H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6616)-6W101

07-IPSec-VPN

1 IPsec

1.1 IPsec概述

IPsec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPsec提供了以下网络安全服务，这些安全服务是可选的，通常情况下，本地安全策略决定了采用以下安全服务的一种或多种：

· 数据的机密性：IPsec的发送方对发给对端的数据进行加密。

· 数据的完整性：IPsec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改。

· 数据来源的认证：IPsec接收方验证数据的起源。

· 抗重播：IPsec的接收方可以检测到重播的IP包并且丢弃。

使用IPsec可以避免数据包的监听、修改和欺骗，数据可以在不安全的公共网络环境下安全的传输，IPsec的典型运用是构建VPN。IPsec使用 “封装安全载荷（ESP）”或者“鉴别头（AH）”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播；使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ，根据安全策略数据库（SPDB）随IPsec使用，用来协商安全联盟（SA）并动态的管理安全联盟数据库。

1.2 配置IPsec

1.2.1 配置概述

IPsec配置的推荐步骤如表1-1所示。

表1-1 IPsec 配置的推荐步骤

配置任务	说明	详细配置
配置IKE协商策略	必选	1.2.2
配置IPsec协商策略	必选	1.2.3
配置IPsec隧道接口	必选	1.2.4

1.2.2 配置IKE协商策略

在导航栏中选择“网络配置>VPN>IPsec-VPN> IPsec第三方对接”，进入IPsec的显示页面，如图1-1所示。显示设备上已有的IKE协商策略。

图1-1 IPsec显示页面

页面的详细说明如表1-2。

表1-2 IPsec显示页面的详细说明

项目	说明
名称	IKE的和对应的IPsec名称。
详细信息	IKE的详细信息。
操作	可以对相应IPsec进行的操作。

单击<新建>按钮，在下拉菜单中选择<新建IKE>，或者点击对应IKE的右侧<编辑>按钮，进入IKE的配置页面，如图1-2所示。

图1-2 IKE新建页面

页面的详细说明如表1-3所示。

表1-3 IKE基本配置的详细说明

项目	说明
网关名称	设置IPsec ISAKMP网关的名称。1~63字符。
本地源接口/本地源IP地址/无	当有多出口时，需要指定用于建立IPsec的本端IP地址。如果指定的是本地源接口，则使用该接口上的主IP作为本端IP地址。说明：对于本地源IP和无的配置，接口down无法判断要清除那个SA，所以统一处理逻辑为接口down不自动清SA，通过DPD机制来检测链路状态即可，DPD保活失败，会自动清除SA
对端网关	指定用于创建IPsec VPN连接的对端网关地址，可以有静态IP、域名、动态三种选择。
IP地址/域名	根据对端网关选择的类型，可以输入对端网关的IP地址或者域名。
模式	选择IKE协商模式，分为主模式和野蛮模式。 · 主模式：IKE协商要经过三个阶段：SA交换、密钥交换、ID交换和验证，适用于两端设备的公网IP固定、且要实现设备之间点对点通讯的场景。 · 野蛮模式：IKE协商要经过两个阶段：SA交换和密钥生成、ID交换和验证，适用于中心设备的IP地址为固定地址而客户端设备的IP地址为动态地址的场景。
认证方式	指定一阶段认证所采用的方式，有预共享密钥、数字证书和国密认证三种选择。
预共享密钥/证书、CA证书、国密证书	根据认证方式选择的类型，预共享密钥、CA证书或者国密证书。

