Eudemon防火墙IPsec应用专题V1.docx
《Eudemon防火墙IPsec应用专题V1.docx》由会员分享,可在线阅读,更多相关《Eudemon防火墙IPsec应用专题V1.docx(17页珍藏版)》请在冰点文库上搜索。
Eudemon防火墙IPsec应用专题V1
Eudemon防火墙IPsec应用专题
我司Eudemon系列分为E100/E200、E500/E1000两个系列,都支持ipsec,下面就Ipsec的实际应用遇到的几个问题做个简单的总结和介绍。
1知识准备文档
见附件,IPSec&IKE.pptIKE协议学习理解.doc
重点关注两篇文档中的IPsec两个阶段业务报文的交互过程与各个报文携带的协商信息,对于了解IPsec的配置有很大的帮助。
可以简单理解为
第一阶段建立IKESA,为IPsecSA的建立提供加密通道
第二阶段建立IPsecSA,为业务报文提供加密通道
2IPsec典型配置
2.1典型IKE自动协商配置
2.1.1组网及需求
具体要求如下:
●主机1与2之间进行安全通信,在EudemonA与EudemonB之间使用IKE自动协商建立安全通道。
●为使用pre-sharedkey验证方法的提议配置验证字。
2.1.2A的配置(默认参数示例)
acl3000
rulepermitipsource202.39.1.00.0.0.255destination172.70.2.00.0.0.255
quit
ikeproposal10
authentication-methodpre-share
encryption-algorithmdes-cbc
authentication-algorithmsha
dhgroup1
saduration86400
quit
ikepeera
exchange-modemain
ike-proposal10
local-id-typeip
pre-shared-keyhuawei
remote-address202.38.169.1
quit
ipsecproposaltran1
transformesp
espauthentication-algorithmmd5
espencryption-algorithmdes
encapsulation-modetunnel
quit
ipsecpolicymap110isakmp
ike-peera
proposaltran1
securityacl3000
quit
interfaceEthernet2/0/0
ipsecpolicymap1
quit
2.1.3B的配置(默认参数示例)
acl3000
rulepermitipsource172.70.2.00.0.0.255destination202.39.1.00.0.0.255
quit
ikeproposal10
authentication-methodpre-share
encryption-algorithmdes-cbc
authentication-algorithmsha
dhgroup1
saduration86400
quit
ikepeera
exchange-modemain
ike-proposal10
local-id-typeip
pre-shared-keyhuawei
remote-address202.38.160.1
quit
ipsecproposaltran1
transformesp
espauthentication-algorithmmd5
espencryption-algorithmdes
encapsulation-modetunnel
quit
ipsecpolicymap110isakmp
ike-peera
proposaltran1
securityacl3000
quit
interfaceEthernet2/0/0
ipsecpolicymap1
quit
2.1.4配置模板
见附件:
主模式A.txt主模式B.txt
2.2配置多客户端的IPsecserver
2.2.1配置方法一(子策略方式)
这种方式就是通过在server端设置多个ipsec子策略来匹配不同客户端,server端需要配置详细的IKE和IPsec参数,准确匹配client端的IPsec配置,可以主动发起连接。
由于客户端配置与配置方法二一样,这里也不再赘述。
Server
acl3000
rulepermitipsourcesourcedestinationdestinationA
quit
acl3001
rulepermitipsourcesourcedestinationdestinationB
quit
ikeproposal10
authentication-methodpre-share
encryption-algorithmdes-cbc
authentication-algorithmsha
dhgroup1
saduration86400
quit
ikeproposal20
authentication-methodpre-share
encryption-algorithm3des-cbc
authentication-algorithmmd5
dhgroup2
saduration86400
quit
ikepeera
exchange-modemain
ike-proposal10
local-id-typeip
pre-shared-keyhuawei1
remote-addressclientA
quit
ikepeerb
exchange-modemain
ike-proposal20
local-id-typeip
pre-shared-keyhuawei2
remote-addressclientB
quit
ipsecproposaltran1
transformesp
espauthentication-algorithmmd5
espencryption-algorithmdes
encapsulation-modetunnel
quit
ipsecproposaltran2
