VPN协议原理及配置－金锄头文库

资源描述

《VPN协议原理及配置》由会员分享，可在线阅读，更多相关《VPN协议原理及配置（65页珍藏版）》请在金锄头文库上搜索。

1、VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置2课程内容课程内容课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec & IKE3培训目标培训目标培训目标培训目标l掌握掌握 VPN 的概念和分类的概念和分类l掌握实现掌握实现 IP VPN 的相关协议的相关协议l掌握掌握 VPN 的配置的配置学习完本课程，您应该能够：学习完本课程，您应该能够：4合作伙伴合作伙伴InternetVPNVPN的定义的定义的定义的定义VPN Virtual Private Network出差员工出差员工隧道隧道专线专线办事处办事处总部总

2、部分支机构分支机构异地办事处异地办事处5VPNVPN的分类的分类的分类的分类l按应用类型分类：按应用类型分类：Access VPNIntranet VPNExtranet VPNl按实现的层次分类：按实现的层次分类：二层隧道二层隧道 VPN三层隧道三层隧道 VPN6VPDN VPDN POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接总部总部隧道隧道适用范围：适用范围：出差员工出差员工异地小型办公机构异地小型办公机构7Intranet VPNIntranet VPNInternet/ ISP IPATM/FR隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构8E

3、xtranet VPNExtranet VPNInternet/ ISP IPATM/FR总部总部合作伙伴合作伙伴异地办事处异地办事处分支机构分支机构9按实现的层次分类按实现的层次分类按实现的层次分类按实现的层次分类l二层隧道二层隧道VPNL2TP: Layer 2 Tunnel Protocol (RFC 2661)PPTP: Point To Point Tunnel ProtocolL2F: Layer 2 Forwardingl三层隧道三层隧道VPN GRE : Generic Routing Encapsulation IPSEC : IP Security Protocol 10V

4、PNVPN设计原则设计原则设计原则设计原则l安全性安全性隧道与加密隧道与加密数据验证数据验证用户验证用户验证防火墙与攻击检测防火墙与攻击检测l可靠性可靠性l经济性经济性l扩展性扩展性11课程内容课程内容课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec & IKE12L2TP L2TP 协议概述协议概述协议概述协议概述lL2TP: Layer 2 Tunnel Protocol 第第二二层层隧隧道道协协议议，是是为为在在用用户户和企业的服务器之间透明传输和企业的服务器之间透明传输PPP报文而设置的隧道协议。报文而设置的隧道协议。l特

5、性特性灵活的身份验证机制以及高度的安全性灵活的身份验证机制以及高度的安全性多协议传输多协议传输支持支持RADIUS服务器的验证服务器的验证支持内部地址分配支持内部地址分配网络计费的灵活性网络计费的灵活性可靠性可靠性13使用使用使用使用L2TP L2TP 构建构建构建构建VPDNVPDNPSTN/ISDNLANLANLANLAN分支机构分支机构总部总部LACLNSQuidway NASQuidway RouterL2TP 消息消息数据消息数据消息控制消息控制消息会话会话隧道隧道出差员工出差员工LAC: L2TP Access Concentrator L2TP的接入集中器的接入集中器 LNS:

6、 L2TP Network Server L2TP的网络服务器的网络服务器LAC/LNS Radius : LAC/LNS的远端验证服务器的远端验证服务器LAC RADIUSLNS RADIUS14L2TPL2TPL2TPL2TP隧道和会话建立流程隧道和会话建立流程隧道和会话建立流程隧道和会话建立流程l隧道、会话建立流程隧道、会话建立流程 L2TP的的会会话话建建立立由由PPP触触发发，隧隧道道建建立立由由会会话话触触发发。由由于于多多个个会会话话可可以以复复用用在在一一条条隧隧道道上上，如如果果会会话话建建立立前前隧隧道道已已经经建建立立，则则隧隧道道不不用用重重新建立。新建立。隧道建立流程

7、：三次握手隧道建立流程：三次握手会话建立流程：三次握手会话建立流程：三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQ ICRPICCN 15L2TPL2TPL2TPL2TP隧道和会话维护和拆除流程隧道和会话维护和拆除流程隧道和会话维护和拆除流程隧道和会话维护和拆除流程l隧道维护流程隧道维护流程LAC/LNSLNS/LAC HelloZLBl隧道拆除流程隧道拆除流程l会话维护流程会话维护流程LAC/LNSLNS/LAC StopCNNZLBLAC/LNSLNS/LAC CDNZLB16L2TP L2TP 协议栈结构及数据包的封装过程协议栈结构及数据包的封装过程协议栈结构及数

