作为一种重要的安全技术得到越来越广泛的应用, 但是客户网络边缘大量使用的 NAT 地址转换操作可能影响到 IPsec 的正常操作目前,NAT 和 IPsec 之间存在的不兼容性问题主要可以分为以下三类 : IP 地址和端口不匹配的问题 IPsec 不能验证 NAT 报文的问题 NAT 超时影响 IPsec 的问题针对此问题, 我司在 IKE 野蛮模式的基础上实现 NAT 穿越, 很好地解决了此问题为了使 IKE 支持目前广泛应用的通过 ADSL 及拨号方式构建 VPN 的方案中的特殊情况即局端设备的 IP 地址为固定分配的, 用户端设备的 IP 地址为动态获取的情况, 在 IKE 阶段的协商模式中增加了 IKE 野蛮模式, 它可以选择根据协商发起端的 IP 地址或者 ID 来查找对应的身份验证字, 并最终完成协商 IKE 野蛮模式相对于主模式来说更加灵活, 能够支持协商发起端为动态 IP 地址的情况在 IPsec/IKE 组建的 VPN 隧道中, 若存在 NAT 网关设备, 且 NAT 网关设备对 VPN 业务数据流进行了 NAT 转换的话, 则必须配置 IPsec/IKE 的 NAT 穿越功能该功能删去了 IKE 协商过程中对 UDP 端口号的验证过程, 同时实现了对 VPN 隧道中 NAT 网关设备的发现功能, 即如果发现 NAT 网关设备, 则将在之后的 IPsec 数据传输中使用 UDP 封装 ( 即将 IPsec 报文封装到 IKE 协商所使用的 UDP 连接隧道里 ) 的方法, 避免了 NAT 网关对 IPsec 报文进行篡改 (NAT 网关设备将只能够修改最外层的 IP 和 UDP 报文头, 对 UDP 报文封装的 IPsec 报文将不作修改 ), 从而保证了 IPsec 报文的完整性 (IPsec 数据加密解密验证过程中要求报文原封不动地被传送到接收端 ) 目前仅在 IKE 野蛮模式下支持 NAT 穿越, 主模式下不支持 2 特性的优点该特性适合 IPsec 隧道中间存在 NAT 设备的组网情况同时, 由于使用了 IKE 野蛮模式, 同样也适用于 IP 地址不固定的远程访问用户与总部之间建立 IPsec 隧道的情况 3 使用指南 3.1 使用场合 1) IPsec 隧道中间存在 NAT 设备的组网情况 2) 适用于 IP 地址不固定的远程访问用户与总部之间建立 IPsec 隧道的情况

4 3.2 配置步骤配置野蛮模式下 IPsec 穿越 NAT, 需要以下步骤 : 配置访问控制列表配置 IKE 对等体定义安全提议创建安全策略在接口上应用安全策略 1. 配置访问控制列表 IPsec 使用高级访问控制列表来判断哪些报文需要受到保护, 哪些则不需要, 用于 IPsec 的扩展访问控制列表可称为加密访问控制列表在本地和远端安全网关上定义的加密访问控制列表应该是相对应的 ( 即互为镜像 ), 这样在某一端加密的数据才能在对端上被解密否则, 会造成一端不能解密另一端发来的数据步骤操作说明操作命令 1 在系统视图下, 创建一个高级访问控制列表 [H3C] acl number acl-number [ match-order { config auto } ] 2 在高级访问控制列表视图下, 配置 ACL 规则 [H3C-acl-adv-3000] rule [ rule-id ] { permit deny } protocol [ source { sour-addr sour-wildcard any } ] [ destination { dest-addr dest-wildcard any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type {icmp-type icmp-code icmp-message} ] [ precedence precedence ] [ dscp dscp ] [ established ] [ tos tos ] [ timerange time-name ] [ logging ] [ fragment ] 2. 配置 IKE 对等体在实施 IPsec 的过程中, 可以使用 Internet 密钥交换 IKE(Internet Key Exchange) 协议来建立安全联盟, 该协议建立在由 Internet 安全联盟和密钥管理协议 ISAKMP ( Internet Security Association and Key Management Protocol) 定义的框架上 IKE 为 IPsec 提供了自动协商交换密钥建立安全联盟的服务, 能够简化 IPsec 的使用和管理步骤操作说明操作命令 1 配置一个 IKE 对等体并进入 ike peer 视图 ike peer peer-name 2 配置 IKE 阶段的协商模式 exchange-mode { aggressive main } 3 配置 IKE 阶段协商所使用的身份验证字 pre-shared-key key 4 选择 IKE 阶段的协商过程中使用 ID 的类型 id-type { ip name } 5 指定对端设备的名称 remote-name name 6 配置对端设备的 IP 地址 remote-address low-ip-address [ high-ip-address ] 7 配置 IKE/IPsec 的 NAT 穿越功能 nat-traversal