点击<高级选项>，可以显示出更多内容，如图1-3所示。

图1-3 IKE新建页面高级选项

页面的详细说明如表1-4所示。

表1-4 IKE配置高级选项的详细说明

项目	说明
IKE协商交互方案	添加一阶段协商所需要的加密提案，最多可以添加3个。默认加密方式为AES256_SHA2_256。设备目前支持以下加密算法：3DES、SM4、DES、AES（128/192/256位）。设备目前支持以下认证方式：MD5、SM3、SHA、SHA_256。
DH组	指定DH交换组。
密钥周期	设置SA第一阶段的密钥周期，单位为秒。到达密钥周期后，SA双方需要重新进行IKE协商。
NAT穿越连接频率	即在穿越NAT时，NAT会话保活报文的发送间隔。
本端ID	支持IP地址，FQDN和User-FQDN三种格式。其中FQDN和User-FQDN只能用于野蛮模式。
对端ID	支持IP地址，FQDN和User-FQDN三种格式。其中FQDN和User-FQDN只能用于野蛮模式。用于校验对端的ID，以匹配对应的IKE。
对等体状态探测	即DPD监测，可以开启该功能，用以探测对端的存活状况。对于IPSEC分支非常多的场景，如有几千个甚至上万个分支，不建议开启DPD检测，否则中心端的设备会因为处理大量DPD报文而严重消耗CPU资源
DPD检测间隔	设置向对端发送DPD请求报文的时间间隔，单位为秒。
DPD失败重试间隔	如果前一次发送的DPD报文未得到回应，则使用重试间隔来发送下一次DPD报文。一般DPD失败重试间隔小于DPD检测间隔，用于快速地确认对端是否存活。
DPD失败重试次数	在重试了指定次数后，仍未得到对端的回应，则认为对端已断开连接。
扩展认证	开启该功能后，设备可以结合已配置的认证服务器（如LDAP服务器）对试图访问IPsec VPN的用户进行认证。需要在用户管理页面添加用户，具体步骤可参考用户管理模块。
模式配置	给远程接入的用户分配地址及下发DNS、WINS服务器。
地址池	给远程接入的用户分配地址的地址对象。
拨号用户DNS	给远程接入的用户分配的DNS服务器IP地址。
拨号用户WINS	给远程接入的用户分配的WINS服务器IP地址。
不删除IPSec SA	与第三方厂商的设备对接使用，默认不需要开启。

输入完毕后，点击<提交>按钮，应用配置。

在IPsec显示页面，点击IKE右侧的<删除>按钮，可以删除对应的IKE。

1.2.3 配置IPsec协商策略

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接”，进入IPsec配置的显示页面，单击<新建IPsec>按钮，或者点击对应IPsec的右侧<编辑>按钮，进入IPsec协商策略的配置页面，如图1-4所示。

图1-4 IPsec新建页面

点击下方<高级选项>按钮可以显示更多的配置选项，如图1-5所示。

图1-5 IPsec协商策略高级选项配置页面

页面的详细说明如表1-5所示。

表1-5 IPsec协商策略配置的详细说明

项目	说明
通道名称	IPsec协商策略名称。
IKE	选择一个已经新建的IKE。
IPsec协商交互方案	添加二阶段协商所需要的加密提案，最多可以添加4个。ESP和AH不允许全为空。 ESP只验证IP负载部分，不包括IP首部，可对数据进行加密；AH验证IP负载部分和首部，但不提供加密服务。
完美向前保密（PFS）	指定完美向前保密组。启用PFS功能后，一个密钥只能访问由它所保护的数据；用于生成密钥的元素一次一换，不能再生成其他密钥；一个密钥被破解，不影响其他密钥的安全性。 PFS功能由DH算法提供保障，目前可选的1组、2组、5组、14组、15组、16组、18组密钥长度分别为768位、1024位、1536位、2048位、3072位、4096位、8192位。
模式	IPSEC加密的封装模式，目前只支持隧道（tunnel）模式。
密钥周期	指定IPSEC SA最大有效时间，有时间、流量、时间+流量三种选择。
自动连接	是否开启自动连接功能，如果开启此选择需同时设定一个自动重连时间间隔。
流量触发连接	开启此功能，不会建立IPsec隧道，在有流量通过的情况，才会建立IPsec隧道。
监控链路故障自动连接	指定主备IPsec VPN链路，通过设置的监控时间（2~3600秒）判断主链路是否正常连接；如主链路出现异常，按照切换延时时间（30~3600秒）切换到备链路。此功能必须设置时间为自动连接的时间； · 主链路：需要选择监控的主链路； · 切换延迟时间：主链路选择后需要设置主链路故障后切换到本链路的时长。

