- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
40-IPsec第三方对接典型配置举例
本章节下载 (1.44 MB)
目 录
IPsec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPsec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:
· 数据的机密性:IPsec的发送方对发给对端的数据进行加密。
· 数据的完整性:IPsec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改。
· 数据来源的认证:IPsec接收方验证数据的起源。
· 抗重播:IPsec的接收方可以检测到重播的IP包并且丢弃。
使用IPsec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPsec的典型运用是构建VPN。IPsec使用 “封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ,根据安全策略数据库(SPDB)随IPsec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。
相关术语解释:
· 鉴别头(AH):用于验证数据包的安全协议。
· 封装安全有效载荷(ESP): 用于加密和验证数据包的安全协议;可与AH配合工作也可以单独工作。
· 加密算法:ESP所使用的加密算法。
· 验证算法:AH或ESP用来验证对方的验证算法。
· 密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是缺省的密钥自动交换协议。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
(1) 当使用FQDN、U-FQDN时,只能在野蛮模式下使用,主模式不支持。
(2) 当使用证书认证时,ID类型不可配置,只能使用它内部默认的ASN1DN类型,这是与证书认证配套使用的ID类型。
(3) ID在IKE协商中有校验对端身份的作用,我们设备只有响应方会校验,主动方不校验。
(4) 在野蛮模式下,还可以根据对端ID选用不同的IKE来与对端协商。主模式则不可以,因为主模式的ID是在最后两个交互报文发送的,而野蛮模式则在第一个报文中发送。
(5) 目前支持配置的ID类型为FQDN/UFQDN和IP地址等类型。
(6) 其中FQDN是域名,U-FQDN是用户邮箱格式,但厂商实现的时候,也并不对这些格式进行校验,因此一般都是字符串。
(7) IPsec 使用数字证书验证注意事项:
a. IPSec的校验都是在响应端做的。
b. 本端设备会使用所有的本地CA证书对对端设备配置的用户证书进行校验,所以只要对端设备上有本端设备上IPsec配置的用户证书的CA证书就会验证通过,连接成功,和IPsec中配置的CA证书无关。
c. 当使用数字证书对接时,需要在本地证书处导入CRL。自动更新CRL必须是请求发起方的才行,才能把吊销证书的序列号同步过来,IPsec才能做校验。
d. 用户证书撤销了之后,应该在CA服务器—根CA配置管理——CRL管理,导出CRL,然后把CRL导入本地证书的CRL到才能和用户证书做校验。
e. 已撤销的证书,证书本身是证明不了自己已撤销。从CRL路径中获取revoke-list,然后获取证书的序列号,看该证书的序列号是否在revoke-list中,如果在,则校验失败。即该证书无效。
如图1所示,在设备 A 和设备 B之间使用商密标准建立一个安全隧道,对Host A 代表的子网(1.1.1.0/24)与Host B 代表的子网(2.2.2.0/24)之间的数据流进行安全保护。
图1 IPsec组网图
(1) 按照组网图组网。
(2) 新建IKE协商。
(3) 配置IPsec协商策略。
(4) 新建所需地址对象。
(5) 新建IPsec安全策略。
(6) 新建IPsec隧道。
(7) 配置静态路由。
本举例是在R6612版本上进行配置和验证的。
(1) 新建IKE协商:在导航栏中选择“网络配置>VPN>IPsec-VPN>IPsec第三方对接”,进入IPsec的显示页面,新建IKE
对设备 A的IKE配置如图2所示。
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
对设备 B的IKE配置如图3所示。
图3 设备 B的IKE配置
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
(2) 配置IPsec协商策略:在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接”,进入IPsec协商策略的显示页面,选择要创建IPsec的IKE,然后单击<新建IPsec>,或者点击对应IPsec的右侧<编辑>按钮,进入IPsec协商策略的配置页面。
对设备 A的IPsec协商策略配置如图4所示。
图4 设备 A的IPsec协商策略配置
对设备 B的IPsec协商策略配置如图5所示。
图5 设备 B的IPsec协商策略配置
(3) 新建所需地址对象配置如图6所示。
