IPsec实验报告
一、实验背景
二、实验要求
1.两个分部访问与总部的业务网段都要实用IPsec保护;
2.任何业务网段在访问公网时,都要经过NAT转化,但不能影响业务网段之间的IPsec流量;
3.如果分部业务网段之间访问也要使用IPsec保护,但分部之间不能构建IPsec对等体关系。
三、实验相关配置
1、首先配置好基本信息及接口配置
2、在RT1上配置ip route 0.0.0.0 0.0.0.0 172.1.1.1
在RT2上配置ip route 0.0.0.0 0.0.0.0 172.1.2.1
在RT3上配置ip route 0.0.0.0 0.0.0.0 172.1.3.1
然后测试RT1,RT2,RT3间的连通性
实验要求1两个分部访问与总部的业务网段都要实用IPsec保护:
3、RT1配置:
crypto isakmppolicy 10 //配置阶段1的策略
encr 3des //3DES加密算法
hash md5 //MD5 hash算法
authentication pre-share //pre-share身份认证方法
group 2 //DH组号为2
crypto isakmp keycisco address 172.1.2.2
crypto isakmp keycisco address 172.1.3.2 !
//配置Ike密码为cisco,对端分别为172.1.2.2和172.1.3.2!
crypto ipsectransform-set test esp-3des esp-md5-hmac! //配置传输集名为test,指定阶段2的参数
crypto map mymap 10 ipsec-isakmp //阶段2的配置,配置加密图,名为
mymap,序列号为10
set peer172.1.2.2 //设置对等体172.1.2.2
set transform-set test //设置传输集为test,<阶段1的传输集>
match address 101 //匹配感兴趣流量acl列表101 crypto
map mymap 20 ipsec-isakmp //配置加密图
mymap,序列号为20
set peer172.1.3.2
settransform-set test
match address 102
RT2配置:crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keycisco address 172.1.1.2
crypto ipsectransform-set test esp-3des esp-md5-hmac
crypto map mymap 10 ipsec-isakmp
set peer 172.1.1.2
set transform-set test
match address 100
RT3配置:crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 172.1.1.2
crypto ipsectransform-set test esp-3des esp-md5-hmac
crypto map mymap10 ipsec-isakmp
set peer 172.1.1.2
set transform-set test
match address 100
连通性调测:<总部与分部的连通性>
RT1#ping192.168.36.1 source 192.168.20.1 Type escape sequenceto
abort.Sending 5,100-byte ICMP Echos to 192.168.36.1, timeout is 2 seconds:Packet sent with asource address of 192.168.20.1!!!!!Success rate is100 percent (5/5), round-trip min/avg/max = 76/130/188 ms
实验要求2任何业务网段在访问公网时,都要经过NAT转化,但不能影响业务网段之间的IPsec流量:
RT1配置:
access-list 111 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 access-list 111 permit ip 192.168.0.0 0.0.255.255 any
int E1/0
ip nat inside
int E0/0
ip nat outside
exit
ip nat inside source list 111 int e0/0 over
RT2配置:
Access-list 111 deny ip 192.168.36.0 0.0.0.255 192.168.20.0 0.0.0.255 Access-list 111 permit ip 192.168.0.0 0.0.255.255 any
int E1/0
ip nat inside
int E0/0
ip nat outside
exit
ip nat inside source list 111 int e0/0 over
RT3配置:
Access-list 111 deny ip 192.168.44.0 0.0.0.255 192.168.20.0 0.0.0.255 Access-list 111 permit ip 192.168.0.0 0.0.255.255 any
int E1/0
ip nat inside
int E0/0
ip nat outside
exit
ip nat inside source list 111 int e0/0 over
连通性测试:
RT1#ping192.168.36.1 source 192.168.20.1 Type escape sequenceto
abort.Sending 5,100-byte ICMP Echos to 192.168.36.1, timeout is 2 seconds:Packet sent with asource address of 192.168.20.1!!!!!Success
rate is100 percent (5/5), round-trip min/avg/max = 76/130/188 ms
RT1#ping172.1.1.2 source 192.168.20.1 Type escape sequenceto
abort.Sending 5,100-byte ICMP Echos to 172.1.1.2, timeout is 2 seconds:Packet sent with asource address of 192.168.20.1!!!!!Success
