Eudemon防火墙IPsec应用专题V1.docx

1、Eudemon防火墙IPsec应用专题V1Eudemon防火墙IPsec应用专题我司Eudemon系列分为E100/E200、E500/E1000两个系列，都支持ipsec，下面就Ipsec的实际应用遇到的几个问题做个简单的总结和介绍。1 知识准备文档见附件，IPSec&IKE.ppt IKE协议学习理解.doc重点关注两篇文档中的IPsec两个阶段业务报文的交互过程与各个报文携带的协商信息，对于了解IPsec的配置有很大的帮助。可以简单理解为第一阶段建立IKE SA，为IPsec SA的建立提供加密通道第二阶段建立IPsec SA，为业务报文提供加密通道2 IPsec典型配置2.1 典型IK

2、E自动协商配置2.1.1 组网及需求具体要求如下： 主机1与2之间进行安全通信，在Eudemon A与Eudemon B之间使用IKE自动协商建立安全通道。 为使用pre-shared key验证方法的提议配置验证字。2.1.2 A的配置（默认参数示例）acl 3000rule permit ip source 202.39.1.0 0.0.0.255 destination 172.70.2.0 0.0.0.255quitike proposal 10authentication-method pre-shareencryption-algorithm des-cbcauthenticati

3、on-algorithm shadh group1sa duration 86400quitike peer a exchange-mode mainike-proposal 10 local-id-type ip pre-shared-key huaweiremote-address 202.38.169.1 quitipsec proposal tran1 transform esp esp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel quitipsec policy

4、 map1 10 isakmp ike-peer a proposal tran1 security acl 3000 quitinterface Ethernet 2/0/0 ipsec policy map1 quit2.1.3 B的配置（默认参数示例）acl 3000 rule permit ip source 172.70.2.0 0.0.0.255 destination 202.39.1.0 0.0.0.255 quitike proposal 10authentication-method pre-shareencryption-algorithm des-cbcauthenti

5、cation-algorithm shadh group1sa duration 86400quitike peer a exchange-mode mainike-proposal 10 local-id-type ip pre-shared-key huaweiremote-address 202.38.160.1 quitipsec proposal tran1 transform esp esp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel quitipsec po

6、licy map1 10 isakmp ike-peer a proposal tran1 security acl 3000 quitinterface Ethernet 2/0/0 ipsec policy map1 quit2.1.4 配置模板见附件：主模式A.txt 主模式B.txt2.2 配置多客户端的IPsec server2.2.1 配置方法一（子策略方式）这种方式就是通过在server端设置多个ipsec子策略来匹配不同客户端，server端需要配置详细的IKE和IPsec参数，准确匹配client端的IPsec配置，可以主动发起连接。由于客户端配置与配置方法二一样，这里也不再

7、赘述。Serveracl 3000rule permit ip source source destination destinationAquitacl 3001rule permit ip source source destination destinationBquitike proposal 10authentication-method pre-shareencryption-algorithm des-cbcauthentication-algorithm shadh group1sa duration 86400quitike proposal 20authentication

8、-method pre-shareencryption-algorithm 3des-cbcauthentication-algorithm md5dh group2sa duration 86400quitike peer a exchange-mode mainike-proposal 10 local-id-type ip pre-shared-key huawei1remote-address clientA quitike peer b exchange-mode mainike-proposal 20 local-id-type ip pre-shared-key huawei2r

9、emote-address clientB quitipsec proposal tran1 transform esp esp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel quitipsec proposal tran2 transform ah ah authentication-algorithm sha1encapsulation-mode tunnel quitipsec policy map1 10 isakmp ike-peer a proposal tra

10、n1 security acl 3000 quitipsec policy map1 20 isakmp ike-peer b proposal tran2 security acl 3001 quitinterface Ethernet 2/0/0 ipsec policy map1 quit2.2.2 配置方法二（策略模板方式）这种方法就是在IPsec server端设置IPsec策略模板，优点是服务器端可以不关心安全acl范围、PFS特性、可以使用发起端的配置参数，缺点是不能主动发起IPsec连接。ike proposal 10authentication-method pre-shar