8、据包的封装过程协议栈结构及数据包的封装过程私有私有IPPPPL2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IPPPPIP包包(公有公有IP)UDPL2TPPPPIP包包(私有私有IP)链路层链路层私有私有IPPPP物理层物理层L2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IP链路层链路层物理层物理层ClientLACLNSServerLAC侧封装过程侧封装过程LNS侧解封装过程侧解封装过程L2TP协议栈结构协议栈结构17L2TPL2TP的配置任务及命令（的配置任务及命令（的配置任务及命令（的配置任务及命令（1 1）l LAC 侧的配置侧的配置设

9、置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TPQuidway l2tp enable 创建创建L2TP组组 Quidway l2tp-group group-number 设置发起设置发起L2TP连接请求及连接请求及LNS地址地址Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | fullusername user-name 18L2TP L2TP 的配置任务及命令（的配置任务及命令（的配置任务及命令（的配置任务及命令（2 2）lLNS 侧的配置侧的配置设置用户名、密码及配

10、置用户验证设置用户名、密码及配置用户验证启用启用L2TP Quidway l2tp enable创建创建L2TP组组 Quidway l2tp-group group-number创建虚接口模板创建虚接口模板Quidway interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池设置本端地址及为用户分配的地址池 Quidway-Virtual-Template1 ip address X.X.X.X netmask Quidway-Virtual-Template1 remote address pool pool-

11、number 19L2TP L2TP 的配置任务及命令（的配置任务及命令（的配置任务及命令（的配置任务及命令（3 3）lLNS 侧的配置侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为组不为1： Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为组为1： Quidway-l2tp1 allow l2tp virtual-template virtual-tem

12、plate-number remote remote-name domain domain-name 20InternetL2TPL2TP的配置举例的配置举例的配置举例的配置举例LNS local-user LNS-luser- password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0LNS-virtual-template1 ppp authentication-mode chap domain LNS domain LNS

13、-isp- scheme localLNS-isp- ip pool 1 192.168.0.2 192.168.0.100LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authenticationLNS-l2tp1 tunnel password simple quidwayLAC local-user LAC-luser- password simple HelloLAC domai

14、n LAC-isp- scheme localLAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain LAC-l2tp1 tunnel authenticationLAC-l2tp1 tunnel password simple quidway LNSLACPSTN21L2TPL2TP的可选参数配置（的可选参数配置（的可选参数配置（的可选参数配置（1 1）lLAC侧和侧和LNS侧可选配的参数侧可选配的参数设置本端名称设置本端名称 Quidway

15、-l2tp1 tunnel name name启用隧道验证及设置密码启用隧道验证及设置密码 Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple | cipher password 设置通设置通道道Hello报文发送时间间隔报文发送时间间隔 Quidway-l2tp1 tunnel timer hello hello-interval 22L2TPL2TP的可选参数配置（的可选参数配置（的可选参数配置（的可选参数配置（2 2）lLAC侧和侧和LNS侧可选配的参数侧可选配的参数配置域名分隔符及查找顺序配置

16、域名分隔符及查找顺序设置前缀分隔符设置前缀分隔符 Quidway-l2tp1 l2tp domain prefix-separator separator 设置后缀分隔符设置后缀分隔符 Quidway-l2tp1 l2tp domain suffix-separator separator 设置查找规则设置查找规则 Quidway-l2tp1 l2tp match-order dnis-domain | dnis | domain-dnis | domain 强制挂断通道强制挂断通道 reset l2tp tunnel remote-name | tunnel-id 23L2TPL2TP的可选

17、参数配置（的可选参数配置（的可选参数配置（的可选参数配置（3 3）lLNS侧可选配的参数侧可选配的参数强制本端强制本端CHAP验证验证 Quidway-l2tp1 mandatory-chap 强制强制LCP重新协商重新协商 Quidway-l2tp1 mandatory-lcp 24L2TPL2TP隧道和会话的验证过程隧道和会话的验证过程隧道和会话的验证过程隧道和会话的验证过程呼叫建立呼叫建立PPP LCP 协商通过协商通过LAC CHAP Challenge用户用户 CHAP Response隧道验证隧道验证(可选可选)SCCRP (LNS CHAP Response & LNS CHAP

