天融信管理手册——IPSEC-VPN配置

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

IPSecVPN配置天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。版权所有不得翻印©1995-2008天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。TOPSEC®天融信公司信息反馈配置服务热线:8008105119i1虚拟专网..........................................................................................................................................11.1IPSEC概述.....................................................................................................................................11.1.1IPSecVPN基本概念..............................................................................................................11.1.2IPSec协议简介......................................................................................................................31.1.3IKE协议简介.........................................................................................................................41.2静态隧道.......................................................................................................................................51.2.1隧道默认参数设置................................................................................................................51.2.2静态隧道管理........................................................................................................................71.3动态隧道.....................................................................................................................................111.3.1设置本地保护子网..............................................................................................................121.3.2下载设备、子网、隧道列表、隧道状态..........................................................................131.3.3设置设备优先级..................................................................................................................141.4虚拟路由.....................................................................................................................................151.5VRC管理....................................................................................................................................161.5.1基本设置..............................................................................................................................171.5.2权限对象..............................................................................................................................191.5.3用户权限..............................................................................................................................221.5.4角色权限..............................................................................................................................231.5.5时间对象..............................................................................................................................251.5.6在线用户..............................................................................................................................271.6虚接口绑定.................................................................................................................................271.7算法管理.....................................................................................................................................281.8VPN引擎管理.............................................................................................................................291.9隧道流量统计.............................................................................................................................301.10DDNS设置..............................................................................................................................31目录IPSecVPN配置服务热线:800810511911虚拟专网VPN(VirtualPrivateNetwork,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。加载了IPSecVPN引擎的网络卫士防火墙具备一切IPSecVPN网关的功能,可作为一台标准的IPSecVPN网关使用。如无特殊说明,本文档中提到的IPSecVPN网关均指网络卫士防火墙。IPSecVPN网关可以支持隧道的负载均衡,GREoverIPSec,动态路由OSPF穿越隧道,组播穿越隧道以及隧道流量统计等。IPSecVPN网关支持利用标准的IKE和IPSec协议,与天融信的IPSecVPN以及其他支持IKE标准协议的VPN网关设备协商并建立标准的IPSecVPN隧道。本文档主要介绍IPSecVPN网关的配置和管理:zIPSec概述,简要介绍IPSec协议原理,及相关术语。z静态隧道。主要介绍如何创建静态隧道。z动态隧道。主要介绍如何配置隧道参数等。z虚拟路由设置。主要介绍当隧道协商双方有多个保护子网可供访问时,虚拟路由的设置方法。zVRC管理。主要介绍如何配置和管理VPN远程客户端,包括地址池管理、远程用户管理、权限管理等。z虚接口绑定。主要介绍如何进行虚接口绑定。z算法管理。主要介绍如何为IPSecVPN网关加载硬加密算法。zVPN引擎管理。主要介绍如何重启VPN引擎。z隧道流量统计。主要介绍如何查询动态隧道、静态隧道和VRC隧道的流量统计信息。zDDNS设置。主要介绍如何设置动态域名服务器。1.1IPSec概述1.1.1IPSecVPN基本概念1.安全联盟IPSecVPN配置服务热线:80081051192安全联盟是IPSec的基础,也是IPSec的本质。SA(SecurityAssociation,安全联盟)是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的操作模式(传输模式和隧道模式)、加密算法(DES和3DES)、特定流中保护数据的共享密钥以及密钥的生存周期等。安全联盟是单向的,在两个对等体之间的双向通信,昀少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时,如果希望同时使用AH和ESP来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP。安全联盟由一个三元组来唯一标识,这个三元组包括SPI(SecurityParameterIndex,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。2.安全联盟的协商方式建立安全联盟的协商方式包括两种:一种是手工方式(manual),一种是IKE自动协商(isakmp)方式。前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IP

1 / 36
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功