H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6612 E6453)-6W106

12-IPSec

1 IPsec

1.1 IPsec概述

IPsec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPsec提供了以下网络安全服务，这些安全服务是可选的，通常情况下，本地安全策略决定了采用以下安全服务的一种或多种：

· 数据的机密性：IPsec的发送方对发给对端的数据进行加密。

· 数据的完整性：IPsec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改。

· 数据来源的认证：IPsec接收方验证数据的起源。

· 抗重播：IPsec的接收方可以检测到重播的IP包并且丢弃。

使用IPsec可以避免数据包的监听、修改和欺骗，数据可以在不安全的公共网络环境下安全的传输，IPsec的典型运用是构建VPN。IPsec使用 “封装安全载荷（ESP）”或者“鉴别头（AH）”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播；使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ，根据安全策略数据库（SPDB）随IPsec使用，用来协商安全联盟（SA）并动态的管理安全联盟数据库。

1.2 配置IPsec

1.2.1 配置概述

IPsec配置的推荐步骤如表1-1所示。

表1-1 IPsec 配置的推荐步骤

配置任务	说明	详细配置
配置IKE协商策略	必选	1.2.2
配置IPsec协商策略	必选	1.2.3
配置IPsec隧道接口	必选	1.2.5

1.2.2 配置IKE协商策略

在导航栏中选择“网络配置>VPN>IPsec-VPN> IPsec第三方对接”，进入IPsec的显示页面，如图1-1所示。

图1-1 IPsec显示页面

页面的详细说明如表1-2。

表1-2 IPsec显示页面的详细说明

项目	说明
名称	IKE的和对应的IPsec名称。
详细信息	IKE的详细信息。
操作	可以对相应IPsec进行的操作。

单击<新建>按钮，在下拉菜单中选择<新建IKE>，或者点击对应IKE的右侧<编辑>按钮，进入IKE的配置页面，如图1-2所示。

图1-2 IKE新建页面

页面的详细说明如表1-3所示。

表1-3 IKE配置的详细说明

项目	说明
网关名称	IKE的名称
本地源接口/本地源IP地址/无	当有多出口时，需要指定用于建立IPsec的本端IP地址。如果指定的是本地源接口，则使用该接口上的主IP作为本端IP地址。说明：对于本地源IP和无的配置，接口down无法判断要清除那个SA，所以统一处理逻辑为接口down不自动清SA，通过DPD机制来检测链路状态即可，DPD保活失败，会自动清除SA
对端网关	指定对端网关，可以有静态IP、域名、动态三种选择。
IP地址/域名	根据对端网关选择的类型，可以输入对端网关的IP地址或者域名。
认证方式	指定一阶段认证所采用的方式，有预共享密钥、数字证书和国密认证三种选择。
预共享密钥/证书、CA证书、国密证书	根据认证方式选择的类型，预共享密钥、CA证书或者国密证书。

点击<高级选项>，可以显示出更多内容，如图1-3所示。

图1-3 IKE新建页面高级选项

页面的详细说明如表1-4所示。

表1-4 IKE配置高级选项的详细说明

项目	说明
IKE协商交互方案	添加一阶段协商所需要的加密提案，最多可以添加3个。默认加密方式为AES256_SHA2_256。
DH组	指定DH交换组。
密钥周期	密钥的生成周期。
NAT穿越连接频率	即在穿越NAT时，NAT会话保活报文的发送间隔。
本端ID	支持IP地址，FQDN和User-FQDN三种格式。其中FQDN和User-FQDN只能用于野蛮模式。
对端ID	支持IP地址，FQDN和User-FQDN三种格式。其中FQDN和User-FQDN只能用于野蛮模式。用于校验对端的ID，以匹配对应的IKE。
对等体状态探测	即DPD监测，可以开启该功能，用以探测对端的存活状况。对于IPSEC分支非常多的场景，如有几千个甚至上万个分支，不建议开启DPD检测，否则中心端的设备会因为处理大量DPD报文而严重消耗CPU资源
DPD检测间隔	发送DPD报文的间隔。
DPD失败重试间隔	如果前一次发送的DPD报文未得到回应，则使用重试间隔来发送下一次DPD报文。一般DPD失败重试间隔小于DPD检测间隔，用于快速地确认对端是否存活。
DPD失败重试次数	在重试了指定次数后，仍未得到对端的回应，则认为对端已断开连接。
扩展认证	开启该功能后，需要在用户管理页面添加用户，具体步骤可参考用户管理模块。
模式配置	给远程接入的用户分配地址及下发DNS、WINS服务器。
地址池	给远程接入的用户分配地址的地址对象。
拨号用户DNS	给远程接入的用户分配的DNS。
拨号用户WINS	给远程接入的用户分配的WINS。