18、 Challenge)SCCRQ (LAC CHAP Challenge)SCCCN (LAC CHAP Response)ICCN（用户（用户 CHAP Response & PPP 已经协商好的参数）已经协商好的参数）LNS CHAP Challenge可选的第二次验证可选的第二次验证用户用户 CHAP Response验证通过验证通过PSTN/ISDNInternetLACLACLNSLNS25L2TPL2TP显示和调试显示和调试显示和调试显示和调试l显示当前的显示当前的L2TP通道的信息通道的信息 Quidway display l2tp tunnelLocalID RemoteID

20、排错排错排错排错l用户登录失败用户登录失败 Tunnel建立失败建立失败在在LAC端，端，LNS的地址设置不正确的地址设置不正确LNS（通常为路由器）端没有设置可以接收该隧道对端的（通常为路由器）端没有设置可以接收该隧道对端的L2TP组组Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过协商不通过 LAC端设置的用户名与密码有误，或者是端设置的用户名与密码有误，或者是LNS端没有设置相应的用户端没有设置相应的用户LNS端不能分配地址，比如地址池设置的较小，或没有进行设置端不能分配地址，比如地址池设置的较小

21、，或没有进行设置密码验证类型不一致密码验证类型不一致l数据传输失败，在建立连接后数据不能传输，如数据传输失败，在建立连接后数据不能传输，如Ping不通对端不通对端用户设置的地址有误用户设置的地址有误网络拥挤网络拥挤 27课程内容课程内容课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec & IKE28GREGRElGRE (Generic Routing Encapsulation): 是是对对某某些些网网络络层层协协议议（如如：IP, IPX, AppleTalk等等）的的数数据据报报文文进进行行封封装装，使使这这些被封装的数据

22、报文能够在另一个网络层协议（如些被封装的数据报文能够在另一个网络层协议（如IP）中传输。）中传输。lGRE 提提供供了了将将一一种种协协议议的的报报文文封封装装在在另另一一种种协协议议报报文文中中的的机机制制，使使报报文文能能够够在在异异种种网网络络中中传传输输，异异种种报报文文传传输输的的通通道道称称为为tunnel。29GRE GRE 协议栈协议栈协议栈协议栈IP/IPXGREIP链路层协议链路层协议乘客协议乘客协议封装协议封装协议运输协议运输协议GRE协议栈协议栈隧道接口的报文格式隧道接口的报文格式链路层链路层GREIP/IPXIPPayload30使用使用使用使用GREGRE构建构建构

23、建构建VPNVPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部企业总部分支机构分支机构31GREGRE的配置任务及命令的配置任务及命令的配置任务及命令的配置任务及命令l创建虚拟创建虚拟Tunnel接口接口 Quidway interface tunnel number l指定指定Tunnel的源端的源端 Quidway-Tunnel0 source ip-addr | interface-type interface-num l指定指定Tunnel的目的端的目的端 Quidway-Tunnel0

24、 destination ip-address l设置设置Tunnel接口的网络地址接口的网络地址 Quidway -Tunnel0 ip address ip-address mask32GREGRE的配置举例的配置举例的配置举例的配置举例RouterB-Serial0/0 ip address 202.38.160.2 255.255.255.0 RouterB-Ethernet0/0 ip address 10.1.2.1 255.255.255.0RouterB interface tunnel 0 RouterB-Tunnel0 ip address 1.1.1.2 255.255.

25、255.0 RouterB-Tunnel0 source 202.38.160.2 RouterB-Tunnel0 destination 202.38.160.1 RouterB ip route-static 10.1.1.0 255.255.255.0 tunnel0 RouterA-Serial0/0 ip address 202.38.160.1 255.255.255.0RouterA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 Router interface tunnel 0RouterA-Tunnel0 ip address 1

26、.1.1.1 255.255.255.0 RouterA-Tunnel0 source 202.38.160.1 RouterA-Tunnel0 destination 202.38.160.2RouterA ip route-static 10.1.2.0 255.255.255.0 tunnel0 T0:1.1.1.2/24InternetS0/0: 202.38.160.2/24S0/0:202.38.160.1/24E0/0: 10.1.2.1/24E0/0: 10.1.1.1/24T0:1.1.1.1/24A AB B33GREGRE的可选参数配置的可选参数配置的可选参数配置的可选参

