- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-IPsec配置
本章節下載: 15-IPsec配置 (467.27 KB)
目 錄
IPsec的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
IPsec(IP Security)是IETF製定的三層隧道加密協議,它為Internet上傳輸的數據提供了高質量的、可互操作的、基於密碼學的安全保證,特定的通信方之間通過建立IPsec隧道來傳輸用戶的私有數據,並在IP層提供了以下安全服務:
· 數據機密性(Confidentiality):IPsec發送方在通過網絡傳輸包前對包進行加密。
· 數據完整性(Data Integrity):IPsec接收方對發送方發送來的包進行認證,以確保數據在傳輸過程中沒有被篡改。
· 數據來源認證(Data Authentication):IPsec在接收端可以認證發送IPsec報文的發送端是否合法。
· 防重放(Anti-Replay):IPsec接收方可檢測並拒絕接收過時或重複的報文。
IPsec具有以下優點:
· 支持IKE(Internet Key Exchange,因特網密鑰交換),可實現密鑰的自動協商功能,減少了密鑰協商的開銷。可以通過IKE建立和維護SA(Security Association,安全聯盟)的服務,簡化了IPsec的使用和管理。
· 所有使用IP協議進行數據傳輸的應用係統和服務都可以使用IPsec,而不必對這些應用係統和服務本身做任何修改。
· 對數據的加密是以數據包為單位的,而不是以整個數據流為單位,這不僅靈活而且有助於進一步提高IP數據包的安全性,可以有效防範網絡攻擊。
IPsec協議不是一個單獨的協議,它給出了應用於IP層上網絡數據安全的一整套體係結構,包括網絡認證協議AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,因特網密鑰交換)和用於網絡認證及加密的一些算法等。其中,AH協議和ESP協議用於提供安全服務,IKE協議用於密鑰交換。關於IKE的詳細介紹請參見“2 IKE”,本節不做介紹。
IPsec提供了兩種安全機製:認證和加密。認證機製使IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭篡改。加密機製通過對數據進行加密運算來保證數據的機密性,以防數據在傳輸過程中被竊聽。
AH協議和ESP協議的功能及工作原理如下:
· AH協議(IP協議號為51)定義了認證的應用方法,提供數據源認證、數據完整性校驗和防報文重放功能,它能保護通信免受篡改,但不能防止竊聽,適合用於傳輸非機密數據。AH的工作原理是在每一個數據包上添加一個身份驗證報文頭,此報文頭插在標準IP包頭後麵,對數據提供完整性保護。可選擇的認證算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。
· ESP協議(IP協議號為50)定義了加密和可選認證的應用方法,提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標準IP包頭後麵添加一個ESP報文頭,並在數據包後麵追加一個ESP尾。與AH協議不同的是,ESP將需要保護的用戶數據進行加密後再封裝到IP包中,以保證數據的機密性。常見的加密算法有DES、3DES、AES等。同時,作為可選項,用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。
在實際進行IP通信時,可以根據實際安全需求同時使用這兩種協議或選擇使用其中的一種。AH和ESP都可以提供認證服務,不過,AH提供的認證服務要強於ESP。同時使用AH和ESP時,設備支持的AH和ESP聯合使用的方式為:先對報文進行ESP封裝,再對報文進行AH封裝,封裝之後的報文從內到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。
IPsec在兩個端點之間提供安全通信,端點被稱為IPsec對等體。
SA是IPsec的基礎,也是IPsec的本質。SA是通信對等體間對某些要素的約定,例如,使用哪種協議(AH、ESP還是兩者結合使用)、協議的封裝模式(傳輸模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保護數據的共享密鑰以及密鑰的生存周期等。建立SA的方式有手工配置和IKE自動協商兩種,WX係列無線控製器產品隻支持通過IKE自動協商方式建立SA。
SA是單向的,在兩個對等體之間的雙向通信,最少需要兩個SA來分別對兩個方向的數據流進行安全保護。同時,如果兩個對等體希望同時使用AH和ESP來進行安全通信,則每個對等體都會針對每一種協議來構建一個獨立的SA。
