IPSEC穿越NAT
典型配置指导
Huawei-3Com Technologies Co., Ltd.
华为3Com技术有限公司
IPSEC穿越NAT特性典型配置指导目录
目录
1 特性介绍 (2)
2 特性的优点 (2)
3 使用指南 (2)
3.1 使用场合 (2)
3.2 配置步骤 (2)
3.2.1 配置IKE安全提议 (3)
3.2.2 配置IKE对等体 (4)
3.2.3 配置IPSEC访问控制列表 (4)
3.2.4 配置IPSEC安全提议 (5)
3.2.5 配置IPSEC安全策略 (5)
3.2.6 应用IPSEC安全策略 (6)
3.3 注意事项 (6)
3.4 举例:隧道模式下的IPSEC穿越NAT (6)
3.4.1 组网需求 (6)
3.4.2 组网图 (7)
3.4.3 硬件连接图 (7)
3.4.4 配置 (7)
3.4.5 验证结果 (11)
3.4.6 故障排除 (11)
4 关键命令 (12)
4.1 nat traversal (12)
5 相关资料 (13)
5.1 相关协议和标准 (13)
5.2 其他相关资料 (13)
IPSEC 穿越NAT 特性典型配置指导 正文
关键词:IPSEC ,NAT
摘 要:本文简单描述IPSEC 及其穿越NAT 特性的特点,详细描述了路由器上配置IPSEC 穿越
NAT 的基本方法和详细步骤,给出了一种IPSEC 穿越NAT 方法的配置案例。
缩略语:
第1页
1 特性介绍
IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互
操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证
数据报在网络上传输时的私有性、完整性、真实性和防重放。
IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。
如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。
2 特性的优点
IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极
大拓展了IPSEC VPN的应用范围。
3 使用指南
3.1 使用场合
用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用
IPSEC穿越NAT特性。
要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持
此特性。
路由器VRP版本要求是VRP 3.3 Release 0006及以上。
3.2 配置步骤
IPSec协议有两种操作模式:传输模式和隧道模式。在传输模式下,AH或ESP被插入到IP头
之后但在所有传输层协议之前,或所有其他IPSec协议之前。在隧道模式下,AH或ESP插在原始
IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可
第2页
以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。因此,到
底使用哪种模式需要在安全性和性能间进行权衡。
在传输模式和隧道模式下的IPSEC,均支持穿越NAT特性。该特性删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之后的IPSec数据传输中使用UDP封装(即将IPSec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPSec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPSec报文将不作修改),从而保证了IPSec报文的完整性(IPSec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。
配置IPSEC穿越NAT,需要配置以下内容:
●IKE 安全提议和IKE 对等体,为IPSec 提供自动协商交换密钥和建立安全联盟的服
务,此外,IKE 对等体中设置的NAT 穿越功能开关可以保证协商及数据报文成功穿过NAT 网关
●配置IPSEC 访问控制列表,来判断报文是否进行安全保护
●配置IPSEC 安全提议,为安全联盟提供各种安全参数
●配置IPSEC 安全策略,来决定何种报文采用何种安全提议
●在接口上应用IPSEC 安全策略
3.2.1 配置IKE安全提议
IKE提议定义了一套属性数据来描述IKE协商怎样进行安全通信。配置IKE提议包括创建IKE提议、选择加密算法、选择验证方法、选择验证算法、选择Diffie-Hellman组标识和设置安全联盟生存周期。
用户可以按照优先级创建多条IKE提议,但是协商双方必须至少有一条匹配的IKE提议才能协商成功。协商时将从优先级最高的提议开始匹配一条双方都相同的提议,匹配的原则是:协商双方具有相同的加密算法、验证算法、验证方法和DH组标识。
执行ike proposal命令会进入IKE提议视图。在IKE提议视图下可以配置加密算法、验证算法、组标识、生存周期和验证方法。系统提供一条缺省的IKE提议,具有最低的优先级。
配置IKE提议,路由器上需要做如下配置:
第3页
1) 创建IKE安全提议。
2) 选择加密算法。
3) 选择验证方法。
4) 选择验证算法。
5) 选择Diffie-Hellman组标识。
6) 配置ISAKMP SA生存周期。
说明:
在日常使用时通常省略IKE 安全提议的设置,直接使用缺省提议完成协商。
3.2.2 配置IKE对等体
IKE对等体是成功实现第一阶段协商的关键配置。在对等体中,需要设置协商模式,其中野蛮模式支持NAT穿越,而主模式不支持;需要配置IKE协商所使用的身份认证字,以保证双方协商的合法性;无论使用地址协商(id-type ip)还是NAME协商(id-type name),IPSEC SA的发起方必须配置对端安全网关设备的IP地址,当发起协商时,发起方会发送自己的IP地址给对端来标识自己的身份。若使用NAME协商方式,则必须指定对端的NAME,且需要保证对方指定的IKE NAME与之相同,否则将代之以路由器名,这很可能发生校验错误而引起IKE协商失败;根据穿越NAT的需要,可选择配置NAT穿越功能。此外,还可以配置本端安全网关ID的类型、指定对端安全网关设备的ID、配置子网类型等。
配置IKE对等体,路由器上需要做如下配置:
1) 创建IPSEC对等体。
2) 配置IKE协商模式(IPSEC穿越NAT,必须配置为野蛮模式)。