27、数配置l设置设置Tunnel接口报文的封装模式接口报文的封装模式 Quidway-Tunnel0 tunnel-protocol grel设置设置Tunnel两端进行端到端校验两端进行端到端校验 Quidway-Tunnel0 gre checksuml设置设置Tunnel接口的识别关键字接口的识别关键字 Quidway-Tunnel0 gre key key-number l配置通过配置通过Tunnel的路由的路由静态路由配置静态路由配置动态路由配置动态路由配置 34GREGRE的显示和调试的显示和调试的显示和调试的显示和调试l显示显示Tunnel接口的工作状态接口的工作状态 display

28、 interface tunnel number 例如：例如：Quidway display interfaces tunnel 1 Tunnel1 is up, line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input, 640 bytes 0 input errors, 0 broadcast, 0 drops 10 packets output, 640 bytes 0 output errors, 0 broadcast,

29、 0 no protocoll打开打开Tunnel调试信息调试信息 debugging tunnel 35课程内容课程内容课程内容课程内容第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec& IKE36IPSecIPSeclIPSec（IP Security）是是IETF制制定定的的为为保保证证在在Internet上上传传送送数据的安全保密性能的框架协议数据的安全保密性能的框架协议lIPSec包包括括报报文文验验证证头头协协议议AH（协协议议号号51）和和封封装装安安全全载载荷荷协议协议ESP（协议号（协议号50）两个协议）两个协议lIPSec有

30、隧道（有隧道（tunnel）和传输（）和传输（transport）两种工作方式）两种工作方式 37IPSec IPSec 的组成的组成的组成的组成lIPSec 提供两个安全协议提供两个安全协议AH (Authentication Header) 报文验证头协议报文验证头协议 MD5 (Message Digest 5)SHA1 (Secure Hash Algorithm)ESP (Encapsulation Security Payload) 封装安全载荷协议封装安全载荷协议 DES (Data Encryption Standard) 3DES (Triple DES)AES (Advan

31、ced Encryption Standard)38IPSec IPSec 的安全特点的安全特点的安全特点的安全特点l数据机密性（数据机密性（Confidentiality） l数据完整性（数据完整性（Data Integrity） l数据来源认证数据来源认证（Data Origin Authentication） l反重放（反重放（Anti-Replay） 39IPSec IPSec 基本概念基本概念基本概念基本概念l数据流数据流 (Data Flow)l安全联盟安全联盟 (Security Association)l安全参数索引安全参数索引 (Security Parameter Ind

32、ex)l安全联盟生存时间安全联盟生存时间 (Life Time)l安全提议安全提议 (Security Proposal)l安全策略安全策略 (Security Policy)40AHAH协议协议协议协议数据数据IP 包头包头数据数据IP 包头包头AH数据数据原原IP 包头包头AH新新IP 包头包头传输模式传输模式隧道模式隧道模式下一个头下一个头负载长度负载长度保留域保留域安全参数索引安全参数索引(SPI)序列号序列号验证数据验证数据AH头结构头结构08163141ESP ESP 协议协议协议协议数据数据IP 包头包头加密后的数据加密后的数据IP 包头包头ESP头部头部ESP头头新新IP 包头

33、包头传输模式传输模式隧道模式隧道模式ESP尾部尾部ESP验证验证ESP尾部尾部ESP验证验证081624安全参数索引安全参数索引(SPI)序列号序列号有效载荷数据（可变）有效载荷数据（可变）填充字段填充字段(0-255字节）字节）填充字段长度填充字段长度下一个头下一个头验证数据验证数据ESP协议包结构协议包结构数据数据原原IP 包头包头加密部分加密部分42IKEIKEl IKE（Internet Key Exchange，因特网密钥交换协议），因特网密钥交换协议） l为为IPSec提供了自动协商交换密钥、建立安全联盟的服务提供了自动协商交换密钥、建立安全联盟的服务l通过数据交换来计算密钥通过数