输入完毕后，点击<提交>按钮，应用配置。

在IPsec显示页面，点击IKE右侧的<删除>按钮，可以删除对应的IKE。

1.2.3 配置IPsec协商策略

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接”，进入IPsec配置的显示页面，单击<新建IPsec>按钮，或者点击对应IPsec的右侧<编辑>按钮，进入IPsec协商策略的配置页面，如图1-4所示。

图1-4 IPsec新建页面

点击下方<高级选项>按钮可以显示更多的配置选项，如图1-5所示。

图1-5 IPsec协商策略高级选项配置页面

页面的详细说明如表1-5所示。

表1-5 IPsec协商策略配置的详细说明

项目	说明
通道名称	IPsec协商策略名称。
IKE	选择一个已经新建的IKE。
IPsec协商交互方案	添加二阶段协商所需要的加密提案，最多可以添加4个。ESP和AH不允许全为空。
完美向前保密（PFS）	指定完美向前保密组。
模式	IPSEC加密的封装模式，目前只支持隧道（tunnel）模式。
密钥周期	指定IPSEC SA最大有效时间，有时间、流量、时间+流量三种选择。
自动连接	是否开启自动连接功能，如果开启此选择需同时设定一个自动重连时间间隔。
流量触发连接	开启此功能，不会建立IPsec隧道，在有流量通过的情况，才会建立IPsec隧道。
监控链路故障自动连接	此功能必须设置时间为自动连接的时间；主链路：需要选择监控的主链路；切换延迟时间：主链路选择后需要设置主链路故障后切换到本链路的时长。

输入完毕后，点击<提交>按钮，应用配置。

在IPsec显示页面，点击IPsec右侧的<删除>按钮，可以删除对应的IPsec。

1.2.4 配置IPsec安全策略

在导航栏中选择“策略配置 > 控制策略”，进入控制策略的显示页面，单击<新建>按钮，进入控制策略新建页面，行为选择“允许”，点击<提交>按钮，应用配置。

1.2.5 配置IPsec隧道接口

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接 > IPsec隧道接口”，进入IPsec隧道接口的显示页面，如图1-6所示。

图1-6 IPsec隧道接口显示页面

页面的详细说明如表1-6。

表1-6 IPsec隧道接口显示页面的详细说明

项目	说明
IPsec接口	IPsec接口名称。
IPv4地址	隧道接口的IPv4地址。
IPsec	隧道接口对应的IPsec协商策略。
地址项目	感兴趣流对应源网段和目的网段。
操作	可以对相应IPsec隧道接口执行的操作。

单击页面上方<新建>按钮，或者点击对应隧道接口的右侧<编辑>按钮，进入IPsec隧道接口的配置页面，如图1-7所示。

图1-7 IPsec隧道接口的新建页面

页面的详细说明如表1-7。

表1-7 IPsec隧道接口新建页面的详细说明

项目	说明
IPsec	IPsec隧道的编号，系统会自动推荐一个空闲的编号，也可自行填入。
IPv4地址	为tunnel接口指定一个IPv4地址。
IPsec	指定一个已经存在的IPsec协商策略。
地址项目	设置感兴趣流，输入源网段和目的网段，点击<添加到列表>，加入下方的列表中。

