ER3200设置IPsec是否也需要公网地址?
- 0关注
- 2收藏,4361浏览
问题描述:
如果运营商给我路由器分配的是内网地址,那么是不是就配不了IPsec???
组网及组网描述:
- 2021-09-10提问
- 举报
-
(0)
最佳答案
至少有一端需要固定IP地址。
以下是IPSEC VPN的配置说明和举例:
10.1.2 IPSec VPN常见的组网模式
· 中心/分支模式应用在一对多网络中,如图10-1所示。中心/分支模式的网络采用野蛮模式进行IKE协商,可以使用安全网关名称或IP地址作为本端ID。在中心/分支模式的网络中,中心节点不会发起IPSec SA的协商,需要由分支节点首先向中心节点发起IPSec SA的协商。路由器通常作为分支节点的VPN接入设备使用。
图10-1 中心/分支模式组网
· 对等模式应用在一对一网络中,如图10-2所示。在对等模式的网络中,两端的设备互为对等节点,都可以向对端发起IPSec SA的协商。
10.2 设置虚接口
IPSec是同虚接口进行绑定的,数据流首先通过静态路由或者策略路由引入到虚接口,然后才会匹配规则进行IPSec加密处理。
虚接口需要映射到物理接口,只有需要进行IPSec处理的报文才会通过虚接口发送,其他报文仍然从实接口转发,另外路由加虚接口的配置模式使得VPN的配置更加灵活。
页面向导:VPN→IPSEC VPN→虚接口
本页面为您提供如下主要功能:
显示和修改已创建的虚接口(主页面) |
|
创建虚接口(单击主页面上的<新增>按钮,在弹出的对话框中选择一个虚接口通道以及映射的实际物理接口,单击<增加>完成操作) |
|
10.3 设置IKE
在实施IPSec的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。
IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
1. IKE简介
(1) IKE的安全机制
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。
【数据认证】:
数据认证有如下两方面的概念:
· 身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。
· 身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。
【DH】:
DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。
【PFS】:
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。
(2) IKE的交换过程
IKE使用了两个阶段为IPSec进行密钥协商并建立SA:
· 第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。
· 第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。
如图10-3所示,第一阶段主模式的IKE协商过程中包含三对消息:
· 第一对叫SA交换,是协商确认有关安全策略的过程;
· 第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;
· 最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。
野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。
(3) IKE在IPSec中的作用
· 因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。
· IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。
· IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。
· 对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。
· IKE提供端与端之间动态认证。
(4) IPSec与IKE的关系
图10-4 IPSec与IKE的关系图
从图10-4中我们可以看出IKE和IPSec的关系:
· IKE是UDP之上的一个应用层协议,是IPSec的信令协议;
· IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;
· IPSec使用IKE建立的SA对IP报文加密或认证处理。
2. 设置安全提议
安全提议定义了一套属性数据来描述IKE协商怎样进行安全通信。配置IKE安全提议包括选择加密算法、选择验证算法、选择Diffie-Hellman组标识。
页面向导:VPN→IPSEC VPN→IKE安全提议
本页面为您提供如下主要功能:
显示和修改已添加的IKE安全提议(主页面) |
|
添加一条新的IKE安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-3 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
IKE验证算法 | 选择IKE所使用的验证算法 缺省情况下,使用MD5 |
IKE加密算法 | 选择IKE所使用的加密算法 缺省情况下,使用3DES |
IKE DH组 | 选择IKE所使用的DH算法 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,使用DH2 |
3. 设置对等体
对等体定义了协商的双方,包括本端发起协商接口、对端地址、采用的安全提议、协商模式、ID类型等信息。只有经定义的双方才能够进行协商通信。
页面向导:VPN→IPSEC VPN→IKE对等体
本页面为您提供如下主要功能:
显示和修改已添加的IKE对等体(主页面) |
|
添加一个新的IKE对等体单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-4 页面关键项描述
页面关键项 | 描述 |
对等体名称 | 输入对等体的名称 |
虚接口 | 选择本端发起协商的出接口 |
对端地址 | 设置对等体对端的地址信息
如果对端地址不是固定地址而是动态地址,建议通过将对端地址配置为动态域名的方式进行连接 |
协商模式 | 选择协商模式。主模式一般应用于点对点的对等组网模式;野蛮模式一般应用于中心/分支组网模式 缺省情况下,使用主模式 |
ID类型、本端ID、对端ID | 此设置项需在野蛮模式下进行 当ID类型为NAME类型时,还需要指定相应的本端ID与对端ID |
安全提议 | 选择对等体需要引用的IKE安全提议 |
预共享密钥(PSK) | 设置IKE认证所需的预共享密钥(pre-shared-key) |
生命周期 | 设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准) |
DPD开启 | DPD用于IPsec邻居状态的检测。启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测 |
DPD周期 | 指定对等体DPD检测周期,即触发DPD查询的间隔时间 |
DPD超时时间 | 指定对等体DPD检测超时时间,即等待DPD应答报文超时的时间 |