SA由一個三元組來唯一標識,這個三元組包括SPI(Security Parameter Index,安全參數索引)、目的IP地址、安全協議號(AH或ESP)。
SPI是用於唯一標識SA的一個32比特數值,它在AH和ESP頭中傳輸。在手工配置SA時,需要手工指定SPI的取值。使用IKE協商產生SA時,SPI將隨機生成。
通過IKE協商建立的SA具有生存周期,手工方式建立的SA永不老化。IKE協商建立的SA的生存周期有兩種定義方式:
· 基於時間的生存周期,定義了一個SA從建立到失效的時間;
· 基於流量的生存周期,定義了一個SA允許處理的最大流量。
生存周期到達指定的時間或指定的流量,SA就會失效。SA失效前,IKE將為IPsec協商建立新的SA,這樣,在舊的SA失效前新的SA就已經準備好。在新的SA開始協商而沒有協商好之前,繼續使用舊的SA保護通信。在新的SA協商好之後,則立即采用新的SA保護通信。
IPsec有如下兩種工作模式:
· 隧道(tunnel)模式:用戶的整個IP數據包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常,隧道模式應用在兩個安全網關之間的通訊。
· 傳輸(transport)模式:隻是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後麵。通常,傳輸模式應用在兩台主機之間的通訊,或一台主機和一個安全網關之間的通訊。
AC與AP間IPsec隻支持隧道模式。
不同的安全協議在tunnel和transport模式下的數據封裝形式如圖1-1所示。
(1) 認證算法
認證算法的實現主要是通過雜湊函數。雜湊函數是一種能夠接受任意長的消息輸入,並產生固定長度輸出的算法,該輸出稱為消息摘要。IPsec對等體計算摘要,如果兩個摘要是相同的,則表示報文是完整未經篡改的。IPsec使用兩種認證算法:
· MD5:MD5通過輸入任意長度的消息,產生128bit的消息摘要。
· SHA-1:SHA-1通過輸入長度小於2的64次方bit的消息,產生160bit的消息摘要。
MD5算法的計算速度比SHA-1算法快,而SHA-1算法的安全強度比MD5算法高。
(2) 加密算法
加密算法實現主要通過對稱密鑰係統,它使用相同的密鑰對數據進行加密和解密。目前設備的IPsec實現三種加密算法:
· DES(Data Encryption Standard):使用56bit的密鑰對一個64bit的明文塊進行加密。
· 3DES(Triple DES):使用三個56bit的DES密鑰(共168bit密鑰)對明文進行加密。
· AES(Advanced Encryption Standard):使用128bit、192bit或256bit密鑰長度的AES算法對明文進行加密。
這三個加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機製複雜,運算速度慢。對於普通的安全要求,DES算法就可以滿足需要。
有如下兩種協商方式建立SA:
· 手工方式(manual)配置比較複雜,創建SA所需的全部信息都必須手工配置,而且不支持一些高級特性(例如定時更新密鑰),但優點是可以不依賴IKE而單獨實現IPsec功能。
· IKE自動協商(isakmp)方式相對比較簡單,隻需要配置好IKE協商安全策略的信息,由IKE自動協商來創建和維護SA。
WX係列無線控製器產品隻支持通過IKE自動協商方式建立SA。
當與之進行通信的對等體設備數量較少時,或是在小型靜態環境中,手工配置SA是可行的。對於中、大型的動態網絡環境中,推薦使用IKE協商建立SA。
安全隧道是建立在本端和對端之間可以互通的一個通道,它由一對或多對SA組成。
IPsec雙機熱備功能利用雙機熱備機製實現了兩台設備之間IPsec業務數據的熱備份。互為熱備份的兩台設備(通常為企業中心網關設備)加入同一個備份組,形成一台虛擬設備,對端設備(通常為企業分支網關設備)通過該虛擬設備的虛擬IP地址與其通信。當主設備出現故障時,利用VRRP機製將IPsec業務流量切換到備份設備上繼續進行IPsec處理和轉發,整個流量切換過程對於遠端設備而言完全透明,不需要遠端設備添加任何額外的配置。流量切換後也不需要進行IPsec重協商,避免了因IPsec重協商導致的IPsec流量長時間中斷。
IPsec雙機熱備功能隻能采用VRRP標準協議模式,即同一時間僅由其中一台設備(主設備)處理以及轉發所有的IPsec流量,並負責將產生的IPsec業務數據同步給另外一台設備(備份設備),而另外一台設備不處理任何IPsec流量。當主設備出現故障時,才由備份設備接替主設備處理業務並轉發IPsec流量。
圖1-2 IPsec雙機熱備組網圖