34、据交换来计算密钥 43IKEIKE的安全机制的安全机制的安全机制的安全机制l完善的前向安全性完善的前向安全性l数据验证数据验证身份验证身份验证身份保护身份保护lDH交换和密钥分发交换和密钥分发44IKEIKE的交换过程的交换过程的交换过程的交换过程SA交换交换密钥交换密钥交换ID交换及验证交换及验证发送本地发送本地IKE策略策略身份验证和身份验证和交换过程验证交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端接受对端确认的策略确认的策略查找匹配查找匹配的策略的策略身份验证和身份验证和交换过程验证交换过程验证确认对方使确认对方使用的算法用的算法产生密钥产生密钥验证对方验证对方身份身份发起方策略

35、发起方策略发起方策略发起方策略接收方确认的策略接收方确认的策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer1Peer2Peer245DHDH交换及密钥产生交换及密钥产生交换及密钥产生交换及密钥产生ac=gamodpdamodppeer2peer2peer1peer1

36、bd=gbmodpcbmodpd da amodp= cmodp= cb bmodp=gmodp=gababmodpmodp(g ,p)(g ,p)46IKEIKE在在在在IPSecIPSec中的作用中的作用中的作用中的作用l降低手工配置的复杂度降低手工配置的复杂度l安全联盟定时更新安全联盟定时更新l密钥定时更新密钥定时更新l允许允许IPSec提供反重放服务提供反重放服务l允许在端与端之间动态认证允许在端与端之间动态认证47IPSec IPSec 与与与与IKEIKE的关系的关系的关系的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的加密的加密的加密的IPIP报文报文报文报文

37、IPIPIKEIKE的的的的SASA协商协商协商协商SASASASA48IPSecIPSec配置前的准备配置前的准备配置前的准备配置前的准备l确定需要保护的数据确定需要保护的数据l确定使用安全保护的路径确定使用安全保护的路径l确定使用哪种安全保护确定使用哪种安全保护l确定安全保护的强度确定安全保护的强度InternetInternet49IPSec IPSec 的配置任务的配置任务的配置任务的配置任务l配置访问控制列表配置访问控制列表l定义安全提议定义安全提议创建安全提议创建安全提议选择安全协议选择安全协议选择安全算法选择安全算法选择报文封装形式文封装形式l创建安全策略创建安全策略手工创建安

38、全策略手工创建安全策略用用IKE创建安全策略创建安全策略l在接口上在接口上应用安全策略用安全策略50IPSec IPSec 的配置任务及命令（的配置任务及命令（的配置任务及命令（的配置任务及命令（1 1）l配置访问控制列表配置访问控制列表l定义安全提议定义安全提议创建安全提议创建安全提议 Quidway ipsec proposal proposal-name 选择报文封装形式选择报文封装形式 Quidway-ipsec-proposal-tran1 encapsulation-mode transport | tunnel 选择安全协议选择安全协议 Quidway-ipsec-proposa

40、置任务及命令（2 2）l创建安全策略创建安全策略手工创建安全策略手工创建安全策略手工创建安全策略手工创建安全策略 Quidway ipsec policy policy-name seq-number manual 在安全策略中引用安全提议在安全策略中引用安全提议 Quidway-ipsec-policy-manual-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表在安全策略中引用访问控制列表 Quidway-ipsec-policy-manual-map1-10 security ac

41、l acl-number 配置隧道的起点和终点配置隧道的起点和终点 Quidway-ipsec-policy-manual-map1-10 tunnel local ip-address Quidway-ipsec-policy-manual-map1-10 tunnel remote ip-address 配置安全联盟的配置安全联盟的SPI Quidway-ipsec-policy-manual-map1-10 sa spi inbound | outbound ah | esp spi-number 52IPSec IPSec 的配置任务及命令（的配置任务及命令（的配置任务及命令（的配置任

42、务及命令（3 3）l创建安全策略创建安全策略手工创建安全策略手工创建安全策略配置安全联盟使用的密钥配置安全联盟使用的密钥配置协议的验证密钥（以配置协议的验证密钥（以16进制方式输入）进制方式输入） Quidway-ipsec-policy-manual-map1-10sa authentication-hex inbound | outbound ah | esp hex-key配置协议的验证密钥（以字符串方式输入）配置协议的验证密钥（以字符串方式输入） Quidway-ipsec-policy-manual-map1-10sa string-key inbound | outbound ah