5 3. 定义安全提议安全提议保存 IPsec 需要使用的特定安全性协议以及加密 / 验证算法, 为 IPsec 协商安全联盟提供各种安全参数为了能够成功的协商 IPsec 的安全联盟, 两端必须使用相同的安全提议步骤操作说明操作命令 1 创建安全提议并进入安全提议视图 [H3C] ipsec proposal proposal-name 2 设置安全协议对 IP 报文的封装形式 [H3C-ipsec-proposal-pro] encapsulation-mode { transport tunnel } 3 设置安全提议采用的安全协议 [H3C-ipsec-proposal-pro] transform { ah ah-esp esp } 4 设置 ESP 协议采用的加密算法 5 设置 ESP 协议采用的验证算法 [H3C-ipsec-proposal-pro] esp encryption-algorithm { 3des des aes } [H3C-ipsec-proposal-pro] esp authentication-algorithm { md5 sha1 } 4. 创建安全策略安全策略规定了对什么样的数据流采用什么样的安全提议安全策略分为手工安全策略和 IKE 协商安全策略, 前者需要用户手工配置密钥 SPI 等参数, 在隧道模式下还需要手工配置安全隧道两个端点的 IP 地址 ; 后者则由 IKE 自动协商生成这些参数本文档仅介绍 IKE 方式创建安全策略步骤操作说明操作命令 1 用 IKE 创建安全策略, 进入安全策略视图 [H3C] ipsec policy policy-name seq-number isakmp 2 设置安全策略所引用的安全提议 [H3C-ipsec-policy-isakmp-tran-10] proposal proposalname1 [ proposal-name2... proposal-name6 ] 3 设置安全策略引用的访问控制列表 [H3C-ipsec-policy-isakmp-tran-10] security acl acl-number 4 在安全策略中引用 IKE 对等体 [H3C-ipsec-policy-isakmp-tran-10] ike-peer peer-name 5. 在接口上应用安全策略组为使定义的安全联盟生效, 应在每个要加密的出站数据解密的入站数据所在接口 ( 逻辑的或物理的 ) 上应用一个安全策略组, 由这个接口根据所配置的安全策略组和对端加密安全网关配合进行报文的加密处理步骤操作命令 1 进入接口视图 [H3C] interface type number 2 应用安全策略组 [H3C-GigabitEthernet0/0] ipsec policy policy-name

6 3.3 注意事项当配置野蛮模式 IPsec 穿越 NAT 时需要注意以下几点 : 1) 配置隧道发起端 IKE 对等体时, 需要配置 remote-address 命令, 而响应端只需要配置 remote-name 命令即可 2) 一定不要忘记配置 ike local-name 命令 3.4 举例组网需求本例使用一个通用组网图, 使用的设备皆为 SecPath 系列防火墙 SecPathA 和 SecPathC 分别为两个局域网络的出口防火墙, 在两个防火墙之间建立 IPsec 隧道 SecPathB 的 Internet 出口端配置了 NAT, 保护其后网络对 Internet 不可见网段 /24 和 /24 将通过 IPsec 隧道互通, 在此情形下, 就需要野蛮模式与 NAT 穿越功能来实现 IPsec 隧道的建立组网图 /24 SecPath SecPath B SecPath A /24 NAT /24 C /24 IPsec Tunnel 图 1 IPsec NAT 穿越特性典型组网图配置 1. 使用的版本 <H3C>display version H3C Comware Platform Software Comware software, Version 3.40, Release 1607P03 Copyright (c) Hangzhou H3C Technologies Co., Ltd. All rights reserved. Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed. H3C SecPath F1000-S uptime is 0 week, 0 day, 0 hour, 1 minute CPU type: Mips BCM1125H 600MHz 512M bytes DDR SDRAM Memory 16M bytes Flash Memory Pcb Version:3.0 Logic Version:2.0 BootROM Version:1.22 [SLOT 0] 2GBE (Hardware)3.0, (Driver)2.0, (Cpld)2.0 [SLOT 1] 2GBE (Hardware)3.0, (Driver)2.0, (Cpld)2.0 [SLOT 2] NDEC (Hardware)3.0, (Driver)3.3, (Cpld)2.0 <H3C>vrbd Routing Platform Software Version SecPath F1000-S 8042V100R006B01D027SP01 (COMWAREV300R002B40D028), RELEASE SOFTWARE