rate is100 percent (5/5), round-trip min/avg/max = 76/130/188 ms
RT2#ping172.1.2.2 source 192.168.36.1 Type escape sequenceto
abort.Sending 5,100-byte ICMP Echos to 172.1.2.2, timeout is 2 seconds:Packet sent with asource address of 192.168.36.1!!!!!Success rate is100 percent (5/5), round-trip min/avg/max = 76/130/188 ms
RT3#ping172.1.3.2 source 192.168.44.1 Type escape sequenceto
abort.Sending 5,100-byte ICMP Echos to 172.1.3.2, timeout is 2 seconds:Packet sent with asource address of 192.168.44.1!!!!!Success rate is100 percent (5/5), round-trip min/avg/max = 76/130/188 ms
实验要求3分部之间不建立对等体的情况下,实现分部之间内网通信,数据流经
过总部。 R1、R2和R3的阶段1和阶段2配置不用变,只需修改感兴趣流量:
R1感兴趣流量:
access-list 101 permit ip 192.168.0.0 0.0.255.255 192.168.36.0 0.0.0.255 access-list 102 permit ip 192.168.0.0 0.0.255.255 192.168.44.0 0.0.0.255 R2感兴趣流量:
access-list 100 permit ip 192.168.36.0 0.0.0.255 192.168.0.0 0.0.255.255 R3感兴趣流量:
access-list 100 permit ip 192.168.44.0 0.0.0.255 192.168.0.0 0.0.255.255 连通信测试:
RT2#ping 192.168.44.1 source 192.168.36.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to192.168.44.1, timeout is 2 seconds:Packet sent with a source address of192.168.36.1.!!!!Success
rate is 80 percent (4/5),round-trip min/avg/max = 140/198/260 ms
Debug分析
*Mar 1 00:53:48.235: ISA KMP (0:0): received packet from 172.1.2.2 dport 500 sport 500 Global (N) NEW SA //收到一个SA报文,端口为500的报文,创建一个新的SA
*Mar 1 00:53:48.239: ISA KMP: Created a peer struct for 172.1.2.2, peer port 500
//创建一个对等体为172.1.2.2,端口为500的SA
*Mar 1 00:53:48.243: ISA KMP: New peer created peer = 0x646941BC peer_handle = 0x80000004
*Mar 1 00:53:48.247: ISA KMP: Locking peer struct 0x646941BC, IKE refcount 1 for
crypto_isakmp_process_block
*Mar 1 00:53:48.247: ISA KMP: local port 500, remote port 500
*Mar 1 00:53:48.251: insert sa successfully sa = 643C5C74
*Mar 1 00:53:48.255: ISA KMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH *Mar 1 00:53:48.259: ISA KMP:(0:0:N/A:0):Old State = IKE_REA DY New State = IKE_R_MM1 *Mar 1 00:53:48.267: ISA KMP:(0:0:N/A:0): processing SA payload. message ID = 0
*Mar 1 00:53:48.271: ISA KMP:(0:0:N/A:0): processing vendor id payload
*Mar 1 00:53:48.275: ISA KMP:(0:0:N/A:0): vendor ID seems Unity/DPD but majo r 245 mismatch *Mar 1 00:53:48.279: ISA KMP (0:0): vendor ID is NAT-T v7
*Mar 1 0
RT1#0:53:48.279: ISA KMP:(0:0:N/A:0): processing vendor id payload
*Mar 1 00:53:48.283: ISA KMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157 mismatch
*Mar 1 00:53:48.287: ISA KMP:(0:0:N/A:0): vendor ID is NAT-T v3
*Mar 1 00:53:48.291: ISA KMP:(0:0:N/A:0): processing vendor id payload
*Mar 1 00:53:48.291: ISA KMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123 mismatch
*Mar 1 00:53:48.295: ISA KMP:(0:0:N/A:0): vendor ID is NAT-T v2
*Mar 1 00:53:48.299: ISA KMP:(0:0:N/A:0):found peer pre-shared key matching 172.1.2.2
//找到对等体172.1.2.2的预共享密钥
*Mar 1 00:53:48.303: ISA KMP:(0:0:N/A:0): local preshared key found
*Mar 1 00:53:48.303: ISA KMP : Scanning profiles for xauth ...
