- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
26-IPsec典型配置舉例
本章節下載: 26-IPsec典型配置舉例 (432.90 KB)
本文檔介紹IPsec功能的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解IPsec特性。
· 若指定的對端主機名由DNS服務器來解析,則本端按照DNS服務器通知的域名解析有效期,在該有效期超時之後向DNS服務器查詢主機名對應的最新的IP地址;若指定的對端主機名由本地配置的靜態域名解析來解析,則更改此主機名對應的IP地址之後,需要在IPsec策略中重新指定的對端主機名,才能使得本端解析到更新後的對端IP地址。
· 為保證IPsec對等體上能夠成功建立SA,建議兩端設備上用於IPsec的ACL配置為鏡像對稱,即保證兩端定義的要保護的數據流範圍的源和目的盡量對稱。若IPsec對等體上的ACL配置非鏡像,那麼隻有在一端的ACL規則定義的範圍是另外一端的子集時,且僅當保護範圍小(細粒度)的一端向保護範圍大(粗粒度)的一端發起的協商才能成功。
· 如果IPsec策略下沒有配置本端身份,則默認使用高級配置中的全局本端身份。
· 可對IPsec安全提議進行修改,但對已協商成功的IPsec SA,新修改的安全提議並不起作用,即仍然使用原來的安全提議,隻有新協商的SA使用新的安全提議。若要使修改對已協商成功的IPsec SA生效,則需要首先清除掉已有的IPsec SA。
· 在IPsec隧道的兩端,IPsec安全提議所采用的封裝模式要一致。
· 當IKE協商IPsec SA時,如果接口上的IPsec策略下未配置IPsec SA的生存周期,將采用全局的IPsec SA生存周期與對端協商。如果IPsec策略下配置了IPsec SA的生存周期,則優先使用策略下的配置值與對端協商。
· IKE為IPsec協商建立IPsec SA時,采用本地配置的生存時間和對端提議的IPsec SA生存時間中較小的一個。
如圖-1所示,在Device A和Device B之間建立一條IPsec隧道,對Host A所在的子網與Host B所在的子網之間的數據流進行安全保護。具體要求如下:
· 兩端通過預共享密鑰方式進行認證。
· IKE協商采用的加密算法為3DES-CBC,認證算法為SHA256。
IPsec隧道的封裝模式為隧道模式,安全協議為ESP。
圖-1 使用IPsec保護子網之間的用戶流量組網圖
本舉例是在F1060的F9345版本上進行配置和驗證的。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/13右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:220.0.0.100/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/12,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.100.0.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:220.0.10.100
· 掩碼長度:24
· 下一跳IP地址:220.0.0.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,配置如下。
· 目的IP地址:192.200.0.2
· 掩碼長度:24
· 下一跳IP地址:220.0.0.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:192.100.0.0/24
· 目的IPv4地址:192.200.0.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:192.200.0.0/24
· 目的IPv4地址:192.100.0.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:local-untrust
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:220.0.0.100
· 目的IPv4地址:220.0.10.100
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:220.0.10.100
· 目的IPv4地址:220.0.0.100
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 新建IKE提議
# 選擇“網絡 > VPN > IPsec > IKE提議”,進入IKE提議頁麵。
# 單擊<新建>按鈕,進入新建IKE提議頁麵,進行如下操作:
· 設置優先級為1。
· 選擇認證方式為預共享密鑰。
· 設置認證算法為SHA256。
· 設置加密算法為3DES-CBC。
· 其它配置均使用缺省值。
· 單擊<確定>按鈕,完成新建IKE提議配置。
圖-2 新建IKE提議
5. 配置IPSec策略
# 選擇“網絡 > VPN > IPsec > 策略”,進入IPsec策略配置頁麵。
# 單擊<新建>按鈕,進入新建IPsec策略頁麵。
· 在基本配置區域進行如下配置:
○ 設置策略名稱為policy1。
○ 設置優先級為1。
○ 選擇設備角色為對等/分支節點。
○ 選擇IP地址類型為IPv4。
○ 選擇接口GE1/0/13。
○ 設置本端地址為220.0.0.100。
○ 設置對端IP地址/主機名為220.0.10.100。
· 在IKE策略區域進行如下配置:
○ 選擇協商模式為主模式。
○ 選擇認證方式為預共享密鑰。
○ 輸入預共享密鑰,並通過再次輸入進行確認。
○ 選擇IKE提議為1(預共享密鑰;SHA256;3DES-CBC;DH group 1)。
