返回
ipsec穿越nat典型配置指导

ipsec穿越nat典型配置指导

ID:45755976

大小:65.61 KB

页数:15页

时间:2019-11-17

ipsec穿越nat典型配置指导_第1页
ipsec穿越nat典型配置指导_第2页
ipsec穿越nat典型配置指导_第3页
ipsec穿越nat典型配置指导_第4页
ipsec穿越nat典型配置指导_第5页
资源描述:

《ipsec穿越nat典型配置指导》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IPSEC穿越NAT典型配置指导华为3comHuawei-3ComTechnologiesCo.,Ltd.华为3Com技术有限公司1特性介绍21特性的优点22使用指南23.1使用场合22.2配置步骤22.2.1酉己置IKE安全提议32.2.2酉己置IKE对等体42.2.3配BIPSEC访问控制列表42.2.4配IIPSEC安全提议52.2.5配置IPSEC安全策略52.2.6应用IPSEC安全策略62.3注意事项63.4举例:隧道模式下的IPSEC穿越NAT63.4.1组网需求63.4.2纟且网图73.4.3硬件连接图73.4.4酉己置7

2、3.4.5验证结果113.4.6故障排除113关键命令124.1nattraversal124相关资料135.1相关协议和标准134.2其他相关资料13IPSEC,NAT摘要:本文简单描述IPSEC及其穿越NAT特性的特点,详细描述了路由器上配置IPSEC穿越NAT的基本方法和详细步骤,给出了一种IPSEC穿越NAT方法的配置案例。缩略语:缩略语英文全名中文解释IPSECIPSecurityProtocolIP网络安全协议IKEInternetKeyExchangeInternet密钥交换协议NATNetworkAddressTransl

3、ation网络地址转换协议1特性介绍IPSec(IPSecurity)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过AH(AuthenticationHeader,认证头)和ESP(EncapsulatingSecurityPayload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(InternetKeyExchange,因特网密钥交换协议)为

4、IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。2特性的优点IPSEC穿越NAT特性可以帮助用户穿

5、过NAT网关在公网地址和私网地址间建立VPN隧道,极大拓展了IPSECVPN的应用范围。3使用指南3.1使用场合用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用IPSEC穿越NAT特性。要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持此特性。路由器VRP版本要求是VRP3.3Release0006及以上。3.2配置步骤IPSec协议有两种操作模式:传输模式和隧道模式。在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。在隧道

6、模式下,AH或ESP插在原始IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。因此,至IJ底使用哪种模式需要在安全性和性能间进行权衡。在传输模式和隧道模式下的IPSEC,均支持穿越NAT特性。该特性删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之

7、后的IPSec数据传输中使用UDP封装(即将IPSec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPSec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPSec报文将不作修改),从而保证TIPSec报文的完整性(IPSec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。配BIPSEC穿越NAT,需要配置以下内容:•IKE安全提议和IKE对等体,为IPSec提供自动协商交换密钥和建立安全联盟的服务,此外,IKE对等体中设置的NAT穿越功能开关可以保证协商及数据

8、报文成功穿过NAT网关•配置IPSEC访问控制列表,来判断报文是否进行安全保护•配置IPSEC安全提议,为安全联盟提供各种安全参数•配置IPSEC安全策略,来决定何种报文采用何种安全提议•在接

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。