transformah
ahauthentication-algorithmsha1
encapsulation-modetunnel
quit
ipsecpolicymap110isakmp
ike-peera
proposaltran1
securityacl3000
quit
ipsecpolicymap120isakmp
ike-peerb
proposaltran2
securityacl3001
quit
interfaceEthernet2/0/0
ipsecpolicymap1
quit
2.2.2配置方法二(策略模板方式)
这种方法就是在IPsecserver端设置IPsec策略模板,优点是服务器端可以不关心安全acl范围、PFS特性、可以使用发起端的配置参数,缺点是不能主动发起IPsec连接。
ikeproposal10
authentication-methodpre-share
encryption-algorithmdes-cbc
authentication-algorithmsha
dhgroup1
saduration86400
quitikeproposal20
authentication-methodpre-share
encryption-algorithm3des-cbc
authentication-algorithmmd5
dhgroup2
saduration86400
quit
ikepeera
ike-proposal10
exchange-modeaggressive
local-id-typename
remote-nameclientA
pre-shared-keyhuawei1
quit
ikepeerb
ike-proposal20
exchange-modeaggressive
local-id-typename
remote-nameclientB
pre-shared-keyhuawei2
quit
ipsecproposaltran1
transformesp
espauthentication-algorithmmd5
espencryption-algorithmdes
encapsulation-modetunnel
quit
ipsecproposaltran2
transformah
ahauthentication-algorithmsha1
encapsulation-modetunnel
quit
ipsecpolicy-templatemap110
ike-peera
proposaltran1
quit
ipsecpolicy-templatemap120
ike-peerb
proposaltran2
quit
ipsecpolicymap1isakmptemplatemap1
interfaceEthernet2/0/0
ipsecpolicymap1
quit
3IPsec穿越NAT配置(NAT和IPsec不在同一台Eudemon上)
以目前无线AP应用场景为例,这是个典型的ipsec进行nat穿越的例子。
需要说明的是:
IPsec在做nat穿越的时候,必须采用野蛮模式、隧道封装才可以,具体原因看下面文件。
见附件:
IPsecNAT穿越介绍.doc
3.1组网介绍
AP解决方案是华为根据各个运营商加强覆盖需求设计的家庭以及办公区域加强覆盖的解决方案,AP通过Internet和AG互相通讯,提供标准的UU接口和通常的WCDMA终端进行通讯,该解决方案具有很强的竞争力,吸引了众多运营商开展Trial测试。
AP通过ADSLmodem等访问Internet,然后通过Internet,穿透防火墙和放在防火墙后面的AG以及AHR等设备进行通讯这样的组网场景最贴近于最终商用的组网场景(见图1),是Trial测试过程中运营商普遍关注的测试内容。
3.2实例组网图
AP通过ADSLmodem或者cablemodem等可以访问Internet,SKT防火墙可以支持IPSec的nat穿越。
3.3配置说明
此配置是ipsecserver配置,允许不同的ipsec客户端拨入
//创建ACL,既是ipsec的安全acl,又是出方向的访问控制列表,模板方式时可以不配置securityacl,但是如果配置了acl的话,本端规则必须大于等于对端acl规则(包含)
aclnumber3000
descriptionike_acl
rule0permitipsource10.35.31.00.0.0.255destination10.10.11.00.0.0.255
quit
//设置IKElocalname,
ikelocal-nameaptest
//ike安全提议
ikeproposal1
encryption-algorithmdes-cbc
authentication-methodpre-share
authentication-algorithmmd5
dhgroup2
saduration600
quit
//创建ikepeer
ikepeerap
exchange-modeaggressive
pre-shared-keyhuawei
ike-proposal1
local-id-typename
remote-nameapikelocal
nattraversal
quit
//创建安全提议
ipsecproposalap
transformesp
espauthentication-algorithmmd5
espencryption-algorithm3des
encapsulation-modetunnel
quit
//创建安全策略模版
ipsecpolicy-templateap1
securityacl3000
ike-peerap
proposalap
quit
Eudemon实现的IPSec安全策略除可以应用到实际物理接口外,还能应用到Tunnel、VirtualTemplate等逻辑接口。
当要求IPSec与其他使用逻辑接口的特性组网时,即可配置IPSec安全策略模板。