如圖1-2所示,設備A與設備B通過備份鏈路組成雙機熱備係統,其中設備A通過VRRP機製被選舉為主設備。當設備A正常工作時,它與遠端的設備C之間建立IPsec隧道,並通過備份鏈路將IPsec業務數據同步到設備B上,實現IPsec業務數據在兩台設備上的共享。被同步的IPsec業務數據包括IKE SA、IPsec SA、DPD報文序號等。此時,在設備A上協商生成的IKE SA和IPsec SA均稱為主用IKE SA和主用IPsec SA。在設備B上,接收到備份信息生成的IKE SA和IPsec SA被稱為備份IKE SA和備份IPsec SA。當設備A發生故障後,由VRRP機製實現業務流量的切換,由於設備B上保存了設備A上同步過來的IPsec業務數據,因此設備B可立即替代設備A繼續處理IPsec業務,減少了因流量中斷而帶來的損失。
與IPsec相關的協議規範有:
· RFC2401:Security Architecture for the Internet Protocol
· RFC2402:IP Authentication Header
· RFC2406:IP Encapsulating Security Payload
· RFC4552:Authentication/Confidentiality for OSPFv3
· RFC4301:Security Architecture for the Internet Protocol
· RFC4302:IP Authentication Header
· RFC4303:IP Encapsulating Security Payload (ESP)
建立IPsec安全隧道的基本配置思路如下:
(1) 通過配置IPsec安全提議,指定安全協議、認證算法和加密算法等;
(2) 通過配置IPsec安全策略,將要保護的數據流和IPsec安全提議進行關聯(即定義對何種數據流實施何種保護),並指定SA的協商方式、對等體IP地址(即保護路徑的起/終點)、所需要的密鑰和SA的生存周期等;
(3) 最後在設備接口上應用IPsec安全策略即可完成IPsec隧道的配置。
表1-1 IPsec配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置IPsec安全提議 |
必選 |
|
|
配置IPsec安全策略 |
||
|
在接口上應用IPsec安全策略組 |
通常情況下,由於IKE協議采用UDP的500端口進行通信,IPsec的AH和ESP協議分別使用51或50號協議來工作,因此為保障IKE和IPsec的正常運行,需要確保應用了IKE和IPsec配置的接口上沒有禁止掉屬於以上端口和協議的流量。
IPsec安全提議是IPsec安全策略的一個組成部分,它用於保存IPsec需要使用的特定安全協議、加密/認證算法等,為IPsec協商SA提供各種安全參數。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
創建IPsec安全提議,並進入IPsec安全提議視圖 |
ipsec proposal proposal-name |
必選 缺省情況下,沒有任何IPsec安全提議存在 |
|
|
配置IPsec安全提議采用的安全協議 |
transform { ah | ah-esp | esp } |
可選 缺省情況下,采用ESP協議 |
|
|
配置安全算法 |
配置ESP協議采用的加密算法 |
esp encryption-algorithm { 3des | aes [ key-length ] | des } |
可選 缺省情況下,ESP協議采用DES加密算法 |
|
配置ESP協議采用的認證算法 |
esp authentication-algorithm { md5 | sha1 } |
可選 缺省情況下,ESP協議采用MD5認證算法 |
|
|
配置AH協議采用的認證算法 |
ah authentication-algorithm { md5 | sha1 } |
可選 缺省情況下,AH協議采用MD5認證算法 |
|
|
配置安全協議對IP報文的封裝形式 |
encapsulation-mode { transport | tunnel } |
可選 缺省情況下,安全協議采用隧道模式對IP報文進行封裝 |
|
· 可對IPsec安全提議進行修改,但對已協商成功的SA,新修改的IPsec安全提議並不起作用,即SA仍然使用原來的IPsec安全提議(除非使用reset ipsec sa命令重置),隻有新協商的SA將使用新的IPsec安全提議。
· 隻有選擇了相應的IPsec安全協議後,該安全協議所需的安全算法才可配置。例如,如果使用transform命令選擇了esp,那麼隻有ESP所需的安全算法才可配置,而AH所需的安全算法則不能配置。ESP協議允許對報文同時進行加密和認證,或隻加密,或隻認證。
· 係統中最多可以創建10000個IPsec安全提議。
