华为AR_G3系列路由器IPSEC_VPN交付指南_V1.1_C.ppt

* IKE协议中的DH交换过程，每次的计算和产生结果都是毫无关系的。为保证每个安全联盟所使用的密钥互不相关，必须每次安全联盟的建立都运行DH交换过程。 IPSEC使用IP报文头中的序列号实现防重放。此序列号是一个32比特的值，此数溢出后，为实现防重放，安全联盟需要重新建立，这个过程与要IKE协议的配合。 对安全通信的各方身份的的验证和管理，将影响到IPSEC的部署。IPSEC的大规模使用，必须有CA-Certification Authority（认证中心）或其他集中管理身份数据的机构的参与。 * IKE是UDP之上的一个应用层协议，是IPSEC的信令协议。 IKE为IPSEC协商建立安全联盟，并把建立的参数及生成的密钥交给IPSEC。 IPSEC使用IKE建立的安全联盟对IP报文加密或验证处理。 IPSEC处理做为IP层的一部分，在IP层对报文进行处理。AH协议和ESP协议有自己的协议号，分别是51和50。 * * * * * * * * * * * 关注如上图所示红色方框内的flag，有flag才能说明是协商成功的，上图中的“ST”标志表示该端是发起方，这个标志只会在一端出现，另外一端通常是“RD”。如果使用的是IKEv1，则使用命令display ike sa；如果是IKEv2，则使用命令display ike sa v2。 * * ping的时候是否能命中选流的ACL规则，如果ACL规则中的源地址和本端设备建立隧道接口的地址不在同一网段，则需要在ping的时候，指定相应的源地址，如： 选流的ACL是 rule 10 permit ip source 55 destination 55 而建立IPSec隧道的接口地址是：/24 则，在ping的时候就需要带上源地址，而且该源地址为设备上的一个接口地址：ping -a 68 注：可以在设备上配置一个环回口： interface LoopBack1 ip address * * * Page * GRE over IPSEC配置 组网拓扑 PC2作为组播源，RouterA和RouterC之间传输组播数据，并要对数据进行IPSec加密。由于组播数据无法直接应用IPSec，因此先对组播数据进行GRE封装，再对GRE封装后的报文进行IPSec加密 配置要点 Page * 1) 在基本的IPSec配置正确的基础上修改ACL，ACL要不再匹配原来的子网，而是匹配GRE tunnel接口(实际接口地址)； 2) IPSec Proposal中指定封装模式为传输模式； 3) 注意GRE隧道的源和目的，要和IPSec接口吻合； 4) 将子网流量引入GRE隧道。 对GRE隧道进行流量保护，有两种方式，一种是GRE应用绑定IPSEC policy的物理口，另一种是GRE tunnel上直接绑定IPSEC profile。 Page * GRE over IPSEC配置 Router A配置 ike local-name rta acl number 3000 rule 5 permit ip source destination ike peer routerc v1 exchange-mode aggressive pre-shared-key simple 12345 local-id-type name remote-name rtc remote-address ipsec proposal p1 ipsec policy policy1 1 isakmp security acl 3000 ike-peer routerc proposal p1 interface GigabitEthernet1/0/0 ip address ipsec policy policy1 interface GigabitEthernet2/0/0 ip address interface Tunnel0/0/1 ip address tunnel-protocol gre source destination ospf 1 area network ip route-static Tunnel0/0/1 Router C配置与Router A配置互为镜像 Page * GRE over IPSEC配置 Page * IPSec NAT穿越 组网拓扑 当进行IPSec协商的两个对端设备之间存在NAT网关时，建立IPSec隧道的两端需要进行NAT穿越能力协商,因此两端设备都必须具备