*Mar 1 00:53:48.307: ISA KMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 10 policy *Mar 1 00:53:48.311: ISA KMP: encryption 3DES-CBC //3DES加密算法
*Mar 1 00:53:48.311: ISA KMP: hash MD5 //MD5 hash算法
*Mar 1 00:53:48.315: ISA KMP: default group 2 //默认DH组为2
*Mar 1 00:53:48.315: ISA KMP: auth pre-share //认证方法为预共享
*Mar 1 00:53:48.315: ISA KMP:
RT1# life type in seconds
*Mar 1 00:53:48.319: ISA KMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*Mar 1 00:53:48.323: ISA KMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
//属性被接受,下一个负载为0
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): processing vendor id payload
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 245 mismatch *Mar 1 00:53:48.395: ISA KMP (0:134217729): vendor ID is NAT-T v7
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): processing vendor id payload
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): vendor ID see ms Unity/DPD but major 157 mismatch *Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): vendor ID is NAT-T v3
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): processing vendor id payload
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 123 mismat ch *Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): vendor ID is NAT-T v2
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1):Input = IKE_MESG_INTERNA L,
IKE_PROCESS_MAIN_MODE //IKE进程运行主模式
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1):
RT1#Old State = IKE_R_MM1 New State = IKE_R_MM1
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): constructed NAT-T vendor-07 ID
*Mar 1 00:53:48.395: ISA KMP:(0:1:SW:1): sending packet to 172.1.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP //主模式下发送SA建立报文,端口号为500
*Mar 1 00:53:48.399: ISA KMP:(0:1:SW:1):Input = IKE_MESG_INTERNA L,
IKE_PROCESS_COMPLETE //IKE进程完成
*Mar 1 00:53:48.399: ISA KMP:(0:1:SW:1):Old State = IKE_R_MM1 New State = IKE_R_MM2
*Mar 1 00:53:48.707: ISA KMP (0:134217729): received packet from 172.1.2.2 dport 500 sport 500 Global (R) MM_SA_SETUP //接收到一个SA建立报文,端口号为500
*Mar 1 00:53:48.707: ISA KMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH //进入DH交换阶段
*Mar 1 00:53:48.707: ISA KMP:(0:1:SW:1):Old State = IKE_R_MM2 New State = IKE_R_MM3
*Mar 1 00:53:48.711: ISA KMP:(0:1:SW:1): processing KE payload. message ID = 0
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): processing NONCE payload. message ID = 0
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1):found peer pre-shared key matching 172.1.2.2
//找到预共享密钥匹配对等体172.1.2.2
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1):SKEYID st
RT1#ate generated
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): processing vendor id payload
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): vendor ID is Unity
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): processing vendor id payload
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): vendor ID is DPD
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): processing vendor id payload
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): speaking to another IOS box!
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1):Input = IKE_MESG_INTERNA L,
IKE_PROCESS_MAIN_MODE
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM3
*Mar 1 00:53:48.799: ISA KMP:(0:1:SW:1): sending packet to 172.1.2.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH //发送报文给172.1.2.2在我的500端口进行DH交换
*Mar 1 00:53:48.803: ISA KMP:(0:1:SW:1):Input = IKE_MESG_INTERNA L,
IKE_PROCESS_COMPLETE //IKE进程完成
*Mar 1 00:53:48.807: ISA KMP:(0:1:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM4
*Mar 1 00:53:49.143: ISA KMP (0:134217729): received packet from 172.1.2.2 dport 500 sport 500 Global (R) MM_KE
RT1#Y_EXCH
*Mar 1 00:53:49.143: ISA KMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar 1 00:53:49.143: ISA KMP:(0:1:SW:1):Old State = IKE_R_MM4 New State = IKE_R_MM5
*Mar 1 00:53:49.143: ISA KMP:(0:1:SW:1): processing ID payload. message ID = 0
*Mar 1 00:53:49.143: ISA KMP (0:134217729): ID payload
next-payload : 8 //下一个负载
type : 1 //类型为1
address : 172.1.2.2 //地址为172.1.2.2
protocol : 17 //协议号为17,表示UDP协议
port : 500 //端口号为500
length : 12 //长度为12
*Mar 1 00:53:49.147: ISA KMP:(0:1:SW:1):: peer matches *none* of the profiles
*Mar 1 00:53:49.151: ISA KMP:(0:1:SW:1): processing HASH payload. message ID = 0
*Mar 1 00:53:49.155: ISA KMP:(0:1:SW:1): processing NOTIFY INITIA L_CONTA CT proto col 1
spi 0, message ID = 0, sa = 643C5C74
*Mar 1 00:53:49.159: ISA KMP:(0:1:SW:1):SA authentication status:authenticated
//SA认证阶段,被认证
*Mar 1 00:53:49.167: ISA KMP:(0:1:SW:1): Process initial contact,
bring down existing phase 1 and 2 SA's with local 172.1.1.2 remote 172.1.2.2 remote port 500
*Mar 1 00:53:49.171: I
RT1#SAKMP:(0:1:SW:1):SA authentication status:
authenticated
*Mar 1 00:53:49.175: ISA KMP:(0:1:SW:1):SA has been authenticated with 172.1.2.2
//SA被172.1.2.2认证
*Mar 1 00:53:49.179: ISA KMP: Trying to insert a peer 172.1.1.2/172.1.2.2/500/, and inserted successfully 646941BC.