7 Compiled Mar :38:39 by xiedong 2. 配置防火墙 SecPathA 当前视图配置命令简单说明 [SecPathA] ike local-name SecPathA 配置本端设备的名称 [SecPathA] [SecPathA] firewall packet-filter default permit ike peer peer 防火墙包过滤默认改为允许配置一个 IKE 对等体并进入 ike peer 视图 [SecPathA-ike-peer-peer] exchange-mode aggressive 配置 IKE 协商模式为野蛮模式 [SecPathA-ike-peer-peer] pre-shared-key 配置 IKE 阶段协商所使用的身份验证字 [SecPathA-ike-peer-peer] id-type name 配置 IKE 协商过程中使用的 ID 类型 [SecPathA-ike-peer-peer] remote-name SecPathC 配置对端设备的 ID [SecPathA-ike-peer-peer] nat traversal 使能 NAT 穿越功能 [SecPathA-ike-peer-peer] quit 退出 ike peer 视图 [SecPathA] ipsec proposal pro 创建安全提议并进入安全提议视图 [SecPathA-ipsec-proposal-pro] encapsulation-mode tunnel 设置安全协议对 IP 报文的封装形式 [SecPathA-ipsec-proposal-pro] transform esp 设置安全提议采用的安全协议 [SecPathA-ipsec-proposal-pro] esp sha1 authentication-algorithm 设置 ESP 协议采用的加密算法 [SecPathA-ipsec-proposal-pro] esp encryption-algorithm 3des 设置 ESP 协议采用的验证算法 [SecPathA-ipsec-proposal-pro] quit 退出安全提议视图 [SecPathA] ipsec policy pol 10 isakmp 用 IKE 创建安全策略, 进入安全策略视图 [SecPathA-ipsec-policy-isakmp-pol-10] security acl 3000 [SecPathA-ipsec-policy-isakmp-pol-10] ike-peer peer [SecPathA-ipsec-policy-isakmp-pol-10] proposal pro [SecPathA-ipsec-policy-isakmp-pol-10] quit 设置安全策略引用的访问控制列表在安全策略中引用 IKE 对等体设置安全策略所引用的安全提议退出安全策略视图 [SecPathA] acl number 3000 创建一个高级访问控制列表 [SecPathA-acl-adv-3000] rule 0 permit ip source destination 在高级访问控制列表视图下, 配置 ACL 规则 [SecPathA-acl-adv-3000] quit 退出高级访问控制列表视图 [SecPathA] interface GigabitEthernet0/0 进入 GigabitEthernet0/0 接口 [SecPathAinterfaceGigabitEthernet0/0] [SecPathAinterfaceGigabitEthernet0/0] ip address ipsec policy pol 配置 GigabitEthernet0/0 接口的 IP 地址应用安全策略组