输入完毕后，点击<提交>按钮，应用配置。

在IPsec显示页面，点击IPsec右侧的<删除>按钮，可以删除对应的IPsec。

1.2.4 配置IPsec隧道接口

IPsec协议通过在两个通信端之间建立加密通道保护通信方之间传输的数据，该通道称为IPsec隧道。

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接 > IPsec隧道接口”，进入IPsec隧道接口的显示页面，如图1-6所示。

图1-6 IPsec隧道接口显示页面

单击页面上方<新建>按钮，或者点击对应隧道接口的右侧<编辑>按钮，进入IPsec隧道接口的配置页面，如图1-7所示。

图1-7 IPsec隧道接口的新建页面

页面的详细说明如表1-6。

表1-6 IPsec隧道接口新建页面的详细说明

项目	说明
IPsec接口	IPsec隧道的编号，tunnel+ID的形式，系统会自动推荐一个空闲的编号，也可自行填入。
IP地址	为tunnel接口指定一个IPv4或IPv6地址。
IPsec	指定一个已经存在的IPsec协商策略。
地址项目	设置感兴趣流，即受保护的数据流范围。输入源网段和目的网段，点击<添加到列表>，加入下方的列表中。

输入完毕后，点击<提交>按钮，应用配置。

在IPsec隧道接口显示页面，点击隧道接口右侧的<删除>按钮，可以删除对应的隧道接口。

1.3 IPsec VPN的查看和管理

1.3.1 查看IPsec SA

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接 > IPsec SA”，进入IPsec SA显示页面。页面中显示了已经新建的IPsec SA。如图1-8所示。

图1-8 IPsec SA显示页面

74712b5fc2760b9e2502c321a534adb

页面的详细说明如表1-7。

表1-7 IPsec SA显示页面的详细说明

项目	说明
名称	IPsec SA的名称。
对端网关	IPsec SA的对端网关。
本地网关	IPsec SA的本地网关。
状态	IPsec SA的状态： “连接”表示IPsec连接成功； “未连接”表示IPsec连接不成功，需要检查对接双方网络以及IPsec配置是否有问题。
过期时间/过期流量	IPsec SA的过期时间/过期流量。
流量（入/出）	IPsec SA的入流量/出流量。
源网络	IPsec SA的源网络。
目的网络	IPsec SA的目的网络。
操作	可以对相应IPsec SA进行的操作。单击“”可以查看IPsec SA的具体信息，例如状态、ESP、AH等；单击“”可以清除当前IPsec SA的状态记录，设备会自动重新建立IPsec连接，不影响配置。

点击页面右侧的<删除>按钮，可以删除对应的IPsec SA。

点击页面右侧的<详细>按钮，可以看到对应的IPsec SA的详细信息。

1.3.2 查看IKE SA

在导航栏中选择“网络配置 > VPN > IPsec-VPN > Ipsec第三方对接 > IKE SA”，进入IKE SA显示页面，页面中显示了已经新建的IKE SA。如图1-9所示。

图1-9 IKE SA显示页面

51b042449f35a2c216f0d62708dd939

页面的详细说明如表1-8。

表1-8 IKE SA显示页面的详细说明

项目	说明
名称	IKE SA的名称。
对端网关	IKE SA的对端网关。
本地网关	IKE SA的本地网关。
状态	IKE SA的状态： “连接”表示IKE连接成功； “未连接”表示IKE连接不成功，需要检查对接双方网络以及IKE配置是否有问题。
过期时间	IKE SA的过期时间。
操作	可以对相应IKE SA进行的操作，可以清除此条IKE的状态记录，设备会自动重新建立IKE连接，不影响配置。