3) 配置身份验证字(必须)。
4) 配置本端安全网关ID的类型。
5) 指定对端安全网关设备的ID。
6) 配置安全网关的IP地址。
7) 配置NAT穿越功能(必须)。
8) 配置IKE对等体的子网类型。
说明:
以上配置都在IKE PEER 视图中完成。
3.2.3 配置IPSEC访问控制列表
用于IPSec的访问控制列表的作用不同于在防火墙中所介绍的访问控制列表。一般的访问控制
列表是用来决定一个接口上哪些数据可通过,哪些要被拒绝;而IPSec是根据访问控制列表中的规
则来确定哪些报文需要安全保护,哪些报文不需要安全保护,故用于IPSec的访问控制列表可称为
加密访问控制列表。加密访问控制列表匹配(permit)的报文将被保护,加密访问控制列表拒绝
第4页
(deny)的报文将不被保护。加密访问控制列表既可用于加密入口数据流,也可用于加密出口数
据流。
配置IPSEC访问控制列表,路由器上需要做如下配置:
1) 创建IPSEC访问控制列表。
2) 配置相应的匹配规则(rule)。
说明:
IPSec 对访问控制列表(ACL)中permit 的数据流进行保护,因此建议用户精确地配置ACL,只对确实需要IPSec 保护的数据流配置permit,避免盲目地使用关键字any。建议用户将本端和对端的ACL 配置成互为镜像
3.2.4 配置IPSEC安全提议
安全提议保存IPSec需要使用的特定安全性协议以及加密/验证算法,为IPSec协商安全联盟提
供各种安全参数。为了能够成功的协商IPSec的安全联盟,两端必须使用相同的安全提议。
配置IPSEC安全提议,路由器上需要做如下配置:
1) 定义安全提议。
2) 指定加密卡提议使用的加密卡(仅用于加密卡)。
3) 选择安全协议。
4) 选择安全算法。
5) 设置安全协议对IP报文的封装模式。
说明:
必须首先通过transform 命令选择了相应的安全协议后,该安全协议所需的安全算法才可配置。例如,如果使用transform 命令选择了esp,那么只有ESP 所需的安全算法才可配置,而AH 所需的安全算法则不能配置。
3.2.5 配置IPSEC安全策略
安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE 协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道
两个端点的IP地址;后者则由IKE自动协商生成这些参数。IPSEC穿越NAT必须使用IKE自动协商
方式配置安全策略。
配置IKE自动协商方式的IPSEC安全策略,路由器上需要做如下配置:
第5页
1) 用IKE创建安全策略。
2) 在安全策略中引用安全提议。
3) 在安全策略中引用访问控制列表。
4) 在安全策略中引用IKE对等体。
5) 配置安全联盟生存周期(可选)。
6) 配置协商时使用的PFS特性。
说明:
必须首先通过transform 命令选择了相应的安全协议后,该安全协议所需的安全算法才可配置。例如,如果使用transform 命令选择了esp,那么只有ESP 所需的安全算法才可配置,而AH 所需的安全算法则不能配置。
3.2.6 应用IPSEC安全策略
为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的
或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密路由器配合
进行报文的加密处理。当安全策略组被从接口上删除后,此接口便不再具有IPSec的安全保护功能。
应用IPSEC安全策略,路由器上需要做如下配置:
●进入相应的接口视图
●使能IPSEC 安全策略
3.3 注意事项
当配置IPSEC穿越NAT时,必须注意以下事项:
1) IKE对等体中必须指定协商模式为野蛮模式。
2) IPSEC私网侧必须指定IPSEC公网侧路由器的IP地址。
3) IPSEC私网侧必须将默认路由指定到NAT网关。
4) 对隧道模式封装的IPSEC,公网侧必须指定内网路由;对传输模式封装的IPSEC,则不
必指定回到内网的路由。
3.4 举例:隧道模式下的IPSEC穿越NAT
3.4.1 组网需求
配置Quidway AR2831路由器3台,分别配置为IPSEC私网侧、NAT网关和IPSEC公网侧。
本例使用一个通用组网,要求IPSEC公网侧与NAT网关路由可通,IPSEC私网侧将默认路由
指定到NAT网关。
第6页
3.4.2 组网图
图 1 IPSEC穿越NAT连接图
3.4.3 硬件连接图
3.4.4 配置
1. 使用的版本
[Quidway]vrbd
Routing Platform Software
Version AR46-80 8040V300R003B02D014 (COMWAREV300R002B13D004), RELEASE SOFTWARE Compiled Jul 18 2005 16:06:30 by Houming
[Quidway]display version
Copyright Notice:
All rights reserved (Jul 18 2005).
Without the owner's prior written consent, no decompiling nor
reverse-engineering shall be allowed.
Huawei-3Com Versatile Routing Platform Software
VRP(R) software, Version 3.40, Release RT-0012
Copyright (c) 2003-2005 Hangzhou Huawei-3Com Tech. Co.,Ltd. All rights reserved
.
Copyright (c) 2000-2003 Huawei Tech. Co.,Ltd. All rights reserved. Quidway
AR46-80 uptime is 0 week, 0 day, 0 hour, 1 minute
Rpu's version information:
Router AR46-80 with 1 PowerPC 750 Processor
256M bytes SDRAM
32M bytes FLASH
512K bytes NVRAM
Pcb Version : RTM1RPUA.2
RPE Logic Version : RPE3.4
第7页
SBG Logic Version : 012
Small BootROM Version : 3.06
Big BootROM Version : 5.12