输入完毕后，点击<提交>按钮，应用配置。

在IPsec隧道接口显示页面，点击隧道接口右侧的<删除>按钮，可以删除对应的隧道接口。

1.3 IPsec VPN的查看和管理

1.3.1 查看IPsec SA

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接 > IPsec SA”，进入IPsec SA显示页面。页面中显示了已经新建的IPsec SA。如图1-8所示。

图1-8 IPsec SA显示页面

页面的详细说明如表1-8。

表1-8 IPsec SA显示页面的详细说明

项目	说明
名称	IPsec SA的名称。
对端网关	IPsec SA的对端网关。
本地网关	IPsec SA的本地网关。
状态	IPsec SA的状态： “连接”表示IPsec连接成功； “未连接”表示IPsec连接不成功，需要检查对接双方网络以及IPsec配置是否有问题。
过期时间/过期流量	IPsec SA的过期时间/过期流量。
流量（入/出）	IPsec SA的入流量/出流量。
源网络	IPsec SA的源网络。
目的网络	IPsec SA的目的网络。
操作	可以对相应IPsec SA进行的操作。单击“”可以查看IPsec SA的具体信息，例如状态、ESP、AH等；单击“”可以清除当前IPsec SA的状态记录，设备会自动重新建立IPsec连接，不影响配置。

点击页面右侧的<删除>按钮，可以删除对应的IPsec SA。

点击页面右侧的<详细>按钮，可以看到对应的IPsec SA的详细信息。

1.3.2 查看IKE SA

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接 > IKE SA”，进入IKE SA显示页面，页面中显示了已经新建的IKE SA。如图1-9所示。

图1-9 IKE SA显示页面

页面的详细说明如表1-9。

表1-9 IKE SA显示页面的详细说明

项目	说明
名称	IKE SA的名称。
对端网关	IKE SA的对端网关。
本地网关	IKE SA的本地网关。
状态	IKE SA的状态： “连接”表示IKE连接成功； “未连接”表示IKE连接不成功，需要检查对接双方网络以及IKE配置是否有问题。
过期时间	IKE SA的过期时间。
操作	可以对相应IKE SA进行的操作，可以清除此条IKE的状态记录，设备会自动重新建立IKE连接，不影响配置。

点击页面右侧的<删除>按钮，可以删除对应的IKE SA。

1.4 商密IPSec典型配置举例

1.4.1 组网需求

如下图1-10所示，在设备 A 和设备 B之间使用商密标准建立一个安全隧道，对Host A 代表的子网（1.1.1.0/24）与Host B 代表的子网（2.2.2.0/24）之间的数据流进行安全保护。

1.4.2 组网图

图1-10 IPsec举例组网图

1.4.3 配置步骤

(1) 新建IKE协商

对设备 A的IKE配置如下图1-11所示。

图1-11 设备 A的IKE配置

注意：如果本端有多个出口可以到达对端，则必须指定本地源IP或本地源接口。

对设备 B的IKE配置如下图1-12所示。

图1-12 设备 B设备IKE配置

注意：如果本端有多个出口可以到达对端，则必须指定本地源IP或本地源接口。

(2) 配置IPsec协商策略

对设备 A的IPsec协商策略配置如下图1-13所示。

图1-13 设备 A的IPsec协商策略配置

对设备 B的IPsec协商策略配置如下图1-14所示。

图1-14 设备 B的IPsec协商策略配置

(3) 新建所需地址对象

图1-15 设备地址对象配置

(4) 新建IPSec安全策略

图1-16 设备 A的安全策略配置信息

图1-17 设备 B的安全策略配置信息

(5) 新建IPSEC隧道接口

设备 A的隧道接口如图1-18下所示。

图1-18 设备 A的隧道接口配置

设备 B的隧道接口如下图1-19所示。

图1-19 设备 B的隧道接口配置

注：配置IPsec隧道时，隧道接口地址可选配置。是否配置隧道地址与怎样配置静态路由有关。配置隧道地址后路由可指定下一跳地址的方式去写。未配置隧道地址时需选用出接口的方式去写路由。

