ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法(encryption-algorithm)实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。SMB Router实现了三种加密算法:
DES(Data Encryption Standard):使用56bit的密钥对每个64bit的明文块进行加密。
?
3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。
?
AES(Advanced Encryption Standard):SMB Router实现了128bit、192bit和256bit密钥长度的AES算法。
?
1.2.5 协商方式
有两种协商方式可以建立安全联盟:手工方式(manual)和IKE协商(ISAKMP)。 前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IPSec的一些高级特性(例如定时更新密钥)不被支持,但优点是可以不依赖IKE而单独实现IPSec功能;后者则相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。
当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立安全联盟。
1.2.6 IKE DPD
IKE DPD(Dead Peer Detection)是IPSec/IKE安全隧道对端状态探测功能。DPD具有产生数据流量小、检测及时、隧道恢复快的优点,DPD功能可以有效地避免对端掉线而出现的加密黑洞,提高了IPSec协议的健壮性。该功能符合RFC3706定义,在对接中可以确保互相兼容。对IKE方式对接的IPSec VPN隧道,建议双方都开启DPD功能。
DPD的运行机制中分为发送端和接收端。在发送端,当启动了DPD功能以后,当触发DPD向对端发送DPD请求时,本端等待应答报文。接收端在收到DPD查询请求报文后,应该立即发送响应报文。
按照触发DPD查询的方式分为按需型(on-demand)和周期型(Period)。 SMB Router上DPD功能是按需型的。当本端SMB Router收到对方发来的IPSec数据报文时,认为对方工作正常而不会发送DPD查询。如果在DPD周期(intervaltime)没有收到对方的IPSec数据报文,则会开始发送DPD查询。DPD查询发送后,DPD超时时间(time-out)定时器开始计时,本端还是按照发送周期不断发送查询。在超过定时器设定的时间结束之前,如果所有的查询都收不到
正确回应则认为对方断线,删除ISAKMP SA和相应的IPSec SA,安全隧道同样会被删除。当有符合安全策略的报文需要发送时,会重新触发设备协商建立安全联盟。
1.3 IPSec配置指导
1.3.1 配置思路
通过IPSec在对等体之间(此处是指路由器及其对端)能够对不同的数据流实施不同的安全保护(验证、加密或两者同时使用)。
?
数据流的区分通过支持路由的IPSec虚接口和配置静态路由来进行;
安全保护所用到的安全协议、验证算法和加密算法、协商模式等通过配置IKE安全提议来进行;
?
数据流和安全提议的关联(即定义对何种数据流实施何种保护)、SA的协商方式、对等体IP地址的设置(即保护路径的起/终点)、所需要的密钥和SA的生存周期等通过配置安全策略来进行;
?
最后,通过路由设置将数据导入实施安全策略的IPSec虚接口即完成了IPSec 的配置。
?
1.3.2 配置指导
SMB Router上的IPSec配置请参照下列指导完成: 1. 配置IPSec虚接口 2. 定义IPSec安全提议
?
创建安全提议
选择安全协议(AH、ESP、AH+ESP) 选择安全算法(验证算法和加密算法)
?
?
3. 创建IPSec安全策略(手工创建安全策略或用IKE创建安全策略) (1) 手工创建安全策略
?
在安全策略中引用IPSec安全提议 在安全策略中定义访问控制列表 配置隧道对端地址和使用的IPSec虚接口
?
?
?
配置安全联盟的SPI
配置安全联盟使用的算法密钥
?
(2) 用IKE创建安全策略
?
定义IKE安全提议
定义IKE 对等体,配置对端地址、IKE协商方式、预共享密钥、生命周期等参数,引用IKE安全提议。
? ?
在安全策略中引用IKE 对等体 在安全策略中定义访问控制列表 配置协商时使用的PFS 特性 配置协商时安全策略使用的生命周期
?
?
?
4. 配置IPSec虚接口上的路由
2 一对一IPSec VPN典型配置案例
一对一IPSec VPN组网主要面向部分小型的分支机构。每个分支机构只与总部建立VPN隧道进行通信。分支用户对于网络的链路要求不高,普通的ADSL线路即可满足要求;当然,用户也可以通过LAN接入。
对于总部网关部分,可以只考虑使用单台的网关设备来进行汇接,为满足各个分支网关的接入,总部网关使用静态IP配置。分支的网关采用静态或动态申请的IP地址与总部网关建立VPN链接。另外,建议双方开启DPD功能,能有效监测链路状态,确保VPN的实时连通。
2.1.1 组网需求
在Router A(采用ICG1000)和Router B(采用ICG1000)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.1.0/24)之间的数据流进行安全保护。
安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。
2.1.2 组网图
图1 组网示意图
2.1.3 配置步骤
1. 设置Router A (1) 设置虚接口 VPN→VNP设置→虚接口
选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。
图2 配置虚接口
(2) 设置IKE安全提议 VPN→VNP设置→IKE安全提议
输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮。
图3 配置IKE安全提议
(3) 设置IKE对等体 VPN→VNP设置→IKE对等体
输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮。
当两端设备之间存在NAT设备时,相关配置请参见FAQ中“5.2 若VPN组网中存在NAT设备,双方如何配置”的说明。