*Mar 1 00:53:49.183: ISA KMP:(0:1:SW:1):Input = IKE_MESG_INTERNA L,
IKE_PROCESS_MAIN_MODE
*Mar 1 00:53:49.187: ISA KMP:(0:1:SW:1):Old State = IKE_R_MM5 New State = IKE_R_MM5
*Mar 1 00:53:49.195: ISA KMP:(0:1:SW:1):SA is doing pre-shared key authentication using id type
ID_IPV4_ADDR //SA被预共享认证,用IPV4认证
*Mar 1 00:53:49.199: ISA KMP (0:134217729): ID payload
next-payload : 8
type : 1
address : 172.1.1.2
protocol : 17
port : 500
length : 12
*Mar 1 00:53:49.207: ISA KMP:(0:1:SW:1):Total payload length: 12
*Mar 1 00:53:49.215: ISA KMP:(0:1:SW:1): sending packet to 172.1.2.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Mar 1 00:53:49.223: ISA KMP:(0:1:SW:1):Input = IKE_MESG_INTERNA L,
IKE_PROCESS_COMPLE
RT1#TE
*Mar 1 00:53:49.227: ISA KMP:(0:1:SW:1):Old State = IKE_R_MM5 New State =
IKE_P1_COMPLETE
*Mar 1 00:53:49.239: ISA KMP:(0:1:SW:1):Input = IKE_MESG_INTERNA L,
IKE_PHASE1_COMPLETE //IKE阶段一完成
*Mar 1 00:53:49.239: ISA KMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State =
IKE_P1_COMPLETE
*Mar 1 00:53:49.507: ISA KMP (0:134217729): received packet from 172.1.2.2 dport 500 sport 500 Global (R) QM_IDLE //进入阶段二快速模式idle状态
*Mar 1 00:53:49.511: ISA KMP: set new node -106056986 to QM_IDLE //建立新的序列号
*Mar 1 00:53:49.523: ISA KMP:(0:1:SW:1): processing HASH payload. message ID = -106056986
*Mar 1 00:53:49.523: ISA KMP:(0:1:SW:1): processing SA payload. message ID = -106056986
//处理SA负载,消息ID为106056986
*Mar 1 00:53:49.527: ISA KMP:(0:1:SW:1):Checking IPSec proposal 1 //检验交换集信息
*Mar 1 00:53:49.531: ISA KMP: transform 1, ESP_3DES 阶段1,//ESP封装,3DES加密
*Mar 1 00:53:49.531: ISAKMP: attributes in transform:
*Mar 1 00:53:49.535: ISA KMP: encaps is 1 (Tunnel) //隧道模式,封装ESP
*Mar 1 00:53:49.535: ISA KMP: SA life type in seconds
*Mar 1 00:53:49.539: ISA KMP: SA life
RT1#duration (basic) of 3600
*Mar 1 00:53:49.539: ISA KMP: SA life type in kilobytes
*Mar 1 00:53:49.543: ISA KMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
*Mar 1 00:53:49.547: ISA KMP: authenticator is HMAC-MD5
*Mar 1 00:53:49.547: ISA KMP:(0:1:SW:1):atts are acceptable. //属性被接受
*Mar 1 00:53:49.555: ISA KMP:(0:1:SW:1): processing NONCE payload. message ID = -106056986
*Mar 1 00:53:49.559: ISA KMP:(0:1:SW:1): processing ID payload. message ID = -106056986
*Mar 1 00:53:49.563: ISA KMP:(0:1:SW:1): processing ID payload. message ID = -106056986
*Mar 1 00:53:49.567: ISA KMP:(0:1:SW:1): asking for 1 spis from ipsec
*Mar 1 00:53:49.571: ISA KMP:(0:1:SW:1):Node -106056986, Input = IKE_MESG_FROM_PEER,
IKE_QM_EXCH
*Mar 1 00:53:49.575: ISA KMP:(0:1:SW:1):Old State = IKE_QM_REA DY New State =