○ 設置本端ID為IPv4地址220.0.0.100。
○ 設置對端ID為IPv4地址220.0.10.100。
· 在保護的數據流區域,單擊<新建>按鈕,進入新建保護的數據流頁麵,進行如下操作:
○ 設置源IP地址為192.100.0.0/24。
○ 設置目的IP地址為192.200.0.0/24。
○ 單擊<確定>按鈕,完成配置。
圖-4 新建保護的數據流
· 在觸發模式選擇區域,選擇IPsec協商的觸發模式為流量觸發。
· 在高級配置區域進行如下配置:
○ 選擇IPsec封裝模式為隧道模式。
○ 選擇IPsec安全協議為ESP。
○ 其它配置均使用缺省值。
# 單擊<確定>按鈕,完成新建IPsec策略。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE2/0/13右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:220.0.10.100/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE2/0/12,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.200.0.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:220.0.0.100
· 掩碼長度:24
· 下一跳IP地址:220.0.10.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,配置如下。
· 目的IP地址:192.100.0.2
· 掩碼長度:24
· 下一跳IP地址:220.0.10.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:trust-untrust
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:192.200.0.0/24
· 目的IPv4地址:192.100.0.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:192.100.0.0/24
· 目的IPv4地址:192.200.0.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:local-untrust
· 源安全域:Local
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:220.0.10.100
· 目的IPv4地址:220.0.0.100
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:220.0.0.100
· 目的IPv4地址:220.0.10.100
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 新建IKE提議
# 選擇“網絡 > VPN > IPsec > IKE提議”,進入IKE提議頁麵。
# 單擊<新建>按鈕,進入新建IKE提議頁麵,進行如下操作:
· 設置優先級為1。
· 選擇認證方式為預共享密鑰。
· 設置認證算法為SHA256。
· 設置加密算法為3DES-CBC。
· 其它配置均使用缺省值。
· 單擊<確定>按鈕,完成新建IKE提議配置。
圖-5 新建IKE提議
5. 配置IPSec策略
# 選擇“網絡 > VPN > IPSec > 策略”,進入IPSec策略配置頁麵。
# 單擊<新建>按鈕,進入新建IPsec策略頁麵。
· 在基本配置區域進行如下配置:
○ 設置策略名稱為policy1。
○ 設置優先級為1。
○ 選擇設備角色為對等/分支節點。
○ 選擇IP地址類型為IPv4。
○ 選擇接口GE2/0/13。
○ 設置本端地址為220.0.10.100。
○ 設置對端IP地址/主機名為220.0.0.100。
圖-6 基本配置
· 在IKE策略區域進行如下配置:
¡ 選擇協商模式為主模式。
¡ 選擇認證方式為預共享密鑰。
¡ 輸入預共享密鑰,並通過再次輸入進行確認。
¡ 選擇IKE提議為1(預共享密鑰;SHA256;3DES-CBC;DH group 1)。
¡ 設置本端ID為IPv4地址220.0.10.100。
¡ 設置對端ID為IPv4地址220.0.0.100。
圖-7 IKE策略
· 在保護的數據流區域,單擊<新建>按鈕,進入新建保護的數據流頁麵,進行如下操作:
○ 設置源IP地址為192.200.0.0/24。
○ 設置目的IP地址為192.100.0.0/24。
○ 單擊<確定>按鈕,完成配置。
圖-8 新建保護的數據流
· 在觸發模式選擇區域,選擇IPsec協商的觸發模式為流量觸發。
· 在高級配置區域進行如下配置:
○ 選擇IPsec封裝模式為隧道模式。
○ 選擇IPsec安全協議為ESP。
○ 其它配置均使用缺省值。
# 單擊<確定>按鈕,完成新建IPsec策略。
1. Device A和Device B可以相互訪問。
2. 在Device A上查看IPSec隧道信息如下。
# 選擇“網絡 > VPN > IPSec > 監控”,可以看到當前建立的IPSec隧道。點擊隧道列表右側的“詳情”圖標,可以看到詳細的隧道信息,IPSec SA和統計信息。
圖-9 Device A的IPsec隧道詳細信息
3. 在Device B上查看IPSec隧道信息如下。
# 選擇“網絡 > VPN > IPSec > 監控”,可以看到當前建立的IPSec隧道。點擊隧道列表右側的“詳情”圖標,可以看到詳細的隧道信息,IPSec SA和統計信息。
圖-10 Device B的IPsec隧道詳細信息
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