(4) 新建IPSec安全策略配置如图7所示。
(5) 新建IPSEC隧道接口
图9 设备 A的隧道接口配置
对设备 B的隧道接口如图10所示。
图10 设备 B的隧道接口配置
(6) 配置静态路由
需要将感兴趣流的路由指向tunnel口,配置如图11所示。
图11 设备 A静态路由配置
图12 设备 B静态路由配置
在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec 第三方对接 > IPsec SA ”,查看IPsec SA。
图13 设备 A的IPsec SA
图14 设备 B的IPsec SA
如图15所示,在设备 A和设备 B之间使用国密标准建立一个安全隧道,对Host A 代表的子网(1.1.1.0/24)与Host B 代表的子网(2.2.2.0/24)之间的数据流进行安全保护。
图15 IPsec组网图
v
(1) 按照组网图组网。
(2) 导入国密CA证书
(3) 导入国密用户证书
(4) 新建IKE协商
(5) 配置IPsec协商策略
(6) 新建所需地址对象
(7) 新建IPsec安全策略
(8) 新建IPsec隧道
(9) 配置静态路由
本举例是在R6612版本上进行配置和验证的。
(1) 导入国密CA证书
注:国密证书需要向国密局申请,本案例中的国密证书是已申请下来的。
设备 A:进入策略配置>对象管理>本地证书>证书>CA,点击导入。配置如图16所示。
图16 设备 A导入国密CA证书
设备 B:进入策略配置>对象管理>本地证书>证书>CA,点击导入。配置如图17所示。
图17 设备 B导入国密CA证书
(2) 导入国密用户证书
设备 A:进入策略配置>对象管理>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如图18所示。
图18 设备 A导入本端国密用户证书
图19 设备 A导入对端国密用户证书
设备 B:进入策略配置>对象管理>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如图20所示。
图20 设备 B导入本端国密用户证书
图21 设备 B导入对端国密用户证书
(3) 新建IKE协商:在导航栏中选择“网络配置>VPN>IPsec-VPN>IPsec第三方对接”,进入IPsec的显示页面,新建IKE
对设备 A的IKE配置如图22所示。
图22 设备 A的IKE配置
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
对设备 B的IKE配置如图23所示。
图23 设备 B的IKE配置
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
(4) 配置IPsec协商策略:在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接”,进入IPsec协商策略的显示页面,选择要创建IPsec的IKE,然后单击<新建IPsec>,或者点击对应IPsec的右侧<编辑>按钮,进入IPsec协商策略的配置页面。
对设备 A的IPsec协商策略配置如图24所示。
图24 设备 A的IPsec协商策略配置
对设备 B的IPsec协商策略配置如图25所示。
图25 设备 B的IPsec协商策略配置
(5) 新建所需地址对象配置如下图26所示。
(6) 新建IPSec的控制策略,配置如图27所示。
图27 设备 A的配置信息
图28 设备 B的配置信息
(7) 新建IPSEC隧道接口配置。
对设备 A的隧道接口如图29所示。
图29 设备 A的隧道接口配置
对设备 B的隧道接口如下图30所示。
图30 设备 B的隧道接口配置
(8) 配置静态路由
需要将感兴趣流的路由指向tunnel口。
图31 设备 A静态路由配置
出接口配置方式:
图32 设备 B静态路由配置
出接口配置方式:
在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec 第三方对接 > IPsec SA”,查看IPsec SA。
图33 设备 A的IPsec SA
图34 设备 B的IPsec SA
如图35所示,公司总部需要与两个分支建立IPsec,保证分支可以和总部内网互通,并且在设备 A 和设备 B之间通过总部的IPsec也可以互通。总部公网IP为固定地址(202.38.160.1),两分支出口IP为动态地址.需要对总部Sever子网(30.1.1.1/24),分支Host A 的子网(10.1.1.1/24)与分支Host B 的子网(20.1.1.0/24)之间的数据流进行安全保护。
图35 IPsec组网图
v
(1) 按照组网图组网。
(2) 配置路由模式以及接口,使设备可以访问外网;
(3) 配置IKE;
(4) 配置IPsec;
(5) 配置地址对象
(6) 配置Tunnel口;
(7) 配置路由使Tunnel口互通;
(8) 配置安全策略;
(9) 查看IPSEC SA是否协商成功。
本举例是在R6612版本上进行配置和验证的。
(1) 配置路由模式,使3台设备能够访问外网(基本访问外网的配置不再截图)。
(2) 配置IKE