IKE_QM_SPI_STARVE
*Mar 1 00:53:49.583: ISA KMP: received ke message (2/1)
*Mar 1 00:53:49.607: ISA KMP: Locking peer struct 0x646941BC, IPSEC refcount 1 for for stuff_ke
*Mar 1 00:53:4
RT1#9.607: ISA KMP:(0:1:SW:1): Creating IPSec SAs //阶段2的SA
*Mar 1 00:53:49.611: inbound SA from 172.1.2.2 to 172.1.1.2 (f/i) 0/ 0 (proxy 192.168.36.0 to 192.168.0.0)
*Mar 1 00:53:49.615: has spi 0x5AFFE787 and conn_id 0 and flags 2
*Mar 1 00:53:49.619: lifetime of 3600 seconds
*Mar 1 00:53:49.619: lifetime of 4608000 kilobytes
*Mar 1 00:53:49.619: has client flags 0x0
*Mar 1 00:53:49.623: outbound SA from 172.1.1.2 to 172.1.2.2 (f/i) 0/0
(proxy 192.168.0.0 to 192.168.36.0)
*Mar 1 00:53:49.627: has spi 1167953970 and conn_id 0 and flags A
*Mar 1 00:53:49.627: lifetime of 3600 seconds
*Mar 1 00:53:49.627: lifetime of 4608000 kilobytes
*Mar 1 00:53:49.627: has client flags 0x0
*Mar 1 00:53:49.635: ISA KMP:(0:1:SW:1): sending packet to 172.1.2.2 my_port 500 peer_port 500 (R) QM_IDLE
*Mar 1 00:53:49.639: ISA KMP:(0:1:SW:1):Node -106056986, Input = IKE_MESG_FROM_IPSEC,
IKE_SPI_RE
RT1#PLY
*Mar 1 00:53:49.643: ISA KMP:(0:1:SW:1):Old State = IKE_QM_SPI_STA RVE New State =
IKE_QM_R_QM2
*Mar 1 00:53:49.651: ISA KMP: Locking peer struct 0x646941BC, IPSEC refcount 2 for from
create_transforms
*Mar 1 00:53:49.655: ISA KMP: Unlocking IPSEC struct 0x646941BC from create_transforms, count 1
IPSEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM 的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。
IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
传送模式通常当ESP在一台主机(客户机或服务勤)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
配置步骤: 一、.使得R1与R3之间(公网之间)能够通信 [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 [R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 二、IPSEC配置 R1配置: 1.配置数据流 [R1]acl num 3000 [R1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0 2.IKE策略配置 [R1]ike proposal 10 //创建IKE提议,并进入IKE视图 [R1-ike-proposal-10]encryption-algorithm 3des-cbc //IKE提议使用的加密算法 [R1-ike-proposal-10]authentication-method pre-share //IKE提议使用的密钥处理方式
[R1-ike-proposal-10]authentication-algorithm md5 //IKE提议使用的验证算法 [R1-ike-proposal-10]dh group2 //IKE提议使用的DH交换组 [R1-ike-proposal-10]sa duration 86400 //ISAKMP SA生存周期 [R1-ike-proposal-10] 3.配置IKE对等体及密钥 [R1]ike peer R3 //创建IKE对等体,并进入IKE对等体视图 [R1-ike-peer-r3]exchange-mode main //IKE对等体的协商模式 [R1-ike-peer-r3]pre-shared-key h3c //IKE对等体的密钥 [R1-ike-peer-r3]local-address 12.1.1.1 //本端安全网关地址 [R1-ike-peer-r3]remote-address 23.1.1.3 //对端安全网关地址 [R1-ike-peer-r3]remote-name R3 //对端安全网关名称 [R1]ike local-name R1 //本端安全网关名称 [R1] 4. IPSEC安全提议配置