IPsec安全策略規定了對什麼樣的數據流采用什麼樣的安全提議。一條IPsec安全策略由“名字”和“順序號”共同唯一確定。
IPsec安全策略分為手工安全策略和IKE協商安全策略:
· 手工配置方式:需要用戶手工配置密鑰、SPI等參數,在隧道模式下還需要手工配置安全隧道兩個端點的IP地址;
· IKE協商方式:由IKE自動協商生成各參數。
(1) 配置準備
手工配置IPsec安全策略時,除完成該安全策略需要的IPsec安全提議的配置之外,為保證SA的協商成功,安全隧道兩端的配置必須符合以下要求:
· IPsec安全策略引用的IPsec安全提議應采用相同的安全協議、安全算法和報文封裝形式;
· 當前端點的對端地址與對端的本端地址應保持一致;
· 應分別設置出方向SA和入方向SA的參數,且保證SA的唯一性,即不同SA必須對應不同的SPI;
· 本端和對端SA的SPI及密鑰必須是完全匹配的。即,本端的入方向SA的SPI及密鑰必須和對端的出方向SA的SPI及密鑰相同;本端的出方向SA的SPI及密鑰必須和對端的入方向SA的SPI及密鑰相同;
· 兩端SA使用的密鑰應當以相同的方式輸入。即,一端以字符串方式輸入密鑰,另一端必須也以字符串方式輸入密鑰。而且,任何一端出入方向的SA使用的密鑰也應當以相同的方式輸入。
(2) 手工配置IPsec安全策略
表1-3 手工配置IPsec安全策略
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
用手工方式創建一條IPsec安全策略,並進入IPsec安全策略視圖 |
ipsec policy policy-name seq-number manual |
必選 缺省情況下,沒有任何IPsec安全策略存在 |
||
|
配置IPsec安全策略所引用的IPsec安全提議 |
proposal proposal-name |
必選 缺省情況下,IPsec安全策略沒有引用任何IPsec安全提議 |
||
|
配置隧道的起點與終點 |
配置安全隧道的本端地址 |
tunnel local ip-address |
缺省情況下,沒有配置安全隧道的本端地址和對端地址 |
|
|
配置安全隧道的對端地址 |
tunnel remote ip-address |
|||
|
配置SA的安全參數索引參數 |
sa spi { inbound | outbound } { ah | esp } spi-number |
必選 |
||
|
配置SA使用的密鑰 |
配置AH協議的認證密鑰(以16進製方式輸入) |
sa authentication-hex { inbound | outbound } ah hex-key |
二者必選其一 |
|
|
配置AH協議的認證密鑰(以字符串方式輸入) |
sa string-key { inbound | outbound } ah string-key |
|||
|
配置ESP協議的認證密鑰和加密密鑰(以字符串方式輸入) |
sa string-key { inbound | outbound } esp string-key |
至少選其一 以字符串方式輸入密鑰時,係統會自動地同時生成認證算法的密鑰和加密算法的密鑰 |
||
|
配置ESP協議的認證密鑰(以16進製方式輸入) |
sa authentication-hex { inbound | outbound } esp hex-key |
|||
|
配置ESP協議的加密密鑰(以16進製方式輸入) |
sa encryption-hex { inbound | outbound } esp hex-key |
|||
· 通過手工方式建立SA,一條IPsec安全策略隻能引用一個安全提議,並且如果已經引用了IPsec安全提議,必須先取消原先的IPsec安全提議才能引用新的IPsec安全提議。
· 如果先後以不同的方式輸入了密鑰,則最後設定的密鑰有效。
· 對於手工方式創建的IPsec安全策略,不能直接修改它的創建方式,而必須先刪除該IPsec安全策略然後再重新創建。
在采用IKE方式配置IPsec安全策略時,有以下兩種方式:
· 直接配置IPsec安全策略,在IPsec安全策略視圖中定義需要協商的各參數;
· 引用IPsec安全策略模板創建IPsec安全策略,在IPsec安全策略模板中定義需要協商的各參數。應用了該類安全策略的設備不能發起協商,僅可以響應遠端設備的協商請求。由於策略模板中未定義的可選參數由發起方來決定,而響應方會接受發起方的建議,因此這種方式適用於通信對端(例如對端的IP地址)未知的情況下,允許這些對端設備向本端設備主動發起協商。
(1) 配置準備
在配置IKE協商IPsec安全策略之前,需要完成以下配置:
· 配置IPsec安全提議。
· 配置IKE對等體。具體配置請參見“2.5 配置IKE對等體”。