(6) 配置静态路由

需要将感兴趣流的路由指向tunnel口。

图1-20 设备 A静态路由配置

出接口配置方式：

下一跳配置方式：

图1-21 设备 B静态路由配置

出接口配置方式：

下一跳配置方式：

1.4.4 验证配置结果

在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec第三方对接 > IPsec SA”，查看IPsec SA。

图1-22 设备 A的IPsec SA

图1-23 设备 B的IPsec SA

1.5 国密IPSec典型配置举例

1.5.1 组网需求

如下图1-24所示，在设备 A 和设备 B之间使用国密标准建立一个安全隧道，对Host A 代表的子网（1.1.1.0/24）与Host B 代表的子网（2.2.2.0/24）之间的数据流进行安全保护。

1.5.2 组网图

图1-24 IPsec举例组网图

1.5.3 配置步骤

(1) 导入国密CA证书

设备 A：进入“策略配置>对象管理>本地证书>证书>CA”，点击导入，如图1-25所示。

图1-25 设备A导入CA证书

设备 B：进入“策略配置>对象管理>本地证书>证书>CA”，点击导入，如图1-26所示。

图1-26 设备B导入CA证书

(2) 导入国密用户证书

设备 A：进入“策略配置>对象管理>本地证书>证书>国密”，点击导入，如图1-27所示。上传证书类型选择证书密钥分离。

图1-27 导入国密用户证书

设备 B：进入“策略配置>对象管理>本地证书>证书>国密”，点击导入，上传证书类型选择证书密钥分离。

(3) 新建IKE协商

对设备 A的IKE配置如下图1-28所示。

图1-28 设备 A的IKE配置

注意：如果本端有多个出口可以到达对端，则必须指定本地源IP或本地源接口。

对设备 B的IKE配置如下图1-29所示。

图1-29 设备 B的IKE配置

注意：如果本端有多个出口可以到达对端，则必须指定本地源IP或本地源接口。

(4) 配置IPsec协商策略

对设备 A的IPsec协商策略配置如下图1-30所示。

图1-30 设备 A的IPsec协商策略配置

对设备 B的IPsec协商策略配置如下图1-31所示。

图1-31 设备B的IPsec协商策略配置

(5) 新建所需地址对象

图1-32 设备地址对象配置

(6) 新建IPSec安全策略

图1-33 设备 A的配置信息

图1-34 设备 B的配置信息

(7) 新建IPSEC隧道接口

设备 A的隧道接口如图1-35下所示。

图1-35 设备 A的隧道接口配置

设备 B的隧道接口如下图1-36所示。

图1-36 设备 B的隧道接口配置

(8) 配置静态路由

需要将感兴趣流的路由指向tunnel口。

图1-37 设备 A静态路由配置

出接口配置方式：

下一跳配置方式：

图1-38 设备 B静态路由配置

出接口配置方式：

下一跳配置方式：

1.5.4 验证配置结果

在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec第三方对接> IPsec SA”，查看IPsec SA。

图1-39 设备 A的IPsec SA

图1-40 设备 B的IPsec SA

2 IPsec快速配置

2.1 IPsec快速配置概述

由于连锁酒店分支机构众多，IPSEC VPN业务的部署和维护非常复杂，给管理员的工作带来非常大的挑战：“VPN业务多变，管理复杂”，现有标准IPSEC VPN的配置比较繁琐，组网变化带来的配置改动比较大。因此急需提供一种易用性更好，配置更简洁的解决方案。IPSEC 快速配置就是在这样的场景下应运而生的。

