ER3200 支持ipsec的user-fqdn吗,怎么配置
- 1关注
- 1收藏,1527浏览
问题描述:
对齐方式
- 靠左
- 居中
- 靠右
ER3200 支持ipsec的user-fqdn吗,怎么配置
组网及组网描述:
- 2021-04-21提问
- 举报
-
(0)
最佳答案
您好,请知:
可以的。
以下是配置IPSEC VPN的说明,请参考:
https://www.h3c.com/cn/d_201403/819372_30005_0.htm#_Toc381719033
7.2 设置虚接口
IPSec是同虚接口进行绑定的,数据流首先通过静态路由或者策略路由引入到虚接口,然后才会匹配规则进行IPSec加密处理。
虚接口需要映射到物理接口,只有需要进行IPSec处理的报文才会通过虚接口发送,其他报文仍然从实接口转发,另外路由加虚接口的配置模式使得VPN的配置更加灵活。
页面向导:VPN→VPN设置→虚接口
本页面为您提供如下主要功能:
· 显示和修改已创建的虚接口(主页面) |
|
· 创建虚接口(单击主页面上的<新增>按钮,在弹出的对话框中选择一个虚接口通道以及映射的实际物理接口,单击<增加>完成操作) |
|
7.3 设置IKE
在实施IPSec 的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec 提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。
IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
1. IKE简介
(1) IKE的安全机制
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。
【数据认证】:
数据认证有如下两方面的概念:
· 身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。
· 身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。
【DH】:
DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。
【PFS】:
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。
(2) IKE的交换过程
IKE使用了两个阶段为IPSec进行密钥协商并建立SA:
· 第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。
· 第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。
如图7-3所示,第一阶段主模式的IKE协商过程中包含三对消息:
· 第一对叫SA交换,是协商确认有关安全策略的过程;
· 第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;
· 最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。
野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。
(3) IKE在IPSec中的作用
· 因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。
· IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。
· IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。
· 对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。
· IKE提供端与端之间动态认证。
(4) IPSec与IKE的关系
图7-4 IPSec与IKE的关系图
从图7-4中我们可以看出IKE和IPSec的关系:
· IKE是UDP之上的一个应用层协议,是IPSec的信令协议;
· IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;
IPSec使用IKE建立的SA对IP报文加密或认证处理。
2. 设置安全提议
安全提议定义了一套属性数据来描述IKE 协商怎样进行安全通信。配置IKE 提议包括选择加密算法、选择验证算法、选择Diffie-Hellman组标识。
页面向导:VPN→VPN设置→IKE安全提议
本页面为您提供如下主要功能:
· 显示和修改已添加的IKE安全提议(主页面) |
|
· 添加一条新的IKE安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表7-3 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
IKE验证算法 | 选择IKE所使用的验证算法 缺省情况下,使用MD5 |
IKE加密算法 | 选择IKE所使用的加密算法 缺省情况下,使用3DES |
IKE DH组 | 选择IKE所使用的DH算法 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,使用DH2 |
3. 设置对等体
对等体定义了协商的双方,包括本端发起协商接口、对方地址、采用的安全提议、协商模式、ID类型等信息。只有经定义的双方才能够进行协商通信。
页面向导:VPN→VPN设置→IKE对等体
本页面为您提供如下主要功能:
· 显示和修改已添加的IKE对等体(主页面) |
|
· 添加一个新的IKE对等体单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表7-4 页面关键项描述
页面关键项 | 描述 |
对等体名称 | 输入对等体的名称 |
虚接口 | 选择本端发起协商的出接口 |
对端地址 | 设置对等体对端的地址信息
如果对端地址不是固定地址而是动态地址,建议通过将对端地址配置为动态域名的方式进行连接 |
协商模式 | 选择协商模式。主模式一般应用于点对点的对等组网模式;野蛮模式一般应用于中心/分支组网模式 缺省情况下,使用主模式 |