8 当前视图配置命令简单说明 [SecPathA] quit 退出当前接口视图 [SecPathA] interface GigabitEthernet0/1 进入 GigabitEthernet0/1 接口 ip address 配置 GigabitEthernet0/1 接口的 IP 地址 [SecPathA] quit 退出当前接口视图 [SecPathA] firewall zone trust 进入 trust 安全域 [SecPathA-zone-trust] add interface GigabitEthernet0/1 添加 GigabitEthernet0/1 接口到 trust 安全域 [SecPathA-zone-trust] quit 退出当前安全域视图 [SecPathA] firewall zone untrust 进入 untrust 安全域 [SecPathA-zone-untrust] add interface GigabitEthernet0/0 添加 GigabitEthernet0/0 接口到 trust 安全域 [SecPathA-zone-untrust] quit 退出当前安全域视图 [SecPathA] ip route-static 添加到对端局域网的静态路由 3. 配置防火墙 SecPathB 当前视图配置命令简单说明 [SecPathB] firewall packet-filter default permit 防火墙包过滤默认改为允许 [SecPathB] acl number 2000 创建一个基本访问控制列表 [SecPathB -acl-basic-2000] rule permit 在基本访问控制列表视图下, 配置 ACL 规则 [SecPathB -acl-basic-2000] quit 退出基本访问控制列表视图 [SecPathB] interface GigabitEthernet0/0 进入 GigabitEthernet0/0 接口 ip address nat outbound 2000 quit 配置 GigabitEthernet0/0 接口的 IP 地址配置访问控制列表和接口地址关联退出当前接口视图 [SecPathB] interface GigabitEthernet0/1 进入 GigabitEthernet0/1 接口 [SecPathAinterfaceGigabitEthernet0/1] [SecPathBinterfaceGigabitEthernet0/0] [SecPathBinterfaceGigabitEthernet0/0] [SecPathBinterfaceGigabitEthernet0/0] [SecPathBinterfaceGigabitEthernet0/1] [SecPathBinterfaceGigabitEthernet0/1] ip address quit 配置 GigabitEthernet0/1 接口的 IP 地址退出当前接口视图 [SecPathB] firewall zone trust 进入 trust 安全域

9 当前视图配置命令简单说明 [SecPathB-zone-trust] add interface GigabitEthernet0/1 添加 GigabitEthernet0/1 接口到 trust 安全域 [SecPathB-zone-trust] quit 退出当前安全域视图 [SecPathB] firewall zone untrust 进入 untrust 安全域 [SecPathB-zone-untrust] add interface GigabitEthernet0/0 添加 GigabitEthernet0/0 接口到 trust 安全域 4. 配置防火墙 SecPathC 当前视图配置命令简单说明 [SecPathC] ike local-name SecPathC 配置本端设备的名称 [SecPathC] [SecPathC] firewall packet-filter default permit ike peer peer 防火墙包过滤默认改为允许配置一个 IKE 对等体并进入 ike peer 视图 [SecPathC-ike-peer-peer] exchange-mode aggressive 配置 IKE 协商模式为野蛮模式 [SecPathC-ike-peer-peer] pre-shared-key 配置 IKE 阶段协商所使用的身份验证字 [SecPathC-ike-peer-peer] id-type name 配置 IKE 协商过程中使用的 ID 类型 [SecPathC-ike-peer-peer] remote-name SecPathA 配置对端设备的 ID [SecPathC-ike-peer-peer] remote-address 配置对端设备的 IP 地址 [SecPathC-ike-peer-peer] nat traversal 使能 NAT 穿越功能 [SecPathC-ike-peer-peer] quit 退出 ike peer 视图 [SecPathC] ipsec proposal pro 创建安全提议并进入安全提议视图 [SecPathC-ipsec-proposal-pro] encapsulation-mode tunnel 设置安全协议对 IP 报文的封装形式 [SecPathC-ipsec-proposal-pro] transform esp 设置安全提议采用的安全协议 [SecPathC-ipsec-proposal-pro] esp sha1 authentication-algorithm 设置 ESP 协议采用的加密算法 [SecPathC-ipsec-proposal-pro] esp encryption-algorithm 3des 设置 ESP 协议采用的验证算法 [SecPathC-ipsec-proposal-pro] quit 退出安全提议视图 [SecPathC] ipsec policy pol 10 isakmp 用 IKE 创建安全策略, 进入安全策略视图 [SecPathC-ipsec-policy-isakmp-pol-10] security acl 3000 设置安全策略引用的访问控制列表 [SecPathC-ipsec-policy-isakmp-pol-10] ike-peer peer 在安全策略中引用 IKE 对等体 [SecPathC-ipsec-policy-isakmp-pol-10] proposal pro 设置安全策略所引用的安全提议 [SecPathC-ipsec-policy-isakmp-pol-10] quit 退出安全策略视图 [SecPathC] Acl number 3000 创建一个高级访问控制列表