按照以往VPN的配置，一个分支上线会有很多相关配置，步骤较多，且在隧道显示上也不太友好，主要表现在如下几个方面：

· 每个分支上线都需要创建IKE、IPsec和对应的tunnel口，然后在tunnel口配置感兴趣流，和对应的tunnel路由。中心端有多少个IP，分支端就需要创建多少个IKE、IPsec和tunnel口及tunnel路由。当走IPsec隧道的网段发生变化时，我们需要同步修改对应的感兴趣流和tunnel路由。当分支特别多的时候，对于管理员来说是一项非常巨大且繁琐的工作，很容易出现配置错误，不好排查。

· 在web页面查看各隧道的流量和状态时，每个隧道只能显示本端IP和对端IP，却不知道这条隧道对应的哪个分支，需要根据分支和IP的对应关系，才能知道属于哪个分支。且一个分支的多个感兴趣流会显示多个SA，无法聚合，显得比较杂乱，不便查看。

· 如果一个分支的私有网段和另一个分支的私有网段有冲突，如，都使用了192.168.10.1/24网段，则后上线的分支需要做NAT，转换为另外一个不冲突的网段才能正常工作。这个NAT配置需要绑定对应的隧道口，以明确只有过隧道的流量才需要转换。如果隧道口有变动，则相应的NAT配置也需要做对应变动。

鉴于以上配置上的繁琐和显示上的不友好，我们要做出改进，优化连锁酒店的IPSEC VPN管理工作，尽可能地使VPN配置自动化，简单化，甚至是傻瓜化，做到“快速上线、动态适应、部署简单”。

针对以上目标，IPSEC快速配置具体的改进措施如下：

· 隐藏IKE/IPsec/tunnel口的创建过程

· 管理员只需配置本端分支名称，对端IP和预共享密钥。后台根据这些配置，自动生成对应的IKE、IPsec和tunnel口，其它相关参数均使用内置的默认参数。

· 感兴趣流不再配置，tunnel路由不再配置

· 管理员只需要配置本端的保护网段，即需要走IPsec的源网段。对端也是如此。当两端建立起IKE后，交互各自的保护网段，形成感兴趣流，同时以对端的保护网段为目的网段，生成对应的tunnel路由。

· 支持多线路备份

· 高优先级线路断开后，无缝切换到低优先级的线路；当高优先级线路恢复后，再切换回高优先级线路。

· NAT规则不再配置

· 管理员只需要配置哪些源网段转换为哪些目的网段。后台会自动生成对应的NAT规则。

· 隧道状态展示优化

· 页面显示隧道状态时，以分支名称为key，一条记录聚合显示该分支相关隧道的信息，便于查看，支持搜索。

2.2 创建IPsec快速配置

2.2.1 配置概述

IPsec配置的推荐步骤如下表所示。

表2-1 IPsec快速配置的推荐步骤

配置任务	说明	详细配置
节点基本信息配置	必选	2.2.2
保护网段配置	必选	2.2.3
高级选项配置（选路策略、网段映射）	可选	2.2.4

2.2.2 节点基本信息配置

在导航栏中选择“网络配置>VPN>IPsec-VPN>IPsec快速配置”，进入IPsec快速配置的显示页面，如图2-1、图2-2、图2-3所示。

图2-1 IPsec快速配置分支节点显示页面

图2-2 IPsec快速配置新建对端网关显示页面

图2-3 IPsec快速配置中心节点显示页

页面的详细说明如表2-2。

表2-2 IPsec快速配置显示页面的详细说明

项目	说明
名称	节点的IPSEC名称，多隧道时聚合隧道的名称显示成该名称
节点位置	包含分支节点、中心节点两种类型
新建对端网关	分支对端中心节点IP配置，多隧道时配置多个IP，IP最多配置4个，每配置一个IP就会自动生成一套IKE、IPSEC、tunnel的配置
本端IP配置	中心节点与分支对接的接口IP配置，多个接口配置多个IP，最多配置4个IP，每配置一个IP就会自动生成一套IKE、IPSEC、tunnel的配置
预共享密钥	用于分支和中心之间验证对端身份（长度为6-39个字符）

