• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ER5200G2 VPN

2021-07-15提问
  • 0关注
  • 1收藏,1528浏览
粉丝:0人 关注:0人

问题描述:

总部是ER5200G2  通过一个ipsecVPN 可以对接多个分部吗?怎么设置?

组网及组网描述:


最佳答案

粉丝:48人 关注:1人

可以的

各个分部的内网网段不要相同就行

在Router A(采用ER5200G2)和Router B(采用ER5200G2)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.0.0/16)之间的数据流进行安全保护。

安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。

10.6.2  组网图

图10-5 组网示意图

 

10.6.3  设置步骤

1. 设置Router A

1.     选择“VPN→IPSEC VPN→虚接口”。单击<新增>按钮,在弹出的对话框中选择一个虚接口通道,并将其与对应的出接口进行绑定(此处假设为WAN1),单击<增加>按钮完成操作

2.     选择“VPN→IPSEC VPN→IKE安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作

3.     选择“VPN→IPSEC VPN→IKE对等体”。单击<新增>按钮,在弹出的对话框中输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮完成操作

4.     选择“VPN→IPSEC VPN→IPSec安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作

5.     选择“VPN→IPSEC VPN→IPSec安全策略”。选中“启用IPSec功能”复选框,单击<应用>按钮生效。单击<新增>按钮,在弹出的对话框中输入安全策略名称,在“本地子网IP/掩码”和“对端子网IP/掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮完成操作

6.     为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通(一般情况下,只需要为隧道报文配置静态路由即可)。选择“高级设置→路由设置→静态路由”,单击<新增>按钮,在弹出的对话框中,设置目的地址、子网掩码等参数,单击<增加>按钮完成操作

 

2. 设置Router B

在对端Router B上,IPSec VPN的配置与Router A是相互对应的。因此,除了对等体的对端地址以及安全策略中的本地子网、对端子网需要做相应修改,其他的设置均一致。此处略。

3. 查看VPN状态

两端均设置完成后,您可以通过选择路由器的“VPN→IPSEC VPN→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。

暂无评论

2 个回答
粉丝:249人 关注:0人

您好,可以的,参考配置

10.1.2  IPSec VPN常见的组网模式

·     中心/分支模式应用在一对多网络中,如图10-1所示。中心/分支模式的网络采用野蛮模式进行IKE协商,可以使用安全网关名称或IP地址作为本端ID。在中心/分支模式的网络中,中心节点不会发起IPSec SA的协商,需要由分支节点首先向中心节点发起IPSec SA的协商。路由器通常作为分支节点的VPN接入设备使用。

图10-1 中心/分支模式组网

 

·     对等模式应用在一对一网络中,如图10-2所示。在对等模式的网络中,两端的设备互为对等节点,都可以向对端发起IPSec SA的协商。

图10-2 对等模式组网

 

10.2  设置虚接口

IPSec是同虚接口进行绑定的,数据流首先通过静态路由或者策略路由引入到虚接口,然后才会匹配规则进行IPSec加密处理。

虚接口需要映射到物理接口,只有需要进行IPSec处理的报文才会通过虚接口发送,其他报文仍然从实接口转发,另外路由加虚接口的配置模式使得VPN的配置更加灵活。

页面向导:VPN→IPSEC VPN→虚接口

本页面为您提供如下主要功能:

显示和修改已创建的虚接口(主页面)

创建虚接口(单击主页面上的<新增>按钮,在弹出的对话框中选择一个虚接口通道以及映射的实际物理接口,单击<增加>完成操作)

 

10.3  设置IKE

在实施IPSec的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。

IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。

1. IKE简介

(1)     IKE的安全机制

IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。

【数据认证】:

数据认证有如下两方面的概念:

·     身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。

·     身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。

【DH】:

DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。

【PFS】:

PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。

(2)     IKE的交换过程

IKE使用了两个阶段为IPSec进行密钥协商并建立SA:

·     第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。

·     第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。

图10-3 主模式交换过程

 