配置HUB的IKE,进入网络配置>VPN>IPsec-VPN>Ipsec第三方对接,点击新建,选择新建IKE。配置如图36所示。
图36 HUB-Spoke的IKE配置
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
配置SPOKE A的IKE,进入网络配置>VPN>IPsec-VPN>Ipsec第三方对接,点击新建,选择新建IKE。如下图37所示。
图37 SPOKE A的IKE配置
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
在SPOKE_B上配置与SPOKE_A协商参数一致的IKE,对端网关配置静态IP地址:202.38.160.1。
(3) 配置IPsec协商策略
配置HUB的IPSec,进入网络配置>VPN>IPsec-VPN>Ipsec第三方对接,点击新建,选择新建IPsec协商策略配置如图38所示。
图38 HUB的IPSec协商策略配置
配置SPOKE A的IPSec,进入网络配置>VPN>IPsec-VPN>Ipsec第三方对接,点击新建,选择新建IPsec。配置如图39所示。
图39 SPOKE A的IPSec协商策略配置
在SPOKE B上配置与设备 A协商参数一致的IPSec(分支端的ipsec配置自动连接,中心端的不配置自动连接)。
(4) 新建所需地址对象配置如下图40所示。
在Spoke A、Spoke B上也配置同样的地址对象。
(5) HUB上配置安全策略,进入策略配置>控制策略,将默认规则设置为允许。配置如图41所示。
图41 设备 A的配置信息
Spoke A、Spoke B上配置相同的全通策略。
(6) 新建IPSEC隧道接口
配置HUB的Tunnel口,进入网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec隧道接口,点击新建。配置如图42所示。
图42 HUB的Tunnel口配置
配置Spoke A的Tunnel口,进入网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec隧道接口,点击新建。如下图43所示。
图43 Spoke A的Tunnel口配置
配置Spoke B的Tunnel口,进入网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec隧道接口,点击新建。如图44所示。
图44 SpokeB的Tunnel口配置
(7) 配置路由使Tunnel口互通
配置hub为路由模式,进入网络配置>路由管理>静态路由,点击新建。配置如图45所示。
图45 hub静态路由配置
配置Spoke_A为路由模式,进入网络配置>路由管理>静态路由,点击新建。配置如图46所示。
图46 Spoke_A路由配置。
配置Spoke_B为路由模式,进入网络配置>路由管理>静态路由,点击新建。配置如图47所示。
图47 Spoke_B路由配置
(8) 查看IPSec是否协商成功
HUB:进入“网络配置>VPN>IPsec-VPN>IPSEC第三方对接”,查看IKE SA和IPsec SA如图48所示。
图48 Spoke 设备SA状态
Spoke A:进入“网络配置>VPN>IPsec-VPN>IPSEC第三方对接”,如图49所示。
图49 Spoke A 设备SA状态
Spoke B:进入“网络配置>VPN>IPsec-VPN>IPSEC第三方对接”,如图50所示。
图50 Spoke B设备SA状态
PC访问Server:Host A ping Host BPsec SA。
图51 设备 A的IPsec SA
如图52所示,由于公司业务扩大,在外办公人员较多,为了方便在外人员能够及时的访问到公司内部资料。在公司出口搭建remote IPsec建立一个安全隧道,对IPsec客户端的子网(172.16.190.1/24)与Server的子网(192.168.1.0/24)之间的数据流进行安全保护。
图52 IPsec组网图
按照组网图组网。配置接口ip,路由以及NAT,使内网pc可以访问外网(基本配置不再赘述)。
(1) 配置IPsec IKE
(2) 配置IPSec VPN
(3) 配置本地用户
(4) 配置IPSec隧道接口
(5) 配置路由
(6) 配置策略
(7) 配置客户端
本举例是在R6612版本上进行配置和验证的。
(1) 新建IKE协商:进入网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec配置,点击新建,选择新建IKE。
对设备 A的IKE配置如图53示。
图53 设备 A的IKE配置
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
地址池,点击新建,配置分配给客户端的子网。配置如图54所示。
图54 Remote vpn地址池配置
(2) 配置IPsec协商策略
对设备 A的IPsec协商策略配置如下图55所示。
图55 设备 A的IPsec协商策略配置
(3) 配置本地用户
进入用户管理>用户组织结构,点击新建用户。密码为123456。配置如图56所示。
(4) 进入策略配置>控制策略,将默认规则修改为允许,配置如图57所示。