点击页面右侧的<删除>按钮，可以删除对应的IKE SA。

2 IPsec快速配置

2.1 IPsec快速配置概述

由于连锁酒店分支机构众多，IPSEC VPN业务的部署和维护非常复杂，给管理员的工作带来非常大的挑战：“VPN业务多变，管理复杂”，现有标准IPSEC VPN的配置比较繁琐，组网变化带来的配置改动比较大。因此急需提供一种易用性更好，配置更简洁的解决方案。IPSEC 快速配置就是在这样的场景下应运而生的。

按照以往VPN的配置，一个分支上线会有很多相关配置，步骤较多，且在隧道显示上也不太友好，主要表现在如下几个方面：

· 每个分支上线都需要创建IKE、IPsec和对应的tunnel口，然后在tunnel口配置感兴趣流，和对应的tunnel路由。中心端有多少个IP，分支端就需要创建多少个IKE、IPsec和tunnel口及tunnel路由。当走IPsec隧道的网段发生变化时，我们需要同步修改对应的感兴趣流和tunnel路由。当分支特别多的时候，对于管理员来说是一项非常巨大且繁琐的工作，很容易出现配置错误，不好排查。

· 在web页面查看各隧道的流量和状态时，每个隧道只能显示本端IP和对端IP，却不知道这条隧道对应的哪个分支，需要根据分支和IP的对应关系，才能知道属于哪个分支。且一个分支的多个感兴趣流会显示多个SA，无法聚合，显得比较杂乱，不便查看。

· 如果一个分支的私有网段和另一个分支的私有网段有冲突，如，都使用了192.168.10.1/24网段，则后上线的分支需要做NAT，转换为另外一个不冲突的网段才能正常工作。这个NAT配置需要绑定对应的隧道口，以明确只有过隧道的流量才需要转换。如果隧道口有变动，则相应的NAT配置也需要做对应变动。

鉴于以上配置上的繁琐和显示上的不友好，我们要做出改进，优化连锁酒店的IPSEC VPN管理工作，尽可能地使VPN配置自动化，简单化，甚至是傻瓜化，做到“快速上线、动态适应、部署简单”。

针对以上目标，IPSEC快速配置具体的改进措施如下：

· 隐藏IKE/IPsec/tunnel口的创建过程

· 管理员只需配置本端分支名称，对端IP和预共享密钥。后台根据这些配置，自动生成对应的IKE、IPsec和tunnel口，其它相关参数均使用内置的默认参数。

· 感兴趣流不再配置，tunnel路由不再配置

· 管理员只需要配置本端的保护网段，即需要走IPsec的源网段。对端也是如此。当两端建立起IKE后，交互各自的保护网段，形成感兴趣流，同时以对端的保护网段为目的网段，生成对应的tunnel路由。