图10-3所示,第一阶段主模式的IKE协商过程中包含三对消息:

·     第一对叫SA交换,是协商确认有关安全策略的过程;

·     第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;

·     最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。

野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。

(3)     IKE在IPSec中的作用

·     因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。

·     IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。

·     IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。

·     对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。

·     IKE提供端与端之间动态认证。

(4)     IPSec与IKE的关系

图10-4 IPSec与IKE的关系图

 

图10-4中我们可以看出IKE和IPSec的关系:

·     IKE是UDP之上的一个应用层协议,是IPSec的信令协议;

·     IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;

·     IPSec使用IKE建立的SA对IP报文加密或认证处理。

2. 设置安全提议

安全提议定义了一套属性数据来描述IKE协商怎样进行安全通信。配置IKE安全提议包括选择加密算法、选择验证算法、选择Diffie-Hellman组标识。

页面向导:VPN→IPSEC VPN→IKE安全提议

本页面为您提供如下主要功能:

显示和修改已添加的IKE安全提议(主页面)

添加一条新的IKE安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-3 页面关键项描述

页面关键项

描述

安全提议名称

输入安全提议的名称

IKE验证算法

选择IKE所使用的验证算法

缺省情况下,使用MD5

IKE加密算法

选择IKE所使用的加密算法

缺省情况下,使用3DES

IKE DH组

选择IKE所使用的DH算法

·     DH1:768位DH组

·     DH2:1024位DH组

·     DH5:1536位DH组

·     DH14:2048位DH组

缺省情况下,使用DH2

 

3. 设置对等体

对等体定义了协商的双方,包括本端发起协商接口、对端地址、采用的安全提议、协商模式、ID类型等信息。只有经定义的双方才能够进行协商通信。

页面向导:VPN→IPSEC VPN→IKE对等体

本页面为您提供如下主要功能:

显示和修改已添加的IKE对等体(主页面)

添加一个新的IKE对等体单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-4 页面关键项描述

页面关键项

描述

对等体名称

输入对等体的名称

虚接口

选择本端发起协商的出接口

对端地址

设置对等体对端的地址信息

说明

如果对端地址不是固定地址而是动态地址,建议通过将对端地址配置为动态域名的方式进行连接

协商模式

选择协商模式。主模式一般应用于点对点的对等组网模式;野蛮模式一般应用于中心/分支组网模式

缺省情况下,使用主模式

ID类型、本端ID、对端ID

此设置项需在野蛮模式下进行

当ID类型为NAME类型时,还需要指定相应的本端ID与对端ID

安全提议

选择对等体需要引用的IKE安全提议

预共享密钥(PSK)

设置IKE认证所需的预共享密钥(pre-shared-key)

生命周期

设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准)

DPD开启

DPD用于IPsec邻居状态的检测。启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测

DPD周期

指定对等体DPD检测周期,即触发DPD查询的间隔时间

DPD超时时间

指定对等体DPD检测超时时间,即等待DPD应答报文超时的时间

 

10.4  设置IPSec

1. 设置安全提议

安全提议保存IPSec需要使用的特定安全性协议,以及加密/验证算法,为IPSec协商SA提供各种安全参数。为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议。

页面向导:VPN→IPSEC VPN→IPSec安全提议

本页面为您提供如下主要功能:

显示和修改已添加的IPSec安全提议(主页面)

添加一条新的IPSec安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-5 页面关键项描述

页面关键项

描述

安全提议名称

输入安全提议的名称

安全协议类型

选择安全协议类型来实现安全服务

缺省情况下,使用ESP

AH验证算法

选择AH验证算法

缺省情况下,使用MD5

ESP验证算法

选择ESP验证算法

缺省情况下,使用MD5

ESP加密算法

选择ESP加密算法

缺省情况下,使用3DES

 

2. 设置安全策略

安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略。前者需要用户手工配置密钥、SPI等参数;后者则由IKE自动协商生成这些参数。

页面向导:VPN→IPSEC VPN→IPSec安全策略

本页面为您提供如下主要功能:

开启IPSec功能、显示和修改已添加的安全策略(主页面)

设置使用IKE协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数,单击<增加>按钮完成操作)

设置使用手动协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数,单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-6 页面关键项描述

页面关键项

描述

启用IPSec

选中“启用IPSec”,开启IPSec功能

缺省情况下,禁用IPSec功能

安全策略名称

设置安全策略的名称,后面的复选框可以设置该安全策略的使用状态

本地子网IP/掩码

本地子网IP/掩码和对端子网IP/掩码,两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护

本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段

对端子网IP/掩码

协商类型

选择IPSec协商方式

缺省情况下,使用IKE协商方式

IKE协商模式

对等体

选择需要引用的IKE对等体

安全提议

选择需要引用的IPSec安全提议

说明

此模式下,一条安全策略最多可以引用四个安全提议,根据组网需求可以灵活的加以配置

PFS

PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败

·     禁止:关闭PFS特性

·     DH1:768位DH组

·     DH2:1024位DH组

·     DH5:1536位DH组

·     DH14:2048位DH组

缺省情况下,PFS特性处于关闭状态

生命周期

设置IPSec SA存在的生命周期

缺省情况下,生命周期为28800秒

触发模式

用来指定隧道的触发模式

·     流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立

·     长连模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发

手动模式

虚接口

指定与当前策略绑定的虚接口

对端地址

指定IPSec对等体另外一端的IP地址

安全提议

选择需要引用的IPSec安全提议

入/出SPI值

在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样;本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性,不允许输入相同的SPI值

安全联盟使用的密钥

入/出ESP MD5密钥

入/出ESP 3DES密钥

在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的密钥必须和对端出方向SA的密钥一样;本端出方向SA的密钥必须和对端入方向SA的密钥一样

 

10.5  查看VPN状态

页面向导:VPN→IPSEC VPN→安全联盟

本页面为您提供如下主要功能:

单击<刷新>按钮,您可以查看已建立的VPN隧道及对应的安全策略信息

暂无评论

粉丝:133人 关注:6人

您好,请知:

可以的。

以下是IPSEC VPN的配置举例,请参考:

https://www.h3c.com/cn/d_202103/1390789_30005_0.htm#_Toc65230509 

 

10.6  一对一IPSec VPN配置举例

10.6.1  组网需求

在Router A(采用ER5200G2)和Router B(采用ER5200G2)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.0.0/16)之间的数据流进行安全保护。

安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。

10.6.2  组网图

图10-5 组网示意图

 

10.6.3  设置步骤

1. 设置Router A

1.     选择“VPN→IPSEC VPN→虚接口”。单击<新增>按钮,在弹出的对话框中选择一个虚接口通道,并将其与对应的出接口进行绑定(此处假设为WAN1),单击<增加>按钮完成操作

2.     选择“VPN→IPSEC VPN→IKE安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作

3.     选择“VPN→IPSEC VPN→IKE对等体”。单击<新增>按钮,在弹出的对话框中输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮完成操作

4.     选择“VPN→IPSEC VPN→IPSec安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作

5.     选择“VPN→IPSEC VPN→IPSec安全策略”。选中“启用IPSec功能”复选框,单击<应用>按钮生效。单击<新增>按钮,在弹出的对话框中输入安全策略名称,在“本地子网IP/掩码”和“对端子网IP/掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮完成操作

6.     为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通(一般情况下,只需要为隧道报文配置静态路由即可)。选择“高级设置→路由设置→静态路由”,单击<新增>按钮,在弹出的对话框中,设置目的地址、子网掩码等参数,单击<增加>按钮完成操作

 

2. 设置Router B

在对端Router B上,IPSec VPN的配置与Router A是相互对应的。因此,除了对等体的对端地址以及安全策略中的本地子网、对端子网需要做相应修改,其他的设置均一致。此处略。

3. 查看VPN状态

两端均设置完成后,您可以通过选择路由器的“VPN→IPSEC VPN→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明