ID类型、本端ID、对端ID | 此设置项需在野蛮模式下进行 当ID类型为NAME类型时,还需要指定相应的本端ID与对端ID |
安全提议 | 选择对等体需要引用的IKE安全提议 |
预共享密钥(PSK) | 设置IKE认证所需的预共享密钥(pre-shared-key) |
生命周期 | 设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准) |
DPD开启 | DPD用于IPsec邻居状态的检测。启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测 |
DPD周期 | 指定对等体DPD检测周期,即触发DPD查询的间隔时间 |
DPD超时时间 | 指定对等体DPD检测超时时间,即等待DPD应答报文超时的时间 |
7.4 设置IPSec
1. 设置安全提议
安全提议保存IPSec需要使用的特定安全性协议,以及加密/验证算法,为IPSec协商SA提供各种安全参数。为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议。
页面向导:VPN→VPN设置→IPSec安全提议
本页面为您提供如下主要功能:
· 显示和修改已添加的IPSec安全提议(主页面) |
|
· 添加一条新的IPSec安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表7-5 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
安全协议类型 | 选择安全协议类型来实现安全服务 缺省情况下,使用ESP |
AH验证算法 | 选择AH验证算法 缺省情况下,使用MD5 |
ESP验证算法 | 选择ESP验证算法 缺省情况下,使用MD5 |
ESP加密算法 | 选择ESP加密算法 缺省情况下,使用3DES |
2. 设置安全策略
安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略。前者需要用户手工配置密钥、SPI等参数;后者则由IKE自动协商生成这些参数。
页面向导:VPN→VPN设置→IPSec安全策略
本页面为您提供如下主要功能:
· 开启IPSec功能、显示和修改已添加的安全策略(主页面) |
|
· 设置使用IKE协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数,单击<增加>按钮完成操作) |
|
· 设置使用手动协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表7-6 页面关键项描述
页面关键项 | 描述 | ||
启用IPSec | 选中“启用IPSec”,开启IPSec功能 缺省情况下,禁用IPSec功能 | ||
安全策略名称 | 设置安全策略的名称,后面的复选框可以设置该安全策略的使用状态 | ||
本地子网IP/掩码 | 本地子网IP/掩码和对端子网IP/掩码,两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护 本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段 | ||
对端子网IP/掩码 | |||
协商类型 | 选择IPSec协商方式 缺省情况下,使用IKE协商方式 | ||
IKE协商模式 | 对等体 | 选择需要引用的IKE对等体 | |
安全提议 | 选择需要引用的IPSec安全提议
此模式下,一条安全策略最多可以引用四个安全提议,根据组网需求可以灵活的加以配置 | ||
PFS | PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败 · 禁止:关闭PFS特性 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,PFS特性处于关闭状态 | ||
生命周期 | 设置IPSec SA存在的生命周期 缺省情况下,生命周期为28800秒 | ||
手动模式 | 虚接口 | 指定与当前策略绑定的虚接口 | |
对端地址 | 指定IPSec对等体另外一端的IP地址 | ||
安全提议 | 选择需要引用的IPSec安全提议 | ||
入/出SPI值 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样;本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性,不允许输入相同的SPI值 | ||
安全联盟使用的密钥 | 入/出ESP MD5密钥 入/出ESP 3DES密钥 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI及密钥必须和对端出方向SA的SPI及密钥一样;本端出方向SA的SPI及密钥必须和对端入方向SA的SPI及密钥一样 | |
7.5 查看VPN状态
页面向导:VPN→VPN状态→安全联盟
本页面为您提供如下主要功能:
· 单击<刷新>按钮,您可以查看已建立的VPN隧道及对应的安全策略信息 |
|
IPSec VPN隧道建立后,路由器会自动添加一条路由信息(目的地址是为IPSec VPN对端网段地址,出接口为IPSec VPN虚接口)。您可以通过单击“静态路由”页面中的<查看路由信息表>按钮来获知。
- 2021-04-21回答
- 评论(2)
- 举报
-
(0)
fqdn 有name fqdn和user fqdn ,都支持是吗
默认好像都是name fqdn 对方使用user fqdn 建立失败
参考https://www.h3c.com/cn/d_201403/819372_30005_0.htm#_Toc381719033
可以试一下
fqdn就是域名,配置连接里是可以的
- 2021-04-21回答
- 评论(2)
- 举报
-
(0)
默认好像都是name fqdn 对方使用user fqdn 建立失败
fqdn 里面有user fqdn 和name fqdn 吧
默认好像都是name fqdn 对方使用user fqdn 建立失败
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
默认好像都是name fqdn 对方使用user fqdn 建立失败