為保證IKE協商成功,IPsec安全策略中所有配置的參數必須在本端和對端相匹配。
(2) 配置使用IKE協商方式的安全策略
· 直接配置使用IKE協商方式的IPsec安全策略
表1-4 直接配置使用IKE協商方式的IPsec安全策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一條IPsec安全策略,並進入IPsec安全策略視圖 |
ipsec policy policy-name seq-number isakmp |
必選 缺省情況下,沒有IPsec安全策略存在 |
|
配置用於描述IPsec安全策略的IPsec連接名 |
connection-name name |
可選 缺省情況下,無IPsec連接名 |
|
配置IPsec安全策略引用的訪問控製列表 |
security acl acl-number [ aggregation | per-host ] |
必選 缺省情況下,IPsec安全策略沒有指定訪問控製列表 |
|
配置IPsec安全策略所引用的IPsec安全提議 |
proposal proposal-name&<1-6> |
必選 缺省情況下,IPsec安全策略沒有引用任何提議 |
|
在IPsec安全策略中引用IKE對等體 |
ike-peer peer-name |
必選 IPsec安全策略中不能引用已經被安全框架引用的IKE對等體,反之亦然 |
|
配置使用此IPsec安全策略發起協商時使用PFS特性 |
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 } |
可選 缺省情況下,IPsec安全策略發起協商時沒有使用PFS特性 |
|
配置SA的生存周期 |
sa duration { time-based seconds | traffic-based kilobytes } |
可選 缺省情況下,IPsec安全策略的SA生存周期為當前全局的SA生存周期值 |
|
配置IPsec雙機熱備環境下同步防重放信息的間隔 |
synchronization anti-replay-interval inbound inbound-number outbound outbound-number |
可選 缺省情況下,同步入方向防重放窗口的間隔為每接收1000個報文同步一次;同步出方向防重放序號的間隔為每發送100000個報文同步一次 |
|
使能IPsec安全策略 |
policy enable |
可選 缺省情況下,IPsec安全策略處於使能狀態 |
|
退回係統視圖 |
quit |
- |
|
配置全局SA的生存周期 |
ipsec sa global-duration { time-based seconds | traffic-based kilobytes } |
可選 缺省情況下,SA基於時間的生存周期為3600秒,基於流量的生存周期為1843200千字節 |
· 引用IPsec安全策略模板配置IKE協商方式的IPsec安全策略
IPsec安全策略模板可配置的參數與IKE方式的IPsec安全策略相同,隻是很多參數是可選的。
· 必須配置的參數:IPsec安全提議和IKE對等體,
· 可選配的參數: PFS特性和生存周期。
表1-5 引用IPsec安全策略模板配置IKE協商方式的IPsec安全策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個IPsec安全策略模板,並進入IPsec安全策略模板視圖 |
ipsec policy-template template-name seq-number |
必選 缺省情況下,沒有任何IPsec安全策略模板存在 |
|
配置IPsec安全策略所引用的安全提議 |
proposal proposal-name&<1-6> |
必選 缺省情況下,IPsec安全策略沒有引用任何提議 |
|
在IPsec安全策略中引用IKE對等體 |
ike-peer peer-name |
必選 |
|
配置使用此IPsec安全策略發起協商時使用PFS特性 |
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 } |
可選 缺省情況下,IPsec安全策略發起協商時沒有使用PFS特性 |
|
配置SA的生存周期 |
sa duration { time-based seconds | traffic-based kilobytes } |
可選 缺省情況下,IPsec安全策略的SA生存周期為當前全局的SA生存周期值 |
|
配置IPsec雙機熱備環境下同步防重放信息的間隔 |
synchronization anti-replay-interval inbound inbound-number outbound outbound-number |