43、 | esp string-key配置配置ESP协议的加密密钥（以协议的加密密钥（以16进制方式输入）进制方式输入） Quidway-ipsec-policy-manual-map1-10sa encryption-hex inbound | outbound esp hex-key 53IPSec IPSec 的配置任务及命令（的配置任务及命令（的配置任务及命令（的配置任务及命令（4 4）l创建安全策略创建安全策略用用IKE创建安全策略创建安全策略用用IKE创建安全策略创建安全策略 Quidway ipsec policy policy-name seq-number isakmp 在安全策

44、略中引用安全提议在安全策略中引用安全提议 Quidway-ipsec-policy-isakmp-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表在安全策略中引用访问控制列表 Quidway-ipsec-policy-isakmp-map1-10 security acl acl-number 在安全策略中引用在安全策略中引用IKE对等体对等体 Quidway-ipsec-policy-isakmp-map1-10 ike-peer peer-name l在接口上应用安全策略在接口上应用安

45、全策略 Quidway-Serial0/0 ipsec policy policy-name 54IKEIKE的配置任务的配置任务的配置任务的配置任务l配置本端安全网关的名字配置本端安全网关的名字l定义定义IKE安全提议（系统提供一条缺省的安全提议（系统提供一条缺省的IKE安全提议）安全提议）l配置配置IKE对等体对等体55IKEIKE的配置任务的配置任务的配置任务的配置任务l配置本端安全网关的名字配置本端安全网关的名字l定义定义IKE安全提议（系统提供一条缺省的安全提议（系统提供一条缺省的IKE安全提议）安全提议）创建创建IKE安全提议安全提议选择加密算法选择加密算法选择验证方法选择验证方法

46、选择验证算法选择验证算法选择选择Diffie-Hellman组标识组标识配置配置ISAKMP SA生存周期（可选）生存周期（可选） l配置配置IKE对等体对等体创建创建IKE对等体对等体配置配置IKE协商模式协商模式配置身份验证字配置身份验证字配置配置ike协商过程中使用的协商过程中使用的ID类型类型指定对端安全网关设备的指定对端安全网关设备的ID配置本端及对端安全网关设备的配置本端及对端安全网关设备的IP地址地址配置配置NAT穿越功能穿越功能配置最大连接数配置最大连接数 56IKEIKE的配置任务及命令（的配置任务及命令（的配置任务及命令（的配置任务及命令（1 1）l配置本端安全网关的名字

47、配置本端安全网关的名字 Quidway ike local-name id l定义定义IKE安全提议（系统提供一条缺省的安全提议（系统提供一条缺省的IKE安全提议）安全提议）创建创建IKE安全提议安全提议 Quidway ike proposal proposal-number 选择加密算法选择加密算法 Quidway-ike-proposal-1 encryption-algorithm des-cbc| 3des-cbc 选择验证方法选择验证方法 Quidway-ike-proposal-1authentication-method pre-share | rsa-signature 选择

48、验证算法选择验证算法 Quidway-ike-proposal-1 authentication-algorithm md5 | sha 选择选择Diffie-Hellman组标识组标识 Quidway-ike-proposal-1 dh group1 | group2 配置配置ISAKMP SA生存周期（可选）生存周期（可选） Quidway-ike-proposal-1 sa duration seconds 57IKEIKE的配置任务（的配置任务（的配置任务（的配置任务（2 2）l配置配置IKE对等体对等体创建创建IKE对等体对等体 Quidway ike peer peer-name

49、配置配置IKE协商模式协商模式 Quidway-ike-peer-1 exchange-mode aggressive | main 配置身份验证字配置身份验证字 Quidway-ike-peer-1 pre-shared-key key 配置配置ike协商过程中使用的协商过程中使用的ID类型类型 Quidway-ike-peer-1 id-type ip | name 指定对端安全网关设备的指定对端安全网关设备的ID Quidway-ike-peer-1 remote-name name 配置本端及对端安全网关设备的配置本端及对端安全网关设备的IP地址地址 Quidway-ike-peer-

50、1 local-address ip-address Quidway-ike-peer-1 remote-address ip-address 58IKEIKE的配置任务（的配置任务（的配置任务（的配置任务（3 3）l配置配置IKE对等体对等体配置配置NAT穿越功能穿越功能 Quidway-ike-peer-1 nat-traversal 配置最大连接数配置最大连接数 Quidway-ike-peer-1 max-connections number59IPSec IPSec 的配置举例的配置举例的配置举例的配置举例InternetS0/0: 202.38.160.2/24S0/0: 202.

