欢迎来到天天文库
浏览记录
ID:55632189
大小:166.00 KB
页数:22页
时间:2020-05-21
《SecPath系列防火墙IPSEC VPN配置指导.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、1 特性介绍IPsec(IPsecurity)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPsec作为一种重要的安全技术得到越来越广泛的应用,但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前,NAT和IPsec之间存在的不兼容性问题主要可以分为以下三类:l IP地址和端口不匹配的
2、问题l IPsec不能验证NAT报文的问题l NAT超时影响IPsec的问题针对此问题,我司在IKE野蛮模式的基础上实现NAT穿越,很好地解决了此问题。为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的,用户端设备的IP地址为动态获取的情况,在IKE阶段的协商模式中增加了IKE野蛮模式,它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字,并最终完成协商。IKE野蛮模式相对于主模式来说更加灵活
3、,能够支持协商发起端为动态IP地址的情况。在IPsec/IKE组建的VPN隧道中,若存在NAT网关设备,且NAT网关设备对VPN业务数据流进行了NAT转换的话,则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之后的IPsec数据传输中使用UDP封装(即将IPsec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPsec报文进行篡改(NAT网关设备将
4、只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPsec报文将不作修改),从而保证了IPsec报文的完整性(IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。目前仅在IKE野蛮模式下支持NAT穿越,主模式下不支持。2 特性的优点该特性适合IPsec隧道中间存在NAT设备的组网情况。同时,由于使用了IKE野蛮模式,同样也适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。3 使用指南3.1 使用场合1) IPs
5、ec隧道中间存在NAT设备的组网情况2) 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。3.2 配置步骤配置野蛮模式下IPsec穿越NAT,需要以下步骤:l 配置访问控制列表l 配置IKE对等体l 定义安全提议l 创建安全策略l 在接口上应用安全策略1. 配置访问控制列表IPsec使用高级访问控制列表来判断哪些报文需要受到保护,哪些则不需要,用于IPsec的扩展访
6、问控制列表可称为加密访问控制列表。在本地和远端安全网关上定义的加密访问控制列表应该是相对应的(即互为镜像),这样在某一端加密的数据才能在对端上被解密。否则,会造成一端不能解密另一端发来的数据。步骤操作说明操作命令1在系统视图下,创建一个高级访问控制列表[H3C]aclnumberacl-number[match-order{config
7、auto}]2在高级访问控制列表视图下,配置ACL规则[H3C-acl-adv-3000]rule[rule-id]{permit
8、deny}protocol[sourc
9、e{sour-addrsour-wildcard
10、any}][destination{dest-addrdest-wildcard
11、any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code
12、icmp-message}][precedenceprecedence][dscpdscp][established][tostos][time-rangetime-
13、name][logging][fragment] 2. 配置IKE对等体在实施IPsec的过程中,可以使用Internet密钥交换IKE(InternetKeyExchange)协议来建立安全联盟,该协议建立在由Internet安全联盟和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)定义的框架上。IKE为IPsec提供了自动协商交换密钥、
此文档下载收益归作者所有