可選 缺省情況下,同步入方向防重放窗口的間隔為每接收1000個報文同步一次;同步出方向防重放序號的間隔為每發送100000個報文同步一次 |
|
使能IPsec安全策略 |
policy enable |
可選 缺省情況下,IPsec安全策略處於使能狀態 |
|
退回係統視圖 |
quit |
- |
|
配置全局SA的生存周期 |
ipsec sa global-duration { time-based seconds | traffic-based kilobytes } |
可選 缺省情況下,SA基於時間的生存周期為3600秒,基於流量的生存周期為1843200千字節 |
|
引用IPsec安全策略模板創建一條IPsec安全策略 |
ipsec policy policy-name seq-number isakmp template template-name |
必選 缺省情況下,沒有IPsec安全策略存在 |
· synchronization anti-replay-interval命令的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
· 引用IPsec安全策略模板創建一條IPsec安全策略之後,就不能進入該IPsec安全策略視圖下進行安全策略的配置與修改了,隻能進入IPsec安全策略模板視圖下配置或修改。
· 一條IPsec安全策略隻能引用一條訪問控製列表,如果設置IPsec安全策略引用了多於一個訪問控製列表,最後配置的那條訪問控製列表才有效。
· 通過IKE協商建立SA,一條IPsec安全策略最多可以引用六個IPsec安全提議,IKE協商將在安全隧道的兩端搜索能夠完全匹配的IPsec安全提議。如果IKE在兩端找不到完全匹配的IPsec安全提議,則SA不能建立,需要被保護的報文將被丟棄。
· IKE在使用IPsec安全策略發起一個協商時,可以進行一個PFS交換。如果本端配置了PFS特性,則發起協商的對端也必須配置PFS特性,而且本端和對端指定的DH組必須一致,否則協商會失敗。
· 所有在IPsec安全策略視圖下沒有單獨配置生存周期的SA,都采用全局生存周期。IKE為IPsec協商建立SA時,采用本地設置的和對端提議的生存周期中較小的一個。
· 可同時配置基於時間和基於流量的SA生存周期,隻要到達指定的時間或指定的流量,SA就會老化。
· 對於IKE(無論直接或引用模板)方式創建的IPsec安全策略,不能直接修改它的創建方式,而必須先刪除該安全策略然後再重新創建。
IPsec安全策略組是所有具有相同名字、不同順序號的IPsec安全策略的集合。在同一個IPsec安全策略組中,順序號越小的IPsec安全策略,優先級越高。
為使定義的SA生效,應在每個要加密的數據流和要解密的數據流所在接口(邏輯的或物理的)上應用一個IPsec安全策略組,以對數據進行保護。當取消IPsec安全策略組在接口上的應用後,此接口便不再具有IPsec的安全保護功能。
當從一個接口發送數據時,將按照從小到大的順序號查找IPsec安全策略組中每一條安全策略。如果數據匹配了一條IPsec安全策略引用的訪問控製列表,則使用這條IPsec安全策略對數據進行處理;如果數據沒有匹配IPsec安全策略引用的訪問控製列表,則繼續查找下一條IPsec安全策略;如果數據與所有IPsec安全策略引用的訪問控製列表都不匹配,則直接被發送(IPsec不對數據加以保護)。
表1-6 在接口上應用IPsec安全策略組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
應用指定的IPsec安全策略組 |
ipsec policy policy-name |
必選 |
一個接口隻能應用一個IPsec安全策略組。通過IKE方式創建的IPsec安全策略可以應用到多個接口上,通過手工創建的IPsec安全策略隻能應用到一個接口上。
在IPsec雙機熱備環境中,有以下配置限製:
· 不支持負載均衡模式的VRRP,僅支持標準協議模式。
· 不支持非對稱路徑方式的雙機熱備業務備份功能,僅支持對稱路徑方式。
· 不支持IKE協商使用rsa-signature認證方式。
· 不支持使用IKE Keepalive機製檢測ISAKMP SA的鏈路狀態。
· IPsec雙機熱備的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
為使IPsec雙機熱備功能能夠正常運行,需要在兩台設備上均完成以下配置:
(1) 配置雙機熱備
· 開啟對稱路徑方式的雙機熱備業務備份功能。
· 指定傳輸狀態協商報文和IPsec業務數據的備份接口。
相關配置請參考“可靠性配置指導”中的“雙機熱備配置”。
(2) 配置VRRP
