H3C SMB Router IPSec VPN配置指导
关键词:IKE、IPSec、VPN、NAT穿越、DPD、Hub & SPOKE
摘 要:本文是对SMB Router的IPSec VPN功能配置进行介绍,指导用户组网
配置。 缩略语: 缩略语 IKE ISAKMP IPSec AH ESP PFS DPD NAT
英文全名 Internet Key Exchange Internet Security Association and Key Management Protocol IP Security Authentication Header Encapsulating Security Payload Perfect Forward Secrecy Dead Peer Detection network address translation 中文解释 因特网密钥交换 互联网安全联盟和密钥管理协议 IP安全 认证头 封装安全载荷 完善的前向安全性 对等体存活检测 网络地址转换 目 录 1 概述 1.1 简介 1.2 基本概念 1.2.1 安全联盟 1.2.2 IPSec封装模式 1.2.3 验证算法 1.2.4 加密算法 1.2.5 协商方式 1.2.6 IKE DPD 1.3 IPSec配置指导 1.3.1 配置思路 1.3.2 配置指导
2 一对一IPSec VPN典型配置案例 2.1.1 组网需求 2.1.2 组网图 2.1.3 配置步骤
3 Hub & Spoke VPN典型配置案例 3.1.1 组网需求 3.1.2 组网图 3.1.3 设置步骤
4 WINXP的IPSec VPN典型配置案例 4.1.1 组网需求 4.1.2 组网图
4.1.3 配置步骤 4.1.4 测试
5 常见问题解答(FAQ)
5.1 VPN隧道数据不通,如何处理
5.2 若VPN组网中存在NAT设备,双方如何配置 5.3 双WAN手动均衡时的路由问题 5.4 策略路由的问题 5.5 碰到问题时的处理方法
1 概述
1.1 简介
H3C SMB系列路由器是主要定位于中小企业市场、政府、网吧等环境的网络路由器,包括ER3000系列、ER5000系列、ICG1000系列等多个产品型号。下文中将使用名称SMB Router来统一指代这些产品。
本文是SMB Router产品上IPSec VPN的配置指导,涉及到IKE和IPSec各项参数的配置、注意事项以及与对端设备对接时的配置方案,此配置指导适用于H3C SMB系列路由器。
本文介绍的IPSec VPN特性配置适用于SMB Router多个产品版本,具体版本包括:ICG1000 V100R006、ICG1800 V100R004、ER3200 V201R004、ER3100 V201R004、ER5200 V201R003、ER5100 V201R003、ER3260 V201R003。
请注意版本号R后面的数字,不小于所列版本号的产品均可以参考此文。小于所列版本号的产品属于IPSec特性的旧版本,其配置方式有所不同,相对比较简单,此处不再详述。
1.2 基本概念
IPSec(IP security)协议族是Internet工程专门小组IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全功能。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
1.2.1 安全联盟
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体(Peer)。IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如,某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护,并使用3DES(Triple Data Encryption Standard,三重数据加密标准)进行加密;另一方面,策略可能规定来自另一个站点的数据流只使用ESP保护,并仅使用DES加密。通过安全联盟(Security Association,以下简称SA),IPSec能够对不同的数据流提供不同级别的安全保护。
安全联盟SA是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如:使用哪种协议(AH、ESP还是两者结合使用)、协议的
?
操作模式(传输模式和隧道模式)、加密算法(DES和3DES)、特定流中保护数据的共享密钥以及SA的生存周期等。
安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时,如果希望同时使用AH和ESP来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP。
?
安全联盟由一个三元组来唯一标识,这个三元组包括SPI(Security
Parameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。
?
安全联盟具有生存周期。生存周期的计算包括两种方式:以时间为限制和以流量为限制,SMB Router支持以时间为限制。
?
1.2.2 IPSec封装模式
IPSec协议有两种报文封装模式:传输模式(transport)和隧道模式(tunnel)。 在传输模式下,AH或ESP被插入到IP报文头之后但在所有传输层协议之前,或所有其他IPSec协议之前。
?
在隧道模式下,AH或ESP插在原始IP报文头之前,另外生成一个新的报文头放到AH或ESP之前。
?
从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。 传输模式适用于主机直接访问设备时之间的加密传输;而隧道模式则适用于更普遍的VPN应用。SMB Router只支持隧道模式,可适用于企业的IPSec VPN组网。
1.2.3 验证算法
AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法(authentication-algorithm)的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体进行摘要计算,如果两个摘要是相同的,则表示报文是完整未经篡改的。一般来说,IPSec使用两种验证算法:
?
MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。
SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-1的摘要长于MD5,因而是更安全的。
?
1.2.4 加密算法