51、38.160.1/24E0/0: 10.1.2.1/24E0/0: 10.1.1.1/24A AB B PC1：10.1.1.2/24PC2: 10.1.2.2/24Quidway acl number 3000 Quidway-acl-adv-3000 rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255Quidway-acl-adv-3000 rule deny ip source any destination anyQuidway ip route-static 10.1.2.0 255.255.

52、255.0 202.38.160.2 Quidway ipsec proposal tran1 Quidway-ipsec-proposal-tran1 encapsulation-mode tunnel Quidway-ipsec-proposal-tran1 transform esp Quidway-ipsec-proposal-tran1 esp encryption-algorithm desQuidway-ipsec-proposal-tran1 esp authentication-algorithm sha1Quidway-ipsec-proposal-tran1 quitQu

53、idway ike peer peerQuidway-ike-peer-peer pre-share-key abcdeQuidway-ike-peer-peer remote-address 202.38.160.2Quidway ipsec policy map1 10 isakmp Quidway-ipsec-policy-isakmp-map1-10 proposal tran1 Quidway-ipsec-policy-isakmp-map1-10 security acl 101Quidway-ipsec-policy-isakmp-map1-10 ike-peer peerQui

54、dway-ipsec-policy-isakmp-map1-10 quitQuidway interface serial0/0Quidway-Serial0/0 ip address 202.38.160.1 255.255.255.0Quidway-Serial0/0 ipsec policy map1Quidway interface ethernet0/0 Quidway-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 60IPSec IPSec 的显示与调试的显示与调试的显示与调试的显示与调试lIPSec显示与调试显示与调试显示安全联盟的相

55、关信息显示安全联盟的相关信息 display ipsec sa brief | remote ip-address | policy policy-name seq-number | duration 显示显示IPSec处理报文的统计信息处理报文的统计信息 display ipsec statistics 显示安全提议的信息显示安全提议的信息 display ipsec proposal proposal-name 显示安全策略的信息显示安全策略的信息 display ipsec policy brief | name policy-name seq-number 打开打开IPSec的调试功能

56、的调试功能 debugging ipsec sa | packet policy policy-name seq-number | parameters ip-address protocol spi-number | misc 61IPSec IPSec 的显示与调试的显示与调试的显示与调试的显示与调试l清除清除IPSec的报文统计信息的报文统计信息 reset ipsec statistics l删除安全联盟删除安全联盟 reset ipsec sa remote ip-address | policy policy-name seq-number | parameters dest-ad

57、dress protocol spi 62IKE IKE 的显示与调试的显示与调试的显示与调试的显示与调试l显示当前已建立的安全通道显示当前已建立的安全通道 display ike sal显示每个显示每个IKE提议配置的参数提议配置的参数 display ike proposal l删除安全隧道删除安全隧道 reset ike sa connection-id l打开打开IKE的调试信息的调试信息 debugging ike error | exchange | message | misc| transport 63IPSecIPSec故障诊断与排错故障诊断与排错故障诊断与排错故障诊断与排错

58、l非法用户身份信息非法用户身份信息检查协商两端接口上配置的安全策略中的检查协商两端接口上配置的安全策略中的ACL内容是否相容。内容是否相容。建议用户将两端的建议用户将两端的ACL配置成互为镜像的。配置成互为镜像的。 l提议不匹配提议不匹配对于阶段对于阶段1，检查，检查IKE proposal是否有与对方匹配的。是否有与对方匹配的。对对于于阶阶段段2协协商商，检检查查双双方方接接口口上上应应用用的的IPsec安安全全策策略略的的参参数数是是否否匹匹配配，引引用用的的IPsec安安全全提提议议的的协协议议、加加密密算算法法和和验验证证算算法法是否有匹配的。是否有匹配的。 l无法建立安全通道无法建立安全通道使用使用reset ike sa命令清除错误存在的命令清除错误存在的SA，重新发起协商。，重新发起协商。 64小结小结小结小结lVPN概述lL2TP协议原理及配置方法lGRE协议原理及配置方法lIPSec协议原理及配置方法lVPN配置常见故障处理华为3Com技术有限公司华为3Com公司网址: www.huawei-华为3Com技术论坛网址: forum.huawei-

展开阅读全文

VPN协议原理及配置

最新文档