· 創建外網側接口所屬的VRRP組(稱為上行鏈路VRRP組)和內網側接口所屬的VRRP組(稱為下行鏈路VRRP組),並配置各VRRP組對應的虛擬IP地址。
· 配置設備在各VRRP組中的優先級,保證設備在上行鏈路VRRP組和下行鏈路VRRP組中均作為Master或Backup,即本設備在兩個VRRP組中的優先級均高於或均低於另外一個設備在兩個VRRP組中的優先級。
· 配置設備在上行鏈路VRRP組和下行鏈路VRRP組中的工作方式相同(搶占方式或非搶占方式)。對於搶占方式,建議Backup設備的搶占延遲時間設置為0秒,以便Master設備優先級降低時,Backup設備能迅速接替其轉發流量;建議Master設備的搶占延遲時間設置為較大值,如255秒,以便Master設備從故障中恢複時,有充足的時間從Backup設備上同步備份信息。
相關配置請參考“可靠性配置指導”中的“VRRP配置”。
(3) 配置IPsec以及IKE
· 創建並配置IKE對等體,保證互為備份的兩台設備上的IKE對等體配置完全相同。其中,IKE對等體的本端安全網關地址必須指定為上行鏈路VRRP組的虛擬IP地址。
· 創建並配置IKE協商方式的IPsec安全策略或IPsec安全框架,保證互為備份的兩台設備上的IPsec安全策略或IPsec安全框架配置完全相同。
· 在上行鏈路VRRP組所在的接口上應用IPsec安全策略或IPsec安全框架。如果應用了IPsec安全策略或IPsec安全框架的接口所屬的VRRP虛地址發生了變化,則必須重新將IPsec安全策略或IPsec安全框架應用到接口上。
在兩台互為備份的設備上均開啟IPsec雙機熱備功能後,IPsec雙機熱備功能才能生效。
表1-7 開啟IPsec雙機熱備功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟IPsec雙機熱備功能 |
ipsec synchronization enable |
可選 缺省情況下,IPsec雙機熱備功能處於開啟狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IPsec的運行情況,通過查看顯示信息認證配置的效果。
在用戶視圖下執行reset命令可以清除IPsec統計信息。
表1-8 IPsec顯示和維護
|
操作 |
命令 |
|
顯示IPsec安全策略的信息 |
display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPsec安全策略模板的信息 |
display ipsec policy-template [ brief | name template-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPsec安全提議的信息 |
display ipsec proposal [ proposal-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示SA的相關信息 |
display ipsec sa [ active | brief | policy policy-name [ seq-number ] | remote ip-address | standby ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPsec處理報文的統計信息 |
display ipsec statistics [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPsec隧道的信息 |
display ipsec tunnel [ active | standby ] [ | { begin | exclude | include } regular-expression ] |
|
清除已經建立的SA |
reset ipsec sa [ active | parameters dest-address protocol spi | policy policy-name [ seq-number ] | remote ip-address | standby ] |
|
清除IPsec的報文統計信息 |
reset ipsec statistics |
“IPsec加密AC和AP間隧道配置舉例”請參見“WLAN配置指導”中的“WLAN服務配置”中的“IPsec加密CAPWAP隧道配置舉例”。
企業內部使用AC與AP組網,AC與AP之間使用IPSec進行安全保護,並且對AC與AP間的可靠性有要求,兩台AC與AP通過交換機相連,AC1與AC2實現雙機熱備。具體要求如下:
· 兩台AC與AP處於同一VLAN,AP分別與AC1和AC2建立IPSec隧道
· 兩台AC間通過交換機發送熱備心跳報文
· AP與AC1和AC2分別建立IPSec隧道,並在此基礎上建立LWAPP隧道