10 当前视图配置命令简单说明 [SecPathC-acl-adv-3000] rule 0 permit ip source destination 在高级访问控制列表视图下, 配置 ACL 规则 [SecPathC-acl-adv-3000] quit 退出高级访问控制列表视图 [SecPathC] interface GigabitEthernet0/0 进入 GigabitEthernet0/0 接口 [SecPathC-interfaceGigabitEthernet0/0] ip address 配置 GigabitEthernet0/0 接口的 IP 地址 [SecPathC-interfaceGigabitEthernet0/0] ipsec policy pol 应用安全策略组 [SecPathC] quit 退出当前接口视图 [SecPathC] interface GigabitEthernet0/1 进入 GigabitEthernet0/1 接口 [SecPathC-interfaceGigabitEthernet0/1] ip address 配置 GigabitEthernet0/1 接口的 IP 地址 [SecPathC] quit 退出当前接口视图 [SecPathC] firewall zone trust 进入 trust 安全域 [SecPathC-zone-trust] add GigabitEthernet0/1 interface 添加 GigabitEthernet0/1 接口到 trust 安全域 [SecPathC-zone-trust] quit 退出当前安全域视图 [SecPathC] firewall zone untrust 进入 untrust 安全域 [SecPathC-zone-untrust] add GigabitEthernet0/0 interface 添加 GigabitEthernet0/0 接口到 trust 安全域 [SecPathC-zone-untrust] quit 退出当前安全域视图 [SecPathC] [SecPathC] ip route-static ip route-static 添加指向对端局域网的静态路由添加静态路由验证结果 1) 查看 SecPathA 与 SecPathC 之间 IKE SA 是否正常建立 [SecPathA] display ike sa connection-id peer flag phase doi RD 1 IPSEC RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT [SecPathA] 2) 检查 NAT 穿越功能是否开启 [SecPathA] display ike sa verbose connection id: 22 transmitting entity: responder

11 local ip: local id type: FQDN local id: SecPathA remote ip: remote id type: FQDN remote id: SecPathC authentication-method: PRE-SHARED-KEY authentication-algorithm: HASH-SHA1 encryption-algorithm: DES-CBC life duration(sec): remaining key duration(sec): exchange-mode: AGGRESSIVE diffie-hellman group: GROUP1 nat traversal: YES [SecPathA] 3) 查看 SecPathA 与 SecPathC 之间的 IPsec SA 是否正常建立 [SecPathA] display ipsec sa =============================== Interface: GigabitEthernet0/0 path MTU: 1500 =============================== IPsec policy name: "pol" sequence number: 10 mode: isakmp Created by: "Encrypt-card" connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: remote address: flow: (54 times matched) sour addr: / port: 0 protocol: IP dest addr: / port: 0 protocol: IP [inbound ESP SAs] spi: (0x898a7f28) proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1 sa remaining key duration (bytes/sec): /3442 max received sequence-number: 24 udp encapsulation used for nat traversal: Y [outbound ESP SAs] spi: (0xb465c326) proposal: ESP-ENCRYPT-3DES ESP-AUTH-SHA1 sa remaining key duration (bytes/sec): /3442 max sent sequence-number: 26 udp encapsulation used for nat traversal: Y [SecPathA] 4) 检查两个局域网之间是否能够通过 IPsec 隧道互通 <SecPathA> ping -c 2 -a PING : 56 data bytes, press CTRL_C to break Reply from : bytes=56 Sequence=1 ttl=255 time=2 ms Reply from : bytes=56 Sequence=2 ttl=255 time=1 ms ping statistics packet(s) transmitted 2 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/1/2 ms <SecPathA> display ipsec statistics the security packet statistics: input/output security packets: 91/92 input/output security bytes: 13192/13296 input/output dropped security packets: 0/58