图57 设备 A的配置信息
(5) 新建IPSEC隧道接口
进入网络配置>VPN>IPsec-VPN>Ipsec第三方对接>IPSec隧道接口,点击新建。配置如图58所示。
(6) 配置静态路由
进入网络配置>路由管理>静态路由,点击新建。配置如图59所示。
(7) PC客户端配置(vpn客户端使用的开源TheGreenBow IPsec VPN Client)
PC安装好IPSec VPN客户端,新建一条隧道,网关ip地址为124.202.226.34,远端子网配置想要访问的子网(设置为192.168.1.0/24),认证方式:与共享密钥;密钥:123456,选择扩展认证,点设置,用户名为test,密码默认为123456。配置如图60所示。
图60 TheGreenBow IPsec VPN Client配置
点高级,网关VPN的协商模式为主模式,具体参数与网关IPSec VPN的参数一致。
提交后,在二阶段tgbtest鼠标右键开启隧道出现认证页面输入用户名密码点击ok,详见下图。
连接成功后,分配的ip地址为172.16.190.0/24,pc可以访问公司server。
如图61所示,公司需要与认证服务器建立IPsec,保证认证流量可以和portal服务器内网互通,通过ipsec 隧道完成认证,认证后满足上网需求。总部公网IP为固定地址(221.12.159.242),portal 服务器侧公网IP为固定地址(221.12.104.22).需要对总部host A子网(10.32.122.0/24),服务器侧server A(10.23.254.12)之间数据流进行安全保护。
图61 IPSec联动IMC认证场景组网图
(1) 按照组网图组网。
(2) 配置路由模式以及接口,使设备可以访问外网;
(3) 配置源NAT
(4) 配置安全策略;
(5) 配置IKE;
(6) 配置IPsec;
(7) 配置地址对象
(8) 配置Tunnel口;
(9) 配置路由使Tunnel口互通;
(10) 查看IPSEC SA是否协商成功;
(11) 设备A上配置联动IMC 认证策略
(12) 指定设备内网口发起IMC 探测包。
源NAT的目的地址需排除 IMC地址。
(1) 配置路由模式,使两台设备能够访问外网(基本访问外网的配置不再截图)。
(2) 配置地址对象。
进入“策略配置>对象管理>地址对象”,进入地址对象页面,点击<新建>,新建一个“any3”地址对象,地址范围:0.0.0.0/0,排除IMC地址:10.23.254.12。
图62 配置地址对象组
(3) 配置源NAT。
进入“策略配置>NAT转换策略>源NAT”,点击<新建>,配置源NAT,注意目的地址对象需排除IMC的地址。
图63 配置源NAT
(4) 配置安全策略。
进入策略配置>控制策略,将默认规则设置为允许,如下图所示。
图64 设备 A的配置信息
设备 B上配置相同的全通策略。
(5) 配置IKE
配置设备A 的IKE,进入“网络配置>VPN>IPsec-VPN>Ipsec第三方对接”,点击新建,选择新建IKE。
图65 设备 A的IKE配置
注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。
配置设备 B的IKE,配置与设备 A 协商参数一致的IKE,对端网关配置静态IP地址:221.12.159.242。
(6) 配置IPsec协商策略
配置设备A的IPSec,进入“网络配置>VPN>IPsec-VPN>Ipsec第三方对接”,点击新建,选择新建IPsec协商策略。
图66 设备A的IPSec协商策略配置
配置设备B的IPSec,配置与设备 A 协商参数一致的IPsec。(分支端的ipsec配置自动连接,中心端的不配置自动连接)
(7) 新建IPSEC隧道接口
配置设备的Tunnel口,进入网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec隧道接口,点击新建。
图67 设备A的Tunnel口配置
配置设备 B的Tunnel口,进入网络配置>VPN>IPsec-VPN>IPsec第三方对接>IPsec隧道接口,点击新建。
图68 设备B的Tunnel口配置
(8) 配置路由使Tunnel口互通
配置设备A为路由模式,进入网络配置>路由管理>静态路由,点击新建。
图69 设备静态路由配置
配置设备B为路由模式,进入网络配置>路由管理>静态路由,点击新建。
图70 设备B路由配置。
(9) 查看IPSec是否协商成功
设备A:进入“网络配置>VPN>IPsec-VPN>IPSEC第三方对接”,查看IKE SA和IPsec SA如下图所示。
图71 设备A SA状态
设备B:参考设备A的查看方式。
(10) 在设备A上配置IMC portal 联动认证策略
请参考IMC联动portal 认证典型配置举例。
(11) 在设备A上指定内网口(GE2)发起IMC探测报文。
仅支持命令行配置,如下所示:
Host(config)#prefer-source destination 10.23.254.12 ge2
通过内网终端host A 访问外网,通过IPSec隧道弹出认证页面,如下图所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
