最佳答案
以下是两个路由器配置ipsec 的方法。
仔细看完就会了。
MER
“中心—分支”方式组网环境中的分支节点设备需要主动建立IPsec隧道与中心节点通信。
对等方式组网环境中的设备需要与对端设备主动建立IPsec隧道。
(1) 单击导航树中[虚拟专网/IPsec VPN]菜单项,进入IPsec VPN配置页面。
单击“IPsec策略”页签,进入IPsec策略配置页面。
(2) 点击<添加>按钮,进入添加IPsec策略页面。
(3) 在“名称”配置项处,输入IPsec策略的名称。
(4) 在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与对端设备路由可达。
(5) 在“组网方式”配置项处,选择分支节点。
(6) 在“对端网关地址”配置项处,输入IPsec隧道对端的IP地址。通常为总部网关或对端分支机构网关的WAN口地址。
(7) 在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。
(8) 在“保护流配置”配置项处,进行如下配置:
a. 在“受保护协议”配置项处,选择受IPsec隧道保护的报文的协议类型。
b. 在“本端受保护网段/掩码”配置项处,输入本端受保护网段。
c. 在“本端受保护端口”配置项处,输入本端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。
由本端受保护网段内主机的受保护端口发送的报文将被设备进行IPsec隧道封装处理。
d. 在“对端受保护网段/掩码”配置项处,输入对端受保护网段。
e. 在“对端受保护端口”配置项处,输入对端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。
由对端受保护网段内主机的受保护端口发送的报文才可以被设备进行IPsec隧道解封装处理。
f. 可以通过多次执行步骤(9)添加多条保护流。
如您需要改变设备的缺省IKE配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 点击<显示高级配置>链接,进入高级配置页面。
(3) 单击“IKE配置”页签,进入IKE配置页面。
(4) 在“协商模式”配置项处,选择IKE协商模式:
¡ 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。
¡ 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。
若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。
(5) 在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(6)配置的对端身份类型和身份标识一致。
如果您执行步骤(4)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。
(6) 在“对端身份类型”配置项处,配置用于IKE认证的对端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(5)配置的本端身份类型和身份标识一致。
(7) 在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。
(8) 在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。您可选择推荐的算法组合亦可自定义认证算法、加密算法和PFS算法。
IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。
(9) 在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。
如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 单击“IPsec配置”页签,进入IPsec配置页面。
(3) 在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。您可选择推荐的算法组合亦可自定义安全协议、认证算法、加密算法、封装模式和PFS算法。
若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。
IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。
(4) 在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。
(5) 在“基于流量的SA生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。
(6) 点击<返回基本配置>按钮,返回添加IPsec策略页面。
(7) 点击<确定>按钮,完成配置。
“中心—分支”方式组网环境中的中心节点设备需要主动建立IPsec隧道与分支节点通信。
(1) 单击导航树中[虚拟专网/IPsec VPN]菜单项,进入IPsec VPN配置页面。
(2) 单击“IPsec策略”页签,进入IPsec策略配置页面。
(3) 点击<添加>按钮,进入添加IPsec策略页面。
(4) 在“名称”配置项处,输入IPsec策略的名称。
(5) 在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与分支节点设备路由可达。
(6) 在“组网方式”配置项处,选择中心节点。
(7) 在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。
如您需要改变设备的缺省IKE配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 点击<显示高级配置>链接,进入高级配置页面。
(3) 单击“IKE配置”页签,进入IKE配置页面。
(4) 在“协商模式”配置项处,选择IKE协商模式:
¡ 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。
¡ 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。
若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。
(5) 在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与分支节点设备上配置的对端身份类型和身份标识一致。
如果您执行步骤(4)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。
(6) 在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。
(7) 在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。您可选择推荐的算法组合亦可自定义认证算法、加密算法和PFS算法。
IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。
(8) 在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。
如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 单击“IPsec配置”页签,进入IPsec配置页面。
(3) 在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。您可选择推荐的算法组合亦可自定义安全协议、认证算法、加密算法、封装模式和PFS算法。
若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。
IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。
(4) 在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。
(5) 在“基于流量的SA生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。
(6) 点击<返回基本配置>按钮,返回添加IPsec策略页面。
(7) 点击<确定>按钮,完成配置。
er3260
· 中心/分支模式应用在一对多网络中,如图10-1所示。中心/分支模式的网络采用野蛮模式进行IKE协商,可以使用安全网关名称或IP地址作为本端ID。在中心/分支模式的网络中,中心节点不会发起IPSec SA的协商,需要由分支节点首先向中心节点发起IPSec SA的协商。路由器通常作为分支节点的VPN接入设备使用。
图10-1 中心/分支模式组网
· 对等模式应用在一对一网络中,如图10-2所示。在对等模式的网络中,两端的设备互为对等节点,都可以向对端发起IPSec SA的协商。
IPSec是同虚接口进行绑定的,数据流首先通过静态路由或者策略路由引入到虚接口,然后才会匹配规则进行IPSec加密处理。
虚接口需要映射到物理接口,只有需要进行IPSec处理的报文才会通过虚接口发送,其他报文仍然从实接口转发,另外路由加虚接口的配置模式使得VPN的配置更加灵活。
页面向导:VPN→IPSEC VPN→虚接口
本页面为您提供如下主要功能:
在实施IPSec的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。
IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
(1) IKE的安全机制
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。
【数据认证】:
数据认证有如下两方面的概念:
· 身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。
· 身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。
【DH】:
DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。
【PFS】:
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。
(2) IKE的交换过程
IKE使用了两个阶段为IPSec进行密钥协商并建立SA:
· 第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。
· 第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。
如图10-3所示,第一阶段主模式的IKE协商过程中包含三对消息:
· 第一对叫SA交换,是协商确认有关安全策略的过程;
· 第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;
· 最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。
野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。
(3) IKE在IPSec中的作用
· 因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。
· IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。
· IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。
· 对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。
· IKE提供端与端之间动态认证。
(4) IPSec与IKE的关系
图10-4 IPSec与IKE的关系图
从图10-4中我们可以看出IKE和IPSec的关系:
· IKE是UDP之上的一个应用层协议,是IPSec的信令协议;
· IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;
· IPSec使用IKE建立的SA对IP报文加密或认证处理。
安全提议定义了一套属性数据来描述IKE协商怎样进行安全通信。配置IKE安全提议包括选择加密算法、选择验证算法、选择Diffie-Hellman组标识。
页面向导:VPN→IPSEC VPN→IKE安全提议
本页面为您提供如下主要功能:
页面中关键项的含义如下表所示。
表10-3 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
IKE验证算法 | 选择IKE所使用的验证算法 缺省情况下,使用MD5 |
IKE加密算法 | 选择IKE所使用的加密算法 缺省情况下,使用3DES |
IKE DH组 | 选择IKE所使用的DH算法 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,使用DH2 |
对等体定义了协商的双方,包括本端发起协商接口、对端地址、采用的安全提议、协商模式、ID类型等信息。只有经定义的双方才能够进行协商通信。
页面向导:VPN→IPSEC VPN→IKE对等体
本页面为您提供如下主要功能:
页面中关键项的含义如下表所示。
表10-4 页面关键项描述
页面关键项 | 描述 |
对等体名称 | 输入对等体的名称 |
虚接口 | 选择本端发起协商的出接口 |
对端地址 | 设置对等体对端的地址信息 如果对端地址不是固定地址而是动态地址,建议通过将对端地址配置为动态域名的方式进行连接 |
协商模式 | 选择协商模式。主模式一般应用于点对点的对等组网模式;野蛮模式一般应用于中心/分支组网模式 缺省情况下,使用主模式 |
ID类型、本端ID、对端ID | 此设置项需在野蛮模式下进行 当ID类型为NAME类型时,还需要指定相应的本端ID与对端ID |
安全提议 | 选择对等体需要引用的IKE安全提议 |
预共享密钥(PSK) | 设置IKE认证所需的预共享密钥(pre-shared-key) |