12 dropped security packet detail: no enough memory: 0 can't find SA: 58 queue is full: 0 authentication is failed: 0 wrong length: 0 replay packet: 0 too long packet: 0 wrong SA: 故障排除配置参数建立 IPsec 安全通道时, 可以打开 IKE 的 Error 调试开关, 帮助我们查找配置问题其命令是 : <H3C> debugging ike error 1. 故障之一 : 非法用户身份信息故障排除 : 用户身份信息是发起 IPsec 通信的用户用来标识自己的数据在实际应用中我们可以通过用户身份标识实现对不同的数据流建立不同的安全通道进行保护目前我们是通过用户的 IP 地址来标识用户可以看到调试信息 : got NOTIFY of type INVALID_ID_INFORMATION 或者 : drop message from A.B.C.D due to notification type INVALID_ID_INFORMATION 检查协商两端接口上配置的安全策略中的 ACL 内容是否相容建议用户将两端的 ACL 配置成互为镜像的 ACL 镜像的含义请参考 IPsec 配置中配置访问控制列表内容 2. 故障之二 : 提议不匹配故障排除 : 可以看到调试信息 : got NOTIFY of type NO_PROPOSAL_CHOSEN 或者 : drop message from A.B.C.D due to notification type NO_PROPOSAL_CHOSEN 协商双方没有可以匹配的提议对于阶段 1, 检查 IKE proposal 是否有与对方匹配的对于阶段 2 协商, 检查双方接口上应用的 IPsec 安全策略的参数是否匹配, 引用的 IPsec 安全提议的协议加密算法和验证算法是否有匹配的 3. 故障之三 : 无法建立安全通道故障排除 : 实际应用中有时会发现在不稳定的网络状态下, 安全通道无法建立或者存在安全通道却无法通信, 而且检查双方的 ACL 的配置正确, 也有匹配的提议这种情况一般是安全通道建立好以后, 有一方的安全网关重启造成的解决办法 : 使用 display ike sa 命令检查双方是否都已建立阶段 1 的 SA 使用 display ipsec sa policy 命令查看接口上的安全策略是否已建立了 IPsec SA

13 根据以上两步的结果查看, 如果有一方存在的 SA 在另一方不存在的情况, 使用 reset ike sa 命令清除错误存在的 SA, 重新发起协商 4. 故障之四 : 初次在接口上应用 IPsec 策略, 收发端可正常加解密数据流 ; 关闭掉 IPsec 功能后, 收发端仍可正常通信 ; 再次应用 IPsec 策略后, 报文不能进行 IPsec 处理, 无法 PING 通对端故障排除 : 此问题一般出现在通信发起端直接在安全策略视图下配置安全策略, 而被连接端通过引用安全策略模板来创建安全策略的情况下当第一次使用 IPsec 的时候, 两端可以互通是正常的但是当第二次不使用 IPsec 功能时, 就会在通信被连接端建立一个快转表项当第三次又使用 IPsec 的时候, 由于这个快转表项的存在, 从而导致报文不能进入 IPsec 处理因此, 当第三次使用 IPsec 之前, 通信两端使用 reset ip fast-forwarding cache 命令清除快速转发缓冲区中的内容, 就可以恢复正常通信了 4 关键命令配置本特性的关键命令有 : ipsec policy( 系统视图 ) ipsec card-proposal ike peer 4.1 ipsec policy( 系统视图 ) 命令 ipsec policy policy-name seq-number [ manual isakmp [ template template-name ] ] undo ipsec policy policy-name [ seq-number ] 视图系统视图参数 policy-name: 安全策略的名称命名规则为 : 长度为 1~15 个字符, 不区分大小写, 字符可以是英文字母或者数字, 不能带减号 - seq-number: 安全策略的顺序号, 取值范围 1~10000, 值越小优先级越高 manual: 指定用手工方式建立安全联盟 isakmp: 指定通过 IKE 协商建立安全联盟 template: 指定采用策略模板动态创建安全联盟 template-name : 指定被引用的 template 的名称此 policy-name 将引用 template-name

14 template-name 是一个策略模板在此之前, 名为 template-name 的安全策略模板必须已经创建描述在系统视图下,ipsec policy 命令用来创建或修改一条安全策略, 并进入安全策略 (ipsec policy) 视图,undo ipsec policy 命令用来删除安全策略使用 undo ipsec policy policy-name 命令, 用来删除名称为 policy-name 的安全策略组 ; 使用 undo ipsec policy policy-name seqnumber 命令, 用来删除名称为 policy-name, 顺序号为 seq-number 的一条安全策略缺省情况下, 没有安全策略存在使用此命令创建安全策略时, 必须指定协商方式 ; 在安全策略创建后, 不能修改协商方式, 如果要修改安全策略的协商方式, 只能先删除这条安全策略, 在重新创建安全策略时, 指定新的协商方式具有相同名字的安全策略一起组成一个安全策略组由名字和顺序号一起确定一条唯一的安全策略在一个安全策略组中最大可以设置 500 条安全策略在一个安全策略组中, 顺序号 seqnumber 越小的安全策略, 优先级越高在一个接口上应用一个安全策略组, 实际上是同时应用了安全策略组中所有的安全策略, 从而能够对不同的数据流采用不同的安全联盟进行保护 ipsec policy policy-name seq-number isakmp template template-name 命令创建一个安全策略, 该策略由 IKE 协商建立安全联盟, 而策略的参数根据 template-name 指定的策略模板来确定在配置此命令前, 必须已经使用命令 ipsec policy-template 创建策略模板在协商过程中进行策略匹配时, 策略模板中定义的参数必须相符, 而策略模板中没有定义的参数由发起方来决定, 响应方接受发起方的建议策略模板中必须定义的参数是提议 (proposal), 其它参数为可选配置注意 :IKE 不会用带有 template 参数的策略去发起协商但可以用带有 template 参数的策略响应对方发起的协商相关配置可参考命令 ipsec policy( 接口视图 ),security acl,tunnel local,tunnel remote,sa duration,proposal,display ipsec policy,ipsec policy-template,ike-peer 举例 # 设置名称为 policy1, 顺序号为 100, 采用 ISAKMP 方式协商的安全策略 [H3C] ipsec policy policy1 100 isakmp [H3C-ipsec-policy-isakmp-policy1-100] 4.2 ipsec proposal 命令 ipsec proposal proposal-name undo ipsec proposal proposal-name