例如,当需要创建L2TP+IPSec隧道时,需要在LNS端配置IPSec安全策略模板。
需要创建安全策略模板时,隧道对端地址、PFS特性可以不配置。
但如果配置了这些参数中的一个或几个,则这些参数需要匹配,才能成功协商隧道。
模板方式时可以不配置securityacl,但是如果配置了acl的话,本端规则必须大于等于对端acl规则(包含。
在使用预共享密钥方式时,为使模板能够接收不同的对端发起的协商,在ike-peer中可以指定对端地址范围或不指定对端地址,这样就允许不同的拨号用户接入。
在IPSec服务发起端不配置安全策略模板,要配置安全策略。
在IPSec服务终结端配置使用安全策略模板的安全策略。
同时在IPSec服务发起端,安全策略配置的acl规则必须指定源地址范围以便IPSec服务终结端能够正确将回应数据加密回送。
不能用使用策略模板的安全策略来发起安全联盟的协商,但可以响应协商。
//创建安全策略
ipsecpolicyap1isakmptemplateap
//在接口上应用Ipsec
interfaceEthernet2/0/0
ipsecpolicyap
quit
一个接口只能应用一个安全策略组,一个安全策略组可以应用到多个接口上。
如果所应用的是自动协商方式的安全联盟,不会立即建立安全联盟,只有当符合某IPSec安全策略的数据流从该接口外出时,才会触发IKE去协商IPSec安全联盟。
3.4检查配置结果
操作
命令
查看当前已建立的安全通道
displayikesa[secp]
查看IKEPeer的配置情况
displayikepeer[namepeer-name][secp]
查看每个IKE提议配置的参数
displayikeproposal[secp]
查看安全联盟的相关信息
displayipsecsa[brief|remoteip-address|policypolicy-name[seq-number]|duration][secp]
查看安全提议的信息
displayipsecproposal[nameproposal-name][secp]
查看安全策略的信息
displayipsecpolicy[brief|namepolicy-name[seq-number]][secp]
查看安全策略模板的信息
displayipsecpolicy-template[brief|namepolicy-name[seq-number]][secp]
3.5配置模板
见附件:
野蛮模ipsecserver.TXT野蛮模ipsecclient.TXT
4IPsec穿越NAT配置(NAT和IPsec在同一台Eudemon上)
可以将NAT和IPsec同时部署在一台Eudemon上,但是要注意的是:
由于IPsec和NAT的配合问题(在上面《IPsec的NAT穿越介绍.doc》中有详细介绍),在同一台设备上,NAT流程都是在IPsec流程之前,不光是我们的Eudemon设备,其他设备也是这样实现的;所以,我们在配置Securityacl的时候,源地址需要匹配NAT后的地址。
4.1组网介绍
如图,pc192.168.10.10通过防火墙NAT功能访问Internet和数据库203.200.110.10,需要建立IPsec隧道访问数据库。
4.2配置说明
A的配置
aclnumber3000
rulepermitipsource211.105.1.10destination203.200.110.10
quit
ikelocal-nameEudemonA
ikeproposal10
encryption-algorithmdes
authentication-methodpre-share
authentication-algorithmsha
dhgroup1
saduration86400
quit
ikepeerEudemonB
exchange-modeaggressive
ike-proposal10
local-id-typename
nattraversal
pre-shared-keytest
remote-nameEudemonB
remote-address203.200.100.1
quit
ipsecproposalhuawei
transformesp
espauthentication-algorithmsha1
espencryption-algorithmdes
encapsulationtunnel
quit
ipsecpolicyhuawei100isakmp
securityacl3000
proposalhuawei
ike-peerEudemonB
quit
interfaceEthernet0/0/0
ipsecpolicyhuawei
quit
B的配置
ikelocal-nameEudemonB
ikeproposal10
encryption-algorithmdes
authentication-methodpre-share
authentication-algorithmsha
dhgroup1
saduration86400
quit
ikepeerEudemonA
exchange-modeaggressive
ike-proposal10
local-id-typename
nattraversal
pre-shared-keytest
remote-nameHWFW
quit
ipsecproposalhuawei
transformesp
espauthentication-algorithmsha1
espencryption-algorithmdes
encapsulationtunnel
quit
ipsecpolicy-templatetemp10
proposalhuawei
ike-peerHWFW
quit
ipsecpolicyhuawei100isakmptempletetemp
interfaceEthernet0/0/0
ipsecpolicyhuawei
quit
由于B采用模板配置,所以不用配置Securityacl,采用A的Securityacl配置。