10.4 设置IPSec
1. 设置安全提议
安全提议保存IPSec需要使用的特定安全性协议,以及加密/验证算法,为IPSec协商SA提供各种安全参数。为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议。
页面向导:VPN→IPSEC VPN→IPSec安全提议
本页面为您提供如下主要功能:
显示和修改已添加的IPSec安全提议(主页面) |
|
添加一条新的IPSec安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-5 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
安全协议类型 | 选择安全协议类型来实现安全服务 缺省情况下,使用ESP |
AH验证算法 | 选择AH验证算法 缺省情况下,使用MD5 |
ESP验证算法 | 选择ESP验证算法 缺省情况下,使用MD5 |
ESP加密算法 | 选择ESP加密算法 缺省情况下,使用3DES |
2. 设置安全策略
安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略。前者需要用户手工配置密钥、SPI等参数;后者则由IKE自动协商生成这些参数。
页面向导:VPN→IPSEC VPN→IPSec安全策略
本页面为您提供如下主要功能:
开启IPSec功能、显示和修改已添加的安全策略(主页面) |
|
设置使用IKE协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数,单击<增加>按钮完成操作) |
|
设置使用手动协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-6 页面关键项描述
页面关键项 | 描述 | ||
启用IPSec | 选中“启用IPSec”,开启IPSec功能 缺省情况下,禁用IPSec功能 | ||
安全策略名称 | 设置安全策略的名称,后面的复选框可以设置该安全策略的使用状态 | ||
本地子网IP/掩码 | 本地子网IP/掩码和对端子网IP/掩码,两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护 本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段 | ||
对端子网IP/掩码 | |||
协商类型 | 选择IPSec协商方式 缺省情况下,使用IKE协商方式 | ||
IKE协商模式 | 对等体 | 选择需要引用的IKE对等体 | |
安全提议 | 选择需要引用的IPSec安全提议
此模式下,一条安全策略最多可以引用四个安全提议,根据组网需求可以灵活的加以配置 | ||
PFS | PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败 · 禁止:关闭PFS特性 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,PFS特性处于关闭状态 | ||
生命周期 | 设置IPSec SA存在的生命周期 缺省情况下,生命周期为28800秒 | ||
触发模式 | 用来指定隧道的触发模式 · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立 · 长连模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发 | ||
手动模式 | 虚接口 | 指定与当前策略绑定的虚接口 | |
对端地址 | 指定IPSec对等体另外一端的IP地址 | ||
安全提议 | 选择需要引用的IPSec安全提议 | ||
入/出SPI值 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样;本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性,不允许输入相同的SPI值 | ||
安全联盟使用的密钥 | 入/出ESP MD5密钥 入/出ESP 3DES密钥 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的密钥必须和对端出方向SA的密钥一样;本端出方向SA的密钥必须和对端入方向SA的密钥一样 | |
10.5 查看VPN状态
页面向导:VPN→IPSEC VPN→安全联盟
本页面为您提供如下主要功能:
单击<刷新>按钮,您可以查看已建立的VPN隧道及对应的安全策略信息 |
|
10.6 一对一IPSec VPN配置举例
10.6.1 组网需求
在Router A(采用ER5200G2)和Router B(采用ER5200G2)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.0.0/16)之间的数据流进行安全保护。
安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。
10.6.2 组网图
图10-5 组网示意图
10.6.3 设置步骤
1. 设置Router A
1. 选择“VPN→IPSEC VPN→虚接口”。单击<新增>按钮,在弹出的对话框中选择一个虚接口通道,并将其与对应的出接口进行绑定(此处假设为WAN1),单击<增加>按钮完成操作 |
|
2. 选择“VPN→IPSEC VPN→IKE安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 |
|
3. 选择“VPN→IPSEC VPN→IKE对等体”。单击<新增>按钮,在弹出的对话框中输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮完成操作 |
|
4. 选择“VPN→IPSEC VPN→IPSec安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 |
|
5. 选择“VPN→IPSEC VPN→IPSec安全策略”。选中“启用IPSec功能”复选框,单击<应用>按钮生效。单击<新增>按钮,在弹出的对话框中输入安全策略名称,在“本地子网IP/掩码”和“对端子网IP/掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮完成操作 |
|
6. 为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通(一般情况下,只需要为隧道报文配置静态路由即可)。选择“高级设置→路由设置→静态路由”,单击<新增>按钮,在弹出的对话框中,设置目的地址、子网掩码等参数,单击<增加>按钮完成操作 |
|
2. 设置Router B
在对端Router B上,IPSec VPN的配置与Router A是相互对应的。因此,除了对等体的对端地址以及安全策略中的本地子网、对端子网需要做相应修改,其他的设置均一致。此处略。
3. 查看VPN状态
两端均设置完成后,您可以通过选择路由器的“VPN→IPSEC VPN→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。
- 2021-09-13回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论