H3CHCTE培训教材-第6章安全VPN及拨号业务故

华为3Com培训中心华为3Com公司版权所有，未经授权不得使用与传播第6章安全VPN及拨号业务故障排除ISSUE1.02学习目标掌握VPN相关技术的故障排除方法，包括L2TP，GRE，IPSec和IKE；掌握防火墙故障排除方法和流程；掌握DCC故障排除的流程，并理解教材所列举的案例分析。学习完本课程，您应该能够：3课程内容包过滤防火墙故障排除IPSec和IKE故障排除GRE故障排除L2TP故障排除DCC、ISDN故障排除4IPSec和IKE故障排除IPSec和IKE故障排除综述Display、debugging命令介绍IPSec和IKE故障案例分析5IPSec和IKE故障排除综述IPSec和IKE知识简介IPSec和IKE配置的一般步骤手工方式下IPSec功能和性能的常见问题协商方式下IPSec和IKE功能和性能的常见问题IPSec和IKE配置过程的注意事项6IPSec简介IPSec提供如下安全服务:完整性真实性机密性防重放IPSec安全协议：AH协议ESP协议IPSec加密验证算法：验证算法：MD5和SHA1加密算法：DES、3DES、Blowfish、CAST7IKE简介IKE全称：InternetKeyExchangeIKE用于IPSec安全联盟及密钥的自动化管理，定时为IPSec协商密钥，创建、删除安全联盟等IKE采用两个阶段的ISAKMP：协商认证通信信道，为第二阶段的通信提供安全保证。即建立IKESA使用IKESA协商建立IPSecSA，用于IPSec通信。8IPSec与IKEIKETCPUDPIPSecIKETCPUDPIPSecencryptedippacketIPIKESANegotiationSASA9IPSec和IKE配置的一般步骤IPSec和IKE配置的一般步骤：what，where，how手工模式IPSec基本配置明确要保护什么（what），也就是定义ACL。明确实施保护的位置（where）。明确如何保护（how），定义proposal。定义安全策略（ipsecpolicy），定义安全策略的模式为manual定义安全联盟所用的密钥。在合适的接口上应用安全策略。协商模式IPSec基本配置What，where，how，ipsecpolicy配置IKE的参数（IKE的proposal和共享密钥）。在合适的接口上应用安全策略。10手工方式下IPSec功能和性能的常见问题手工方式下安全联盟不能建立相应的安全策略是否应用到了接口上检查安全策略是否设置了要保护的数据流检查安全策略是否设置了安全提议检查安全策略是否设置了隧道端点检查安全联盟的SPI检查安全联盟的密钥是否设置正确检查密钥的长度是否与算法要求的相同11手工方式下IPSec功能和性能的常见问题（续）手工方式下建立了安全联盟，但不能通信安全联盟两端的配置的ACL是否互为镜像选用的安全协议是否一样选用的算法是否一致SPI是否匹配密钥是否匹配定义的隧道端点是否相同手工方式下建立了安全联盟，部分数据流能通信，部分不能通信安全联盟两端的配置的ACL是否互为镜像12协商方式下IPSec和IKE功能和性能常见问题协商方式的IPSec安全联盟是由IKE协商生成的。要诊断此类故障，首先要清楚安全联盟的建立过程。第一步第二步第三步第四步合适的数据流从应用IPSec的接口转发出去第一步触发IKE协商阶段1的SA第二步第三步在阶段2安全联盟的保护下进行通信第四步RouterARouterARouterBRouterBRouterARouterARouterARouterARouterARouterARouterBRouterBRouterBRouterBRouterBRouterB在IKE阶段1安全联盟的保护下协商阶段2的IPSecSA13协商方式下IPSec和IKE功能和性能常见问题（续）阶段1的SA没有建立接口是否应用了安全策略是否有匹配的数据流触发是否为对方配置了共享密钥，以及共享密钥是否一致阶段2的SA没有建立ACL是否匹配安全提议是否一致设置的隧道对端地址是否匹配应用的接口是否正确两个阶段的SA都成功建立，但不能通信一般都是由于ACL的配置不当引起的，检查ACL的配置是否符合要求14IPSec和IKE配置过程的注意事项确定要保护的数据流时的注意事项IPSec保护的数据流是双向的所以定义的双向数据流应该保持完全重叠确定实施保护的位置时的注意事项网关到网关主机到网关主机到主机网关到主机15IPSec和IKE配置过程的注意事项（续）确定如何保护数据时的注意事项安全协议选择加密算法选择验证算法选择定义安全策略时的注意事项选择恰当的数据流规则选择恰当的安全提议正确配置实施安全策略的端点IKE的配置IKEProposal的全局性（对整个路由器有效）缺省IKEProposal的应用16IPSec和IKE配置过程的注意事项（续）应用所定义的安全策略应用接口的选择确保所有数据流出口都应用安全策略确保对端也配置了安全策略IPSec和IKE的其它配置IKE定时器参数（interval和timeout）的匹配17Display、debugging命令介绍displayipsecpolicy{all|brief|namepolicy-name[sequence-number]}displayipsecproposal[proposal-name]displayipsecsa{all|brief|remoteip-address|policypolicy-name[sequence-number]|parametersdest-addressprotocolspi}displayikeproposaldisplayikesadebuggingipsec{misc|packet|sa}debuggingike{all|crypto|error|message|misc|sysdep|timer|transport}18IPSec和IKE故障案例分析（一）两端的SPI不匹配导致SA协商失败:在RouterA和RouterB之间建立IPSec隧道，保护PCA和PCB之间的通信。