資源描述:
《SecPath系列防火墻IPSEC VPN配置指導(dǎo).doc》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、1????????特性介紹IPsec(IPsecurity)協(xié)議族是IETF制定的一系列協(xié)議�����,它為IP數(shù)據(jù)報提供了高質(zhì)量的�、可互操作的、基于密碼學(xué)的安全性�。特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證等方式,來保證數(shù)據(jù)報在網(wǎng)絡(luò)上傳輸時的私有性����、完整性、真實性和防重放�。IPsec作為一種重要的安全技術(shù)得到越來越廣泛的應(yīng)用,但是客戶網(wǎng)絡(luò)邊緣大量使用的NAT地址轉(zhuǎn)換操作可能影響到IPsec的正常操作���。目前,NAT和IPsec之間存在的不兼容性問題主要可以分為以下三類:l??????????IP地址和端口不匹配的
2��、問題l??????????IPsec不能驗證NAT報文的問題l??????????NAT超時影響IPsec的問題針對此問題�,我司在IKE野蠻模式的基礎(chǔ)上實現(xiàn)NAT穿越,很好地解決了此問題�����。為了使IKE支持目前廣泛應(yīng)用的通過ADSL及撥號方式構(gòu)建VPN的方案中的特殊情況――即局端設(shè)備的IP地址為固定分配的,用戶端設(shè)備的IP地址為動態(tài)獲取的情況�����,在IKE階段的協(xié)商模式中增加了IKE野蠻模式�,它可以選擇根據(jù)協(xié)商發(fā)起端的IP地址或者ID來查找對應(yīng)的身份驗證字,并最終完成協(xié)商��。IKE野蠻模式相對于主模式來說更加靈活
3�����、����,能夠支持協(xié)商發(fā)起端為動態(tài)IP地址的情況。在IPsec/IKE組建的VPN隧道中����,若存在NAT網(wǎng)關(guān)設(shè)備,且NAT網(wǎng)關(guān)設(shè)備對VPN業(yè)務(wù)數(shù)據(jù)流進(jìn)行了NAT轉(zhuǎn)換的話�����,則必須配置IPsec/IKE的NAT穿越功能���。該功能刪去了IKE協(xié)商過程中對UDP端口號的驗證過程�,同時實現(xiàn)了對VPN隧道中NAT網(wǎng)關(guān)設(shè)備的發(fā)現(xiàn)功能,即如果發(fā)現(xiàn)NAT網(wǎng)關(guān)設(shè)備��,則將在之后的IPsec數(shù)據(jù)傳輸中使用UDP封裝(即將IPsec報文封裝到IKE協(xié)商所使用的UDP連接隧道里)的方法�,避免了NAT網(wǎng)關(guān)對IPsec報文進(jìn)行篡改(NAT網(wǎng)關(guān)設(shè)備將
4、只能夠修改最外層的IP和UDP報文頭�,對UDP報文封裝的IPsec報文將不作修改),從而保證了IPsec報文的完整性(IPsec數(shù)據(jù)加密解密驗證過程中要求報文原封不動地被傳送到接收端)���。目前僅在IKE野蠻模式下支持NAT穿越����,主模式下不支持��。2????????特性的優(yōu)點該特性適合IPsec隧道中間存在NAT設(shè)備的組網(wǎng)情況�。同時,由于使用了IKE野蠻模式����,同樣也適用于IP地址不固定的遠(yuǎn)程訪問用戶與總部之間建立IPsec隧道的情況�。3????????使用指南3.1???????使用場合1)???????IPs
5、ec隧道中間存在NAT設(shè)備的組網(wǎng)情況2)???????適用于IP地址不固定的遠(yuǎn)程訪問用戶與總部之間建立IPsec隧道的情況���。3.2???????配置步驟配置野蠻模式下IPsec穿越NAT�����,需要以下步驟:l??????????配置訪問控制列表l??????????配置IKE對等體l??????????定義安全提議l??????????創(chuàng)建安全策略l??????????在接口上應(yīng)用安全策略1.????配置訪問控制列表IPsec使用高級訪問控制列表來判斷哪些報文需要受到保護(hù)�����,哪些則不需要�,用于IPsec的擴(kuò)展訪
6、問控制列表可稱為加密訪問控制列表����。在本地和遠(yuǎn)端安全網(wǎng)關(guān)上定義的加密訪問控制列表應(yīng)該是相對應(yīng)的(即互為鏡像),這樣在某一端加密的數(shù)據(jù)才能在對端上被解密�。否則,會造成一端不能解密另一端發(fā)來的數(shù)據(jù)����。步驟操作說明操作命令1在系統(tǒng)視圖下,創(chuàng)建一個高級訪問控制列表[H3C]aclnumberacl-number[match-order{config
7�����、auto}]2在高級訪問控制列表視圖下��,配置ACL規(guī)則[H3C-acl-adv-3000]rule[rule-id]{permit
8、deny}protocol[sourc
9���、e{sour-addrsour-wildcard
10��、any}][destination{dest-addrdest-wildcard
11�����、any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code
12�、icmp-message}][precedenceprecedence][dscpdscp][established][tostos][time-rangetime-
13��、name][logging][fragment]?2.????配置IKE對等體在實施IPsec的過程中��,可以使用Internet密鑰交換IKE(InternetKeyExchange)協(xié)議來建立安全聯(lián)盟����,該協(xié)議建立在由Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)定義的框架上。IKE為IPsec提供了自動協(xié)商交換密鑰���、