2. 配置IPSEC私网侧路由器AR2831_1
第8页
3. 配置NAT网关路由器AR2831_2
4. 配置IPSEC公网侧路由器AR2831_3
第9页
第10页
3.4.5 验证结果
如果连接正常,IPSEC私网侧上和IPSEC公网侧应该显示IKE两个阶段均建立成功,私网侧主
机向公网侧主机可以PING通。
在IPSEC私网侧路由器命令行界面上执行display ike sa命令,当看到IPSEC两个阶段均已建
立的时候,可以认为安全联的建立成功。
[Quidway]dis ike sa
connection-id peer flag phase doi
----------------------------------------------------------
2100.100.100.17RD|ST1IPSEC
3100.100.100.17RD|ST2IPSEC
3.4.6 故障排除
对于连接不上的情况,首先应该考虑IPSEC私网侧路由器是否可以通过NAT与IPSEC公网侧
路由器连通。可用ping命令测试。如果ping不通,则说明网络不通,需要首先解决网络连通性问题。网络连通性问题可能性很多,此处不做描述。
如果能够ping通,则说明网络是连通的,请注意下面情况。
对于安全联盟无法建立的情况,有以下几种可能:
●触发建立IPSEC 隧道失败,执行“display ike sa”,没有任何显示。
[Quidway]dis ike sa
connection-id peer flag phase doi
-------------------------------------------------------------------------[Quidway]
问题原因:一般来说此种情况出现的原因很多,大部分是由于配置错误造成的。可检查是否已在接口上应用IPSEC 安全策略;检查安全访问ACL 的是否有报文匹配;检查NAT 转换是否起作用;私网侧路由器未指定默认路由到NAT 网关等。
解决方法:补充配置;修改规则,使ACL 能正确匹配触发报文;
●触发建立IPSEC 隧道失败,执行“display ike sa”,第一阶段建立失败。
[Quidway]dis ike sa
connection-id peer flag phase doi
----------------------------------------------------------------------
3
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
[Quidway]
问题原因:ACL 规则非镜像、未使能NAT 穿越功能、IPSEC 公网侧路由器未指定回内网的路由、未指定交换模式为野蛮模式、指定对端地址错误、IPSEC 私网侧路由器未在IKE 对等体中指定对端的IP 地址、身份验证字不匹配或未配置等。解决方法:请参照以上原因分别对照修改。
●触发建立IPSEC 隧道失败,执行“display ike sa”,第二阶段建立失败。
[Quidway]dis ike sa
connection-id peer flag phase doi
---------------------------------------------------------------------------
6
5100.100.100.17RD|ST1IPSEC
第11页
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
[Quidway] 问题原因:封装模式不一致、加密算法不一致、验证算法不一致、DH交换方式不一致、本端失败的SA未清除等。
解决方法:请参照以上原因分别对照检查。
可使用调试命令查看IPSEC安全联盟协商建立的过程信息,下面附有IPSEC协商过程详细的
协商信息。
*0.1237692Quidway IPSEC/8/DBG:IPSec drop packet!Notify IKE to negotiate SA for
IPsec policy:map1-10
*0.1238155Quidway IPSEC/8/DBG:Create SA.New ESP(RFC2406)
*0.1238220Quidway IPSEC/8/DBG:Enc Alg:DES Auth Alg:HMAC-MD5-96
*0.1238300Quidway IPSEC/8/DBG:Src:17.17.17.12Dst:100.100.1.17 SPI:907416965(0x36161585)
*0.1238400Quidway IPSEC/8/DBG:Create SA.New ESP(RFC2406)
*0.1238470Quidway IPSEC/8/DBG:Enc Alg:DES Auth Alg:HMAC-MD5-96
*0.1238550Quidway IPSEC/8/DBG:Src:100.100.100.17Dst:17.17.17.12 SPI:2343165679(0x8ba9deef
)
*0.1238650Quidway IPSEC/8/DBG:Deleting SA...
*0.1238710Quidway IPSEC/8/DBG:Src:100.100.100.17Dst:17.17.17.12 SPI:2343165679(0x8ba9deef
)
*0.1238810Quidway IPSEC/8/DBG:Done.
*0.1238860Quidway IPSEC/8/DBG:Putting TDB511bcc4into trash.
上述调试信息,描述了整个IPSEC SA创建的过程,明显可以分为协商SA参数、使用SA更新SDAB两个过程。
4 关键命令
4.1 nat traversal
【命令】
nat traversal
undo nat traversal
【视图】
ike-peer视图
【参数】
无
【描述】
第12页
nat traversal用于配置IPSec/IKE的NAT穿越功能,undo nat traversal用来取消IPSec/IKE的NAT穿越功能。
此命令适用于IPSec/IKE组建的VPN隧道中加入了NAT网关的情况。为了节省IP地址空间,ISP
经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,
此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。
【举例】