采用ESP安全协议，确保数据的完整性、机密性。问题：在10.1.1.10上执行ping10.1.2.20，发现不通PCAPCBInternet10.1.1.1010.1.2.20SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1S0202.38.162.1S0202.38.163.1IPSectunnelRouterARouterBRRPCAPCBInternet10.1.1.1010.1.2.20SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1S0202.38.162.1S0202.38.163.1IPSectunnelRouterARouterARouterBRouterBRR19IPSec和IKE故障案例分析（一）原因分析RouterB上的调试信息表明已经收到从RouterA发出的IPSec报文，但是找不到SPI为12345的SA。察看RouterB的安全策略的定义，入方向ESP的SPI定义为54321，这就是找不到SPI的原因。处理过程将RouterB上的入方向ESP的SPI改为12345即可[RouterB]ipsecpolicypolicy110manual[RouterB-ipsec-policy-policy1-10]sainboundespspi1234520IPSec和IKE故障案例分析（二）密钥不匹配造成无法通信在RouterA和RouterB之间建立IPSec隧道，保护PCA和PCB之间的通信。采用ESP安全协议问题如下：从主机10.1.1.10上执行ping10.1.2.20，发现不通PCAPCBInternet10.1.1.1010.1.2.20SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1S0202.38.162.1S0202.38.163.1IPSectunnelRouterARouterBRRPCAPCBInternet10.1.1.1010.1.2.20SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1SPI=12345Protocol=espDst=202.38.163.1Src=202.38.162.1S0202.38.162.1S0202.38.163.1IPSectunnelRouterARouterARouterBRouterBRR21IPSec和IKE故障案例分析（二）原因分析:RouterB的Inbound处理过程中解密失败。检查RouterB的Inbound的密钥，为1234567891234567，而RouterA的Outbound密钥是1234567890123456，由于密钥不同，造成无法解密，通信失败。处理过程:解决方法是修改RouterA的Outbound方向的加密算法密钥[RouterA]ipsecpolicypolicy110manual[RouterA-ipsec-policy-policy1-10]saoutboundespencryption-hex123456789123456722IPSec和IKE故障案例分析（三）两端ACL不匹配导致阶段2协商失败在RouterA和RouterB间建立IPSec隧道，采用ESP协议。RouterB的Ethernet0口连接子网，Serial0连接Internet从主机10.1.1.10上执行ping10.1.2.20不通。在RouterA和RouterB上查看安全联盟的信息，发现阶段1协商成功，阶段2没有协商起来。PCAPCBInternet10.1.1.1010.1.2.20Protocol=espDst=202.38.163.1Src=202.38.162.1Protocol=espDst=202.38.163.1Src=202.38.162.1S0202.38.162.1S0202.38.163.1IPSectunnelRouterARouterBRRPCAPCBInternet10.1.1.1010.1.2.20Protocol=espDst=202.38.163.1Src=202.38.162.1Protocol=espDst=202.38.163.1Src=202.38.162.1S0202.38.162.1S0202.38.163.1IPSectunnelRouterARouterARouterBRouterBRR23IPSec和IKE故障案例分析（三）原因分析应用的接口是要保护的数据流外出的接口，完全正确。可能是安全策略中的某些定义错误。按照安全策略的三个要素：What、Where、How进行检查。在RouterA中要保护的数据流是10.1.1.0/24～10.1.2.0/24之间的IP数据，是一个子网；而在RouterB上定义的要保护的数据是10.1.2.20～10.1.1.10两个主机之间的数据。显然两者之间不能完全匹配。所以安全策略不匹配处理过程将RouterB的数据流改为如下形式便可通信。[R