11、eencryption-algorithm des-cbcauthentication-algorithm shadh group1sa duration 86400quit ike proposal 20authentication-method pre-shareencryption-algorithm 3des-cbcauthentication-algorithm md5dh group2sa duration 86400quitike peer aike-proposal 10exchange-mode aggressivelocal-id-type nameremote-name

12、clientA pre-shared-key huawei1quitike peer b ike-proposal 20exchange-mode aggressivelocal-id-type nameremote-name clientBpre-shared-key huawei2quitipsec proposal tran1 transform esp esp authentication-algorithm md5 esp encryption-algorithm des encapsulation-mode tunnel quitipsec proposal tran2 trans

13、form ah ah authentication-algorithm sha1encapsulation-mode tunnel quitipsec policy-template map1 10 ike-peer a proposal tran1quitipsec policy-template map1 20 ike-peer b proposal tran2quitipsec policy map 1 isakmp template map1interface Ethernet 2/0/0 ipsec policy map1 quit3 IPsec穿越NAT配置（NAT和IPsec不在

14、同一台Eudemon上）以目前无线AP应用场景为例，这是个典型的ipsec进行nat穿越的例子。需要说明的是：IPsec在做nat穿越的时候，必须采用野蛮模式、隧道封装才可以，具体原因看下面文件。见附件：IPsec NAT穿越介绍.doc3.1 组网介绍AP解决方案是华为根据各个运营商加强覆盖需求设计的家庭以及办公区域加强覆盖的解决方案, AP通过Internet和AG互相通讯, 提供标准的UU接口和通常的WCDMA终端进行通讯, 该解决方案具有很强的竞争力, 吸引了众多运营商开展Trial测试。AP通过ADSL modem等访问Internet,然后通过Internet,穿透防火墙和放在防火

15、墙后面的AG以及AHR等设备进行通讯这样的组网场景最贴近于最终商用的组网场景（见图1）,是Trial测试过程中运营商普遍关注的测试内容。3.2 实例组网图AP通过ADSL modem或者cable modem等可以访问Internet，SKT防火墙可以支持IPSec的nat穿越。3.3 配置说明此配置是ipsec server配置，允许不同的ipsec客户端拨入/创建ACL，既是ipsec的安全acl，又是出方向的访问控制列表，模板方式时可以不配置security acl，但是如果配置了acl的话，本端规则必须大于等于对端acl规则（包含）acl number 3000 description

16、 ike_acl rule 0 permit ip source 10.35.31.0 0.0.0.255 destination 10.10.11.0 0.0.0.255 quit/设置IKE local name， ike local-name aptest/ike 安全提议ike proposal 1 encryption-algorithm des-cbc authentication-method pre-shareauthentication-algorithm md5dh group2 sa duration 600 quit/创建ike peerike peer ap exch

17、ange-mode aggressive pre-shared-key huawei ike-proposal 1 local-id-type name remote-name apikelocal nat traversal quit/创建安全提议ipsec proposal ap transform esp esp authentication-algorithm md5 esp encryption-algorithm 3des encapsulation-mode tunnel quit/创建安全策略模版ipsec policy-template ap 1 security acl 3

18、000 ike-peer ap proposal ap quitEudemon实现的IPSec安全策略除可以应用到实际物理接口外，还能应用到Tunnel、Virtual Template等逻辑接口。当要求IPSec与其他使用逻辑接口的特性组网时，即可配置IPSec安全策略模板。例如，当需要创建L2TP+IPSec隧道时，需要在LNS端配置IPSec安全策略模板。需要创建安全策略模板时，隧道对端地址、PFS特性可以不配置。但如果配置了这些参数中的一个或几个，则这些参数需要匹配，才能成功协商隧道。模板方式时可以不配置security acl，但是如果配置了acl的话，本端规则必须大于等于对端acl