生命周期 | 设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准) |
DPD开启 | DPD用于IPsec邻居状态的检测。启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测 |
DPD周期 | 指定对等体DPD检测周期,即触发DPD查询的间隔时间 |
DPD超时时间 | 指定对等体DPD检测超时时间,即等待DPD应答报文超时的时间 |
安全提议保存IPSec需要使用的特定安全性协议,以及加密/验证算法,为IPSec协商SA提供各种安全参数。为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议。
页面向导:VPN→IPSEC VPN→IPSec安全提议
本页面为您提供如下主要功能:
页面中关键项的含义如下表所示。
表10-5 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
安全协议类型 | 选择安全协议类型来实现安全服务 缺省情况下,使用ESP |
AH验证算法 | 选择AH验证算法 缺省情况下,使用MD5 |
ESP验证算法 | 选择ESP验证算法 缺省情况下,使用MD5 |
ESP加密算法 | 选择ESP加密算法 缺省情况下,使用3DES |
安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略。前者需要用户手工配置密钥、SPI等参数;后者则由IKE自动协商生成这些参数。
页面向导:VPN→IPSEC VPN→IPSec安全策略
本页面为您提供如下主要功能:
开启IPSec功能、显示和修改已添加的安全策略(主页面) | |
设置使用IKE协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数,单击<增加>按钮完成操作) | |
设置使用手动协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表10-6 页面关键项描述
页面关键项 | 描述 | ||
启用IPSec | 选中“启用IPSec”,开启IPSec功能 缺省情况下,禁用IPSec功能 | ||
安全策略名称 | 设置安全策略的名称,后面的复选框可以设置该安全策略的使用状态 | ||
本地子网IP/掩码 | 本地子网IP/掩码和对端子网IP/掩码,两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护 本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段 | ||
对端子网IP/掩码 | |||
协商类型 | 选择IPSec协商方式 缺省情况下,使用IKE协商方式 | ||
IKE协商模式 | 对等体 | 选择需要引用的IKE对等体 | |
安全提议 | 选择需要引用的IPSec安全提议 此模式下,一条安全策略最多可以引用四个安全提议,根据组网需求可以灵活的加以配置 | ||
PFS | PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败 · 禁止:关闭PFS特性 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,PFS特性处于关闭状态 | ||
生命周期 | 设置IPSec SA存在的生命周期 缺省情况下,生命周期为28800秒 | ||
触发模式 | 用来指定隧道的触发模式 · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立 · 长连模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发 | ||
手动模式 | 虚接口 | 指定与当前策略绑定的虚接口 | |
对端地址 | 指定IPSec对等体另外一端的IP地址 | ||
安全提议 | 选择需要引用的IPSec安全提议 | ||
入/出SPI值 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样;本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性,不允许输入相同的SPI值 | ||
安全联盟使用的密钥 | 入/出ESP MD5密钥 入/出ESP 3DES密钥 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的密钥必须和对端出方向SA的密钥一样;本端出方向SA的密钥必须和对端入方向SA的密钥一样 | |
页面向导:VPN→IPSEC VPN→安全联盟
本页面为您提供如下主要功能:
在Router A(采用ER5200G2)和Router B(采用ER5200G2)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.0.0/16)之间的数据流进行安全保护。
安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。
图10-5 组网示意图
1. 选择“VPN→IPSEC VPN→虚接口”。单击<新增>按钮,在弹出的对话框中选择一个虚接口通道,并将其与对应的出接口进行绑定(此处假设为WAN1),单击<增加>按钮完成操作 | |
2. 选择“VPN→IPSEC VPN→IKE安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 | |
3. 选择“VPN→IPSEC VPN→IKE对等体”。单击<新增>按钮,在弹出的对话框中输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮完成操作 | |
4. 选择“VPN→IPSEC VPN→IPSec安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 | |
5. 选择“VPN→IPSEC VPN→IPSec安全策略”。选中“启用IPSec功能”复选框,单击<应用>按钮生效。单击<新增>按钮,在弹出的对话框中输入安全策略名称,在“本地子网IP/掩码”和“对端子网IP/掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮完成操作 | |
6. 为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通(一般情况下,只需要为隧道报文配置静态路由即可)。选择“高级设置→路由设置→静态路由”,单击<新增>按钮,在弹出的对话框中,设置目的地址、子网掩码等参数,单击<增加>按钮完成操作 |
在对端Router B上,IPSec VPN的配置与Router A是相互对应的。因此,除了对等体的对端地址以及安全策略中的本地子网、对端子网需要做相应修改,其他的设置均一致。此处略。
两端均设置完成后,您可以通过选择路由器的“VPN→IPSEC VPN→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论