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
AR路由器配置 IKE 方式的 IPSec VPN IPSec(Internet Protocol Security )是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP 层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet 上传输数据的安全性。在Internet 的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec 后,可对传输的数据进行保护处理,降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图 1 所示,RouterA 为企业分支网关,RouterB 为企业总部网关,分支与总部通过公网建立通信。分支子网为 10.1.1.0/24,总部子网为 10.1.2.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec 隧道来实施安全保护。 图 1 采用默认配置通过 IKE 协商方式建立 IPSec 隧道组网图 配置思路采用如下思路配置采用 IKE 协商方式建立 IPSec 隧道: 1.配置接口的 IP 地址和到对端的静态路由,保证两端路由可达。 2.配置ACL,以定义需要IPSec 保护的数据流。 3.配置IPSec 安全提议,定义IPSec 的保护方法。 4.配置IKE 对等体,定义对等体间IKE 协商时的属性。 5.配置安全策略,并引用ACL、IPSec 安全提议和IKE对等体,确定对何种数据流采取何种保护方 法。 6.在接口上应用安全策略组,使接口具有 IPSec 的保护功能。操作步骤 1.分别在 RouterA和RouterB 上配置接口的IP地址和到对端的静态路由 # 在 RouterA 上配置接口的 IP 地址。
目录 5 IPSec配置 5.1 IPSec简介 5.2 原理描述 5.2.1 IPSec基本概念 5.2.2 IKE协议 5.2.3 保护数据流的定义方式 5.3 应用场景 5.3.1 IPSec VPN基本组网应用 5.4 配置任务概览 5.5 缺省配置 5.6 配置IPSec 5.6.1 配置建立IPSec隧道 5.6.1.1 定义需要保护的数据流 5.6.1.2 配置IPSec安全提议 5.6.1.3 配置安全策略 5.6.1.4 (可选)配置IPSec隧道绑定VPN实例5.6.1.5 (可选)配置安全联盟生存周期 5.6.1.6 (可选)配置抗重放功能 5.6.1.7 接口上应用安全策略组 5.6.1.8 检查配置结果 5.6.2 配置IKE 5.6.2.1 (可选)配置IKE安全提议 5.6.2.2 配置IKE对等体 5.6.2.3 (可选)配置NAT穿越功能 5.6.2.4 (可选)配置NAT Keepalive定时器5.6.2.5 (可选)配置IPSec隧道绑定VPN实例5.6.2.6 (可选)配置heartbeat定时器 5.6.2.7 (可选)配置对等体存活检测 5.6.2.8 检查配置结果 5.7 维护IPSec 5.7.1 监控IPSec运行状况
5.7.2 清除IPSec信息 5.8 配置举例 5.8.1 配置采用手工方式建立IPSec隧道示例 5.8.2 配置采用IKE协商方式建立IPSec隧道示例 5.9 参考信息 5 IPSec配置 IPSec在IP层通过加密与数据来源认证等方式,来保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放。 ? 5.1 IPSec简介 介绍IPSec的定义、由来和作用。 ? 5.2 原理描述 介绍IPSec的实现原理。 ? 5.3 应用场景 介绍IPSec的应用场景。 ? 5.4 配置任务概览 IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。 ? 5.5 缺省配置 介绍缺省情况下,IPSec的相关配置信息。 ? 5.6 配置IPSec 介绍IPSec的配置过程。 ? 5.7 维护IPSec 显示IPSec的配置信息,清除IPSec的统计信息。 ? 5.8 配置举例 介绍使用IPSec提高数据传输安全性的各种示例。 ? 5.9 参考信息 介绍IPSec的参考标准和协议。
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
路由器配置IPSec.VPN https://www.doczj.com/doc/ea1389613.html,/v_show/id_XMjA2MTg0MTQ0.html 设备上启用/禁用对IPSec的支持。默认是支持IPsec的 配置IP第一阶段交换: 数据包完整性:SHA or MD5 DH用Group1(加密级别768位),Group2(加密级别1024位)
若身份验证方法是Pre-share 标示对方的方法是ip 地址还是hostname. 若用hostname, 那下面需要配置IP和主机名的映射关系。 对端的地址到底是什么,密码到底是什么。 配置密码: 第一阶段,双方初始身份认证,建立最基本的安全通道,以便协商以后真正对数据加密。
例子: 第二组里面没定义的情况下使用默认值。Encryption: DES Hash: MD5 DH: group 1 两端配置的策略必须要保持一致。