[Router]ike peer new_peer
[Router-ike-peer-new_peer]nat traversal
5 相关资料
5.1 相关协议和标准
表1 相关协议与标
准
5.2 其他相关资料
《3116A023-********-VRP3.4 操作手册(V3.42)》
《3119A022-********-VRP3.4 命令手册(V3.42)》
第13页
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
私网用户通过NAPT方式访问Internet (备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。) 本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求 如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。 2.配置安全策略,允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由,防止产生路由环路。
操作步骤 1.配置USG9000的接口IP地址,并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。
IPSec协议 IPSec协议 1 IP Sec协议概述 2 IPSec VPN工作原理 4.2.1 隧道建立方式 2.2 数据保护方式 2.3 IPSEC 协议体系结构 3 IP Sec的优点 1 IP Sec协议概述 IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF 正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 ①保证Internet上各分支办公点的安全连接:公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托Internet即可以获得同样的效果。 ②保证Internet上远程访问的安全:在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:IPSec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,IPSec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web 访问在内多种应用程序的安全。 IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。 IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。 如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。 IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为,关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.doczj.com/doc/45107099.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
Ipsec VPN调研总结 一、Ipsec原理 Ipsec vpn指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 Ipsec是一个协议集,包括AH协议、ESP协议、密钥管理协议(IKE协议)和用于网络验证及加密的一些算法。 1、IPSec支持的两种封装模式 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。 隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。
2、数据包结构 ◆传输模式:不改变原有的IP包头,通常用于主机与主机之间。 ◆隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
3、场景应用图
4、网关到网关交互图
5、Ipsec体系结构: 6、ipsec中安全算法 ●源认证 用于对对等体的身份确认,具体方法包含:PSK(pre-share key);PK3(public key infrustructure公钥基础设施)数字证书,RSA等,后两种为非对称加密算法。 ●数据加密 对传输的数据进行加密,确保数据私密性,具体对称加密算法包含:des(data encrypt standard)共有2种密钥长度40bits,56bits,3des密钥长度为56bits的3倍;aes(advanced encrypted standard)AES 加密共有三种形式,分为AES 128(128-bit 长度加密),AES 192(192-bit 长度加密)以及AES 256(256-bit 长度加密)。 ●完整性校验 对接收的数据进行检查,确保数据没有被篡改,主要使用hash算法(HMAC hashed message authentication code),包含MD5(message digest输出128bit校验结 果);SHA-1(secure hash algorithm 1)输出160bits校验结果。 ●密钥交换算法
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00 贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。“//”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为A R系列路由器。 ------------------------------------------传说中的分隔线------------------------------------------ # sysname Eudemon//设置主机名 # super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过 # 青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!
