IPSec-VPN协议原理及配置

IPSecVPN协议原理及配置ISSUE1.1日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播了解VPN的概念和分类理解IPSecVPN协议原理掌握ICG2000IPSecVPN配置方法课程目标学习完本课程，您应该能够：VPN概述IPSecVPN协议原理ICG2000IPSec配置与排错目录——VirtualPrivateNetwork合作伙伴Internet出差员工隧道专线办事处总部分支机构异地办事处的分类按应用类型分类：AccessVPNIntranetVPNExtranetVPN按实现的层次分类：二层隧道VPN三层隧道VPN发起连接总部隧道适用范围：•出差员工•异地小型办公机构隧道总部研究所办事处分支机构总部合作伙伴异地办事处分支机构按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GenericRoutingEncapsulationIPSEC:IPSecurityProtocol设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性VPN概述IPSecVPN协议原理ICG2000IPSec配置与排错目录IPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和封装安全载荷协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传输（transport）两种工作方式的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文验证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataOriginAuthentication）反重放（Anti-Replay）基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全提议(SecurityProposal)安全策略(SecurityPolicy)包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证VPN概述IPSecVPN协议原理ICG2000IPSec配置与排错Web方式配置IPsec排错目录配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用哪种安全保护确定安全保护的强度Internet分支总部Dialer10PPPoENATEth0/0202.1.1.10/24NavigatorBNavigatorA192.168.0.0/24192.168.1.0/24配置配置上网参数ACL3100，禁止总部子网192.168.1.0/24访问分支机构子网192.168.0.0/24时进行NAT转换，允许该子网访问公网时进行NAT在转换ACL3200，允许分支机构子网192.168.1.0/24通过IPSecVPN访问目的总部机构192.168.0.0/24的子网命令行配置界面，首先取消系统缺省NAT地址转换设置，然后对NAT地址转换绑定ACL3100NavigatorAsystem-viewSystemView:returntoUserViewwithCtrl+Z.[NavigatorA]interfaceEthernet0/0[NavigatorA-Ethernet0/0]displaythisinterfaceEthernet0/0portlink-moderoutenatoutboundipaddress202.1.1.10255.255.255.0ipsecpolicynavigator[NavigatorA-Ethernet0/0]undonatoutbound[NavigatorA-Ethernet0/0]natoutbound3100创建IKEnavigator-a对等体创建IKE对等体e2e对等体续查看IKE对等体策略创建IPSec策略策略续配置IPSec策略策略删除系统缺省的IPSec策略策略为E0/0重新绑定IPSec策略策略绑定成功，Navigator配置完成配置分支网关配置与总部网关配置基本相似配置上网参数配置NATACL配置安全ACL配置IKE设置IKE对等体创建IPSec策略重新绑定IPSec策略后续列出与总部网关有区别的配置步骤配置配置上网参数，拨号方式命令行配置界面，进入PPPoE拨号接口视图Dialer10，首先取消系统缺省NAT地址转换设置，然后对NAT地址转换绑定ACL3100NavigatorBsystem-viewSystemView:returntoUserViewwithCtrl+Z.[NavigatorB]interfacedialer10[NavigatorB-Dialer10]displaythis#interfaceDialer10natoutboundlink-protocolppppppchapuser10000088888pppchappasswordcipherV9ZK.:B::WKQ=^Q`MAF41!!ppppaplocal-user10000088888passwordcipherV9ZK.:B::WKQ=^Q`MAF41!!……[NavigatorB-Dialer10]undonatoutbound[NavigatorB-Dialer10]natoutbound3100对等体创建IKE对等体，注意需配置总部网关IP地址策略在拨号口绑定新创建的IPSec策略，配置完成功能验证由分支触发IPSec，实现总部与分支内网的安全互访VPN概述IPSecVPN协议原理ICG2000IPSec配置与排错Web方式配置IPsec排错目录的显示与调试IPSec显示与调试显示安全联盟的相关信息displayipsecsa[brief|remoteip-address|policypolicy-name[seq-number]|duration]显示IPSec处理报文的统计信息displayipsecstatistics显示安全提议的信息displayipsecproposal[proposal-name]显示安全策略的信息displayipsecpolicy[brief|namepolicy-name[seq-number]]打开IPSec的调试功能H3Cdebuggingipsec{sa|packet[policypolicy-name[seq-number]|parametersip-addressprotocolspi-number]|misc}的显示与调试显示当前已建立的安全通道displayikesa显示每个IKE提议配置的参数displayikeproposal删除安全隧道H3Cresetikesa[connection-id]打开IKE的调试信息H3Cdebuggingike{error|exchange|message|misc|transport}故障诊断与排错非法用户身份信息检查协商两端接口上配置的安全策略中的ACL内容是否相