· 支持多线路备份

· 高优先级线路断开后，无缝切换到低优先级的线路；当高优先级线路恢复后，再切换回高优先级线路。

· NAT规则不再配置

· 管理员只需要配置哪些源网段转换为哪些目的网段。后台会自动生成对应的NAT规则。

· 隧道状态展示优化

· 页面显示隧道状态时，以分支名称为key，一条记录聚合显示该分支相关隧道的信息，便于查看，支持搜索。

2.2 创建IPsec快速配置

2.2.1 配置概述

IPsec配置的推荐步骤如下表所示。

表2-1 IPsec快速配置的推荐步骤

配置任务	说明	详细配置
节点基本信息配置	必选	2.2.2
保护网段配置	必选	2.2.3
高级选项配置（选路策略、网段映射）	可选	2.2.4

2.2.2 节点基本信息配置

在导航栏中选择“网络配置>VPN>IPsec-VPN>IPsec快速配置”，进入IPsec快速配置的显示页面，如图2-1、图2-2、图2-3所示。

图2-1 IPsec快速配置分支节点显示页面

图2-2 IPsec快速配置新建对端网关显示页面

图2-3 IPsec快速配置中心节点显示页

页面的详细说明如表2-2。

表2-2 IPsec快速配置显示页面的详细说明

项目	说明
名称	节点的IPSEC名称，多隧道时聚合隧道的名称显示成该名称
节点位置	包含分支节点、中心节点两种类型 · 分支节点：本端用作IPsec VPN的分支节点，主动向对端（即中心节点）发起IPsec协商请求。 · 中心节点：本端用作IPsec VPN的中心节点。中心节点不会主动发起IPsec协商请求，需要由分支节点首先向中心节点发起协商请求。
新建对端网关	分支对端中心节点IP配置，多隧道时配置多个IP，IP最多配置4个，每配置一个IP就会自动生成一套IKE、IPSEC、tunnel的配置
本端IP配置	中心节点与分支对接的接口IP配置，多个接口配置多个IP，最多配置4个IP，每配置一个IP就会自动生成一套IKE、IPSEC、tunnel的配置
预共享密钥	用于分支和中心之间验证对端身份（长度为3-39个字符）

2.2.3 保护网段配置

在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec快速配置”，进入IPsec保护网段的显示页面，单击<保护接口>按钮，在接口列表中选择<接口 >并设置掩码，或者单击<保护子网>按钮，设置保护网段和掩码，如图2-4所示。

图2-4 IPsec保护子网配置页面

点击左侧<保护接口>按钮可以保护接口配置选项，如图2-5所示。

图2-5 IPsec协商策略详细配置页面

页面的详细说明如表2-3所示。

表2-3 IPsec保护网段配置的详细说明

项目	说明
保护接口	自动根据保护接口IP及掩码生成保护网段，该网段会自动传递给对端网关，对端网关根据此保护网段自动生成相应tunnel口的路由。
保护子网	该网段会自动传递给对端网关，对端网关根据此保护网段自动生成相应tunnel口的路由。

输入完毕后，点击<添加到列表>，点击<提交>按钮，应用配置。

在IPsec保护网段列表中，点击保护网段右侧的<删除>按钮，可以删除对应的保护网段，或者选中多个条目，点击左上角的<删除>按钮，批量删除多个保护网段的配置。

2.2.4 高级选项配置

在导航栏中选择“网络配置 > VPN > IPsec-VPN > IPsec快速配置”，节点类型选择<分支节点>，单击对端网关<新建>按钮，进入分支节点“高级选项配置”。如图2-6所示。

图2-6 IPsec分支节点高级选项选路策略配置页面

输入线路名称、线路IP，点击<添加到列表>，点击<提交>应用配置。

点击右侧<网段映射>，进入高级选项-网段映射配置页面，如图2-7所示。

图2-7 IPsec分支节点高级选项网段映射配置页面

输入源网段、映射后网段，点击<添加到列表>，点击<提交>应用配置。

页面的详细说明如表2-4所示。

表2-4 IPsec高级选项的详细说明

项目	说明
选路策略	选路策略中的线路顺序决定了不同隧道的路由优先级，按照线路列表从上到下的顺序依次选路，规格支持配置4条线路。
线路名称	设置线路名称。
线路IP	设置线路对应的IP，线路IP必须在对端网关IP中。
网段映射	一对一NAT映射，源网段和映射后网段掩码必须一致，按照IP的顺序进行一对一映射，最多支持32个网段映射。
源网段	映射前源网段。
映射后网段	映射后目的网段，在对端网关看到的保护网段是映射后网段。

说明：中心节点高线选项配置只有网段映射，没有选路策略，选路策略只需在分支节点配置，分支节点配置的选路策略会自动同步给中心节点。

2.3 IPsec状态监控

2.3.1 查看IPsec监控

在导航栏中选择“网络配置 > VPN > IPsec-VPN快速配置 > IPsec 监控”，进入IPsec监控显示页面。页面中显示了已经新建的IPsec聚合隧道。如图2-8所示。