15 视图系统视图参数 proposal-name: 指定 IPsec 提议的名字命名规则为 : 长度为 1~15 个字符, 不区分大小写描述 ipsec proposal proposal-name 命令用来创建或修改一个名称为 proposal-name 的 IPsec 提议, 并进入 IPsec 提议视图,undo ipsec proposal proposal-name 命令用来删除一个名称为 proposal-name 的 IPsec 提议缺省情况下, 系统没有任何提议 IPsec 提议 (Proposal) 是用于实施 IPsec 安全时所采取的一系列的措施, 提议包含了所采用的安全协议加密和认证算法报文封装形式在配置安全策略时, 需要通过引用提议来确定在安全隧道的两端所采用的安全协议加密和认证算法和报文封装形式在使用 ipsec proposal 命令创建一个新的 IPsec 安全提议后, 其缺省参数为采用 ESP 协议 DES 加密算法 MD5 认证算法相关配置可参考命令 ah authentication-algorithm, esp encryption-algorithm, esp authentication-algorithm, encapsulation-mode, proposal, display ipsec proposal, transform 举例 # 创建名为 newprop1 的提议 [H3C] ipsec proposal newprop1 4.3 ike peer 命令 ike peer peer-name undo ike peer peer-name 视图系统视图参数 peer-name:ike 对等体名, 最多 15 个字符

16 描述 ike peer 命令用于配置一个 IKE 对等体, 并进入 ike peer 视图,undo ike peer 命令用于删除一个 IKE 对等体举例 # 配置 IKE 对等体为 new_peer, 并进入 ike peer 视图 [H3C] ike peer new_peer [H3C-ike-peer-new_peer] 5 相关资料 5.1 相关协议和标准表 1 相关协议与标准标准号标题 RFC2401 RFC2402 RFC2403 RFC2404 RFC2405 RFC2406 RFC2407 RFC2408 RFC2409 RFC2410 RFC2411 RFC2412 Security Architecture for the Internet Protocol IP Authentication Header The Use of HMAC-MD5-96 within ESP and AH The Use of HMAC-SHA-1-96 within ESP and AH The ESP DES-CBC Cipher Algorithm With Explicit IV IP Encapsulating Security Payload (ESP) The Internet IP Security Domain of Interpretation for ISAKMP Internet Security Association and Key Management Protocol (ISAKMP) The Internet Key Exchange (IKE) The NULL Encryption Algorithm and Its Use With IPsec IP Security Document Roadmap The OAKLEY Key Determination Protocol 5.2 其它相关资料 H3C SecPath 系列安全产品操作手册 H3C SecPath 系列安全产品命令手册

Quidway S3526系列交换机R0028P01版本发布

Quidway S3526系列交换机R0028P01版本发布 MSR V7 系列路由器和 MSR V5 系列路由器野蛮式对接 L2TP over IPSEC 典型配置一组网需求 : 要求 MSR3020 和 MSR3620 之间路由可达,PCA 使用 MSR3620 上的 loopback 0 口代替,PCB 由 MSR3020 上的 loopback 0 口代替, 并且有如下要求 : 1 双方使用野蛮模式建立 IPsec 隧道 ; 2 双方使用预共享密钥的方式建立