第九章IPSec及IKE原理 9.1 IPSec概述 IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。 IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议。AH可提供数据源验证和数据完整性校验功能;ESP除可提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。 IPSec有隧道(tunnel)和传送(transport)两种工作方式。在隧道方式中,用户的整个IP 数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。 9.2 IPSec的组成 IPSec包括AH(协议号51)和ESP(协议号50)两个协议: AH(Authentication Header)是报文验证头协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,可选择的散列算法有MD5(Message Digest ),SHA1(Secure Hash Algorithm)等。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了hash算法来对数据包进行保护。AH没有对用户数据进行加密。 ESP(Encapsulating Security Payload)是报文安全封装协议,ESP将需要保护的用户数据进行加密后再封装到IP包中,证数据的完整性、真实性和私有性。可选择的加密算法有DES,3DES等。 9.3 IPSec的安全特点 数据机密性(Confidentiality):IPSec发送方在通过网络传输包前对包进行加密。 数据完整性(Data Integrity):IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
窗体顶端 NAT 【Router】 华为路由器单臂路由配置实例 组网描述: PC---------------------3050C-------------------------AR28-31-------------------------INTERNET 组网实现: 3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公
网,所有的PC机都通过AR28-31分配IP地址和DNS [AR28-31]dis cu # sysname Quidway # FTP server enable # nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池# radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp local-user huawei telnet用户,用于远程管理 password simple huawei service-type telnet level 3 # dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 100.100.100.100 # dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 100.100.100.100 # dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 dns-list 100.100.100.100 # dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 dns-list 100.100.100.100 # interface Aux0 async mode flow # interface Ethernet1/0用于与交换机的管理IP互通 ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound # interface Ethernet1/0.1终结交换机上的VLAN10 tcp mss 1024 ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10 # interface Ethernet1/0.2终结交换机上的VLAN20
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
华为NAT配置案例
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
竭诚为您提供优质文档/双击可除 ipsec协议的应用 篇一:ipsec协议 ipsec协议 ipsec协议 1ipsec协议概述 2ipsecVpn工作原理 4.2.1隧道建立方式 2.2数据保护方式 2.3ipsec协议体系结构 3ipsec的优点 1ipsec协议概述 ipsec是一系列基于ip网络(包括intranet、extranet 和internet)的,由ietF正式定制的开放性ip安全标准,是虚拟专网的基础,已经相当成熟可靠。ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。 ①保证internet上各分支办公点的安全连接:公司可以借助internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依
托internet即可以获得同样的效果。 ②保证internet上远程访问的安全:在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:ipsec 通过认证和钥匙交换机制确保企业与其它组织的信息往来 的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,ipsec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证,正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。 ipsec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装ipsec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行ipsec,应用程序一类的上层软件也不会被影响。 ipsec对终端用户来说是透明的,因此不(ipsec协议的应用)必对用户进行安全机制的培训。如果需要的话,ipsec