2.2.3 保护网段配置

在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec快速配置”，进入IPsec保护网段的显示页面，单击<保护接口>按钮，在接口列表中选择<接口 >并设置掩码，或者单击<保护子网>按钮，设置保护网段和掩码，如图2-4所示。

图2-4 IPsec保护子网配置页面

点击左侧<保护接口>按钮可以保护接口配置选项，如图2-5所示。

图2-5 IPsec协商策略详细配置页面

页面的详细说明如表2-3所示。

表2-3 IPsec保护网段配置的详细说明

项目	说明
保护接口	自动根据保护接口IP及掩码生成保护网段，该网段会自动传递给对端网关，对端网关根据此保护网段自动生成相应tunnel口的路由。
保护子网	该网段会自动传递给对端网关，对端网关根据此保护网段自动生成相应tunnel口的路由。

输入完毕后，点击<添加到列表>，点击<提交>按钮，应用配置。

在IPsec保护网段列表中，点击保护网段右侧的<删除>按钮，可以删除对应的保护网段，或者选中多个条目，点击左上角的<删除>按钮，批量删除多个保护网段的配置。

2.2.4 高级选项配置

在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec快速配置”，节点类型选择<分支节点>，单击对端网关<新建>按钮，进入分支节点“高级选项配置”。如图2-6所示。

图2-6 IPsec分支节点高级选项选路策略配置页面

输入线路名称、线路IP，点击<添加到列表>，点击<提交>应用配置。

点击右侧<网段映射>，进入高级选项-网段映射配置页面，如图2-7所示。

图2-7 IPsec分支节点高级选项网段映射配置页面

输入源网段、映射后网段，点击<添加到列表>，点击<提交>应用配置。

页面的详细说明如表2-4所示。

表2-4 IPsec高级选项的详细说明

项目	说明
选路策略	选路策略中的线路顺序决定了不同隧道的路由优先级，规格支持配置4条线路。
线路名称	设置线路名称。
线路IP	设置线路对应的IP，线路IP必须在对端网关IP中。
网段映射	一对一NAT映射，源网段和映射后网段掩码必须一致，按照IP的顺序进行一对一映射，最多支持32个网段映射。
源网段	映射前源网段。
映射后网段	映射后目的网段，在对端网关看到的保护网段是映射后网段。

说明：中心节点高线选项配置只有网段映射，没有选路策略，选路策略只需在分支节点配置，分支节点配置的选路策略会自动同步给中心节点。

2.3 IPsec状态监控

2.3.1 查看IPsec监控

在导航栏中选择“网络配置 > VPN > IPsec-VPN快速配置 > IPsec 监控”，进入IPsec监控显示页面。页面中显示了已经新建的IPsec聚合隧道。如图2-8所示。

图2-8 IPsec监控显示页面

页面的详细说明如表2-5。

表2-5 IPsec监控显示页面的详细说明

项目	说明
名称	对端IPSEC名称。
状态	IPSEC SA状态。
流量（入/出）	聚合隧道的双向总流量。
对端内网地址	对端保护网段。
隧道数	分支与中心设备之间建立的隧道数量计数。
接入时间	隧道建立时间。
操作	点击可删除聚合隧道。

点击聚合隧道左侧的按钮，可以展开显示各隧道的详细情况，如图2-9所示。

图2-9

页面的详细说明如表2-6。

表2-6 IPsec监控显示页面的详细说明

项目	说明
隧道名称	隧道名称，显示为分支端配置的选路策略中的线路名称。
状态	隧道IPSEC SA状态。
流量（入/出）	隧道的双向流量统计。
优先级	隧道优先级，多隧道备份时流量优先走优先级数值小的隧道，其它隧道做备份。
隧道数	分支与中心设备之间建立的隧道数量计数。
本端公网地址	隧道本端的公网地址。
对端公网地址	隧道对端的公网地址。
接入时间	隧道建立时间。