图2-8 IPsec监控显示页面

页面的详细说明如表2-5。

表2-5 IPsec监控显示页面的详细说明

项目	说明
名称	对端IPSEC名称。
状态	IPSEC SA状态。
流量（入/出）	聚合隧道的双向总流量。
对端内网地址	对端保护网段。
隧道数	分支与中心设备之间建立的隧道数量计数。
接入时间	隧道建立时间。
操作	点击可删除聚合隧道。

点击聚合隧道左侧的按钮，可以展开显示各隧道的详细情况，如图2-9所示。

图2-9

页面的详细说明如表2-6。

表2-6 IPsec监控显示页面的详细说明

项目	说明
隧道名称	隧道名称，显示为分支端配置的选路策略中的线路名称。
状态	隧道IPSEC SA状态。
流量（入/出）	隧道的双向流量统计。
优先级	隧道优先级，多隧道备份时流量优先走优先级数值小的隧道，其它隧道做备份。
隧道数	分支与中心设备之间建立的隧道数量计数。
本端公网地址	隧道本端的公网地址。
对端公网地址	隧道对端的公网地址。
接入时间	隧道建立时间。

2.4 IPSec典型配置举例

2.4.1 组网需求

如下图2-10所示，在设备 A 和设备 B之间建立两个安全隧道，对Host A 代表的子网（2.2.2.0/24）与Host B 代表的子网（13.13.13.0/24）之间的数据流进行安全保护，同时实现隧道备份。

2.4.2 组网图

图2-10 IPsec举例组网图

2.4.3 配置步骤

(1) 中心设备IPSEC快速配置

对设备 A的IPSEC配置如图2-11所示。

图2-11 设备 A的IPSEC快速配置

(2) 分支设备IPSEC快速配置

对设备 B的IPSEC快速配置如图2-12、图2-13所示。

图2-12 设备 B的ISPEC快速配置

图2-13 设备 B选路策略配置

2.4.4 验证配置结果

在导航栏中选择“网络配置 > VPN > IPsec-VPN >IPsec快速配置> IPsec 监控”，查看隧道建立状态。

图2-14 设备 A的IPsec监控

图2-15 设备 B的IPsec 监控

3 VPN链路备份

3.1 概述

为了保障VPN链路的稳定性和可用性，可以在设备上配置一主一备2条IPSec VPN链路，在一条IPSec VPN链路不通的情况下，即一段时间无法建立链接时，启用另一条IPSec VPN链路。

3.2 VPN链路备份配置

3.2.1 配置IPsec主链路

在导航栏中选择“网络配置 > VPN > IPsec-VPN>IPsec第三方对接”，参照IPSEC配置，新建一条IKE后，选择该条目再选择新建一条ipsec，进入主链路配置页面，如图3-1所示。

图3-1 主链路配置页面

表3-1 主链路配置详细说明

项目	说明
密钥周期	指定IPSEC SA最大有效时间，有时间、流量、时间+流量三种选择。
秒	IPSEC SA最大有效时间。
连接方式	连接方式，可选择自动连接、流量触发连接、监控链路故障自动连接。
时间	自动连接时间。

输入完毕后，点击<提交>按钮，应用配置，点击<取消>按钮，取消配置修改。

3.2.2 配置IPsec备链路

在导航栏中选择“网络配置 > VPN > IPsec-VPN>Ipsec第三方对接”，参照IPSEC配置，新建一条IKE后，选择该条目再选择新建一条ipsec，进入备链路配置页面，如图3-2所示。

图3-2 备链路配置页面

页面的相关配置的详细说明如表3-2所示（其余参数说明参见IPsec相关配置）。

表3-2 备链路配置详细说明

项目	说明
密钥周期	指定IPSEC SA最大有效时间，有时间、流量、时间+流量三种选择。
秒	IPSEC SA最大有效时间。
连接方式	连接方式，可选择自动连接、流量触发连接、监控链路故障自动连接。
时间	自动连接时间。
主链路	选择作为该备份链路的主链路。
切换延迟时间	主备链路切换时间。