圖1-3 AC與AP間建立IPSec隧道組網圖
(1) 配置AC 1
# 配置AC 1的IP地址。
<AC1> system-view
[AC1] interface Vlan-interface 1
[AC1-Vlan-interface1] ip address 133.1.1.1 16
[AC1-Vlan-interface1] quit
# 使能AC間熱備份功能並設置AC間連接的心跳周期。
[AC1] hot-backup enable
[AC1] hot-backup hellointerval 100
# 配置IKE心跳報文發送間隔時間。
[AC1] ike sa keepalive-timer interval 20
# 配置IKE SA的超時時間。
[AC1] ike sa keepalive-timer timeout 60
# 配置IPSec SA失效後刷新功能。
[AC1] ipsec invalid-spi-recovery enable
# 創建名為tran1的IPsec安全提議。
[AC1] ipsec proposal tran1
# 配置IPsec安全提議tran1采用ESP協議並使用SHA-1認證算法。
[AC1-ipsec-proposal-tran1] esp authentication-algorithm sha1
[AC1-ipsec-proposal-tran1] quit
# 創建一個名稱為dpd的DPD。
[AC1] ike dpd dpd
[AC1-ike-dpd-dpd] quit
# 創建名為peer1的IKE對等體。
[AC1] ike peer peer1
# 為對等體peer1應用名稱為dpd的DPD。
[AC1-ike-peer-peer1] dpd dpd
# 配置IKE協商所使用的預共享密鑰為明文123456。
[AC1-ike-peer-peer1] pre-shared-key simple 123456
# 配置安全網關IP地址為133.1.1.33。
[AC1-ike-peer-peer1] remote-address 133.1.1.33
[AC1-ike-peer-peer1] quit
# 創建一個模板名字為pt,順序號為1的IPsec安全策略模板。
[AC1] ipsec policy-template pt 1
# 設置安全策略模板引用IPsec安全提議tran1。
[AC1-ipsec-policy-template-pt-1] proposal tran1
# 配置在IPsec安全策略中引用IKE對等體。
[AC1-ipsec-policy-template-pt-1] ike-peer peer1
[AC1-ipsec-policy-template-pt-1] quit
# 配置名字為map,順序號為1,采用IKE方式協商安全聯盟的IPsec安全策略。
[AC1] ipsec policy map 1 isakmp template pt
# 在VLAN接口上應用IPSEC策略map。
[AC1] interface Vlan-interface 1
[AC1-Vlan-interface1] ipsec policy map
[AC1-Vlan-interface1] quit
# 創建AP的模板,名稱為ap,型號名稱選擇WA2620-AGN,配置AP的序列號為210235A35V0088000005,配置備份AC的IP地址和AP連接優先級。
[AC1] wlan ap ap model WA2620-AGN
[AC1-wlan-ap-ap] serial-id 210235A35V0088000005
[AC1-wlan-ap-ap] backup-ac ip 133.1.1.2
[AC1-wlan-ap-ap] priority level 7
# 進入AP的AP配置視圖。
[AC1-wlan-ap-ap] provision
# 以明文方式配置AP使用IPsec加密控製隧道的密鑰為123456。
[AC1-wlan-ap-ap-prvs] tunnel encryption ipsec pre-shared-key simple 123456
# 配置AP使用IPsec密鑰加密數據隧道。
[AC1-wlan-ap-ap-prvs] data-tunnel encryption en
# 將AP預配置信息保存到AP的私有配置文件中。
[AC1-wlan-ap-ap-prvs] save wlan ap provision name ap
[AC1-wlan-ap-ap-prvs] quit
[AC1] quit
# 重啟所有AP。
<AC1> reset wlan ap all
This command will reset all master connection