19、规则（包含。在使用预共享密钥方式时，为使模板能够接收不同的对端发起的协商，在ike-peer中可以指定对端地址范围或不指定对端地址，这样就允许不同的拨号用户接入。在IPSec服务发起端不配置安全策略模板，要配置安全策略。在IPSec服务终结端配置使用安全策略模板的安全策略。同时在IPSec服务发起端，安全策略配置的acl规则必须指定源地址范围以便IPSec服务终结端能够正确将回应数据加密回送。不能用使用策略模板的安全策略来发起安全联盟的协商，但可以响应协商。/创建安全策略ipsec policy ap 1 isakmp template ap/在接口上应用Ipsecinterface Ethe

20、rnet2/0/0 ipsec policy ap quit一个接口只能应用一个安全策略组，一个安全策略组可以应用到多个接口上。如果所应用的是自动协商方式的安全联盟，不会立即建立安全联盟，只有当符合某IPSec安全策略的数据流从该接口外出时，才会触发IKE去协商IPSec安全联盟。3.4 检查配置结果操作命令查看当前已建立的安全通道display ike sa secp 查看IKE Peer的配置情况display ike peer name peer-name secp 查看每个IKE提议配置的参数display ike proposal secp 查看安全联盟的相关信息display ip

21、sec sa brief | remote ip-address | policy policy-name seq-number | duration secp 查看安全提议的信息display ipsec proposal name proposal-name secp 查看安全策略的信息display ipsec policy brief | name policy-name seq-number secp 查看安全策略模板的信息display ipsec policy-template brief | name policy-name seq-number secp 3.5 配置模板见附

22、件：野蛮模ipsec server.TXT 野蛮模ipsec client.TXT4 IPsec穿越NAT配置（NAT和IPsec在同一台Eudemon上）可以将NAT和IPsec同时部署在一台Eudemon上，但是要注意的是：由于IPsec和NAT的配合问题（在上面IPsec的NAT穿越介绍.doc中有详细介绍），在同一台设备上，NAT流程都是在IPsec流程之前，不光是我们的Eudemon设备，其他设备也是这样实现的；所以，我们在配置Security acl的时候，源地址需要匹配NAT后的地址。4.1 组网介绍如图，pc 192.168.10.10通过防火墙NAT功能访问Internet和

23、数据库203.200.110.10，需要建立IPsec隧道访问数据库。4.2 配置说明A的配置acl number 3000 rule permit ip source 211.105.1.1 0 destination 203.200.110.10 quitike local-name EudemonAike proposal 10 encryption-algorithm des authentication-method pre-share authentication-algorithm sha dh group1 sa duration 86400 quitike peer Eude

24、monB exchange-mode aggressive ike-proposal 10 local-id-type name nat traversal pre-shared-key test remote-name EudemonB remote-address 203.200.100.1 quitipsec proposal huawei transform esp esp authentication-algorithm sha1 esp encryption-algorithm des encapsulation tunnel quitipsec policy huawei 100

25、 isakmp security acl 3000 proposal huawei ike-peer EudemonB quitinterface Ethernet 0/0/0 ipsec policy huawei quitB的配置ike local-name EudemonBike proposal 10 encryption-algorithm des authentication-method pre-share authentication-algorithm sha dh group1 sa duration 86400 quitike peer EudemonA exchange

26、-mode aggressive ike-proposal 10 local-id-type name nat traversal pre-shared-key test remote-name HWFW quitipsec proposal huawei transform esp esp authentication-algorithm sha1 esp encryption-algorithm des encapsulation tunnel quitipsec policy-template temp 10 proposal huawei ike-peer HWFW quitipsec policy huawei 100 isakmp templete tempinterface Ethernet 0/0/0 ipsec policy huawei quit由于B采用模板配置，所以不用配置Security acl，采用A的Security acl配置。