第二阶段: 指定变换集名称,变换集具体内容(可以指定3个具体条目)。 变换集配置模式:mode,传输还是隧道模式(有没有指定隧道接口来决定是不是用隧道模式)。 变换集: AH:身份认证和完整性验证。 ESP:也能做完整性验证。Esp-null: 不加密 Example: Crypto ipsec transform-set myset1 ah-sha-hmac esp-3des esp-md5-hmac Crypto ipsec transform-set myset2 esp-3des Crypto ipsec transform-set myset3 ah-sha-hmac Crypto ipsec transform-set myset4 esp-md5-hmac 一个路由器上可以定义多个变换集。什么样的方式对传送的数据进行完整性校验和加密处理。
IPSec配置命令 2010-06-25 14:57:48| 分类:路由交换|字号订阅 IPSec配置命令 ipsec配置命令包括: 1 clear crypto sa 2 crypto ipsec transform-set 3 crypto map 4 crypto map {ipsec-manual|ipsec-isakmp} 5 cryto ipsec security-association lifetime 6 match address 7 mode 8 set peer 9 set security-association lifetime 10 set session-key ah 11 set session-key esp 12 set transform-set 13 show crypto ipsec sa 14 show crypto ipsec security-association lifetime 15 show crypto ipsec transform-set 16 show crypto map 17 debug crypto ipsec 1 clear crypto sa 命令:clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]] 功能:删除安全联盟。 参数:map指定加密映射集;[map-name] [[map-number]]为加密映射集的名称或号码;peer 指定对端的ip地址;[ip-address]为对端的ip地址。 命令模式:特权用户配置模式。 使用指南:如果未使用map、peer关键字,所有的ipsec安全联盟都将被删除。举例:删除由map-tunnel1创建的所有现存的安全联盟。
IPSEC穿越NAT 典型配置指导 Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司
IPSEC穿越NAT特性典型配置指导目录 目录 1 特性介绍 (2) 2 特性的优点 (2) 3 使用指南 (2) 3.1 使用场合 (2) 3.2 配置步骤 (2) 3.2.1 配置IKE安全提议 (3) 3.2.2 配置IKE对等体 (4) 3.2.3 配置IPSEC访问控制列表 (4) 3.2.4 配置IPSEC安全提议 (5) 3.2.5 配置IPSEC安全策略 (5) 3.2.6 应用IPSEC安全策略 (6) 3.3 注意事项 (6) 3.4 举例:隧道模式下的IPSEC穿越NAT (6) 3.4.1 组网需求 (6) 3.4.2 组网图 (7) 3.4.3 硬件连接图 (7) 3.4.4 配置 (7) 3.4.5 验证结果 (11) 3.4.6 故障排除 (11) 4 关键命令 (12) 4.1 nat traversal (12) 5 相关资料 (13) 5.1 相关协议和标准 (13) 5.2 其他相关资料 (13)
IPSEC 穿越NAT 特性典型配置指导 正文 关键词:IPSEC ,NAT 摘 要:本文简单描述IPSEC 及其穿越NAT 特性的特点,详细描述了路由器上配置IPSEC 穿越 NAT 的基本方法和详细步骤,给出了一种IPSEC 穿越NAT 方法的配置案例。 缩略语: 第1页
1 特性介绍 IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互 操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证 数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。 如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。 2 特性的优点 IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极 大拓展了IPSEC VPN的应用范围。 3 使用指南 3.1 使用场合 用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用 IPSEC穿越NAT特性。 要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持 此特性。 路由器VRP版本要求是VRP 3.3 Release 0006及以上。 3.2 配置步骤 IPSec协议有两种操作模式:传输模式和隧道模式。在传输模式下,AH或ESP被插入到IP头 之后但在所有传输层协议之前,或所有其他IPSec协议之前。在隧道模式下,AH或ESP插在原始 IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可 第2页
H C M S R系列路由器 I P s e c典型配置举例V 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
配置路由器: 如图配置各个接口IP地址,具体略 基本配置B(isakmp): IPSEC自动协商 #RTA的配置 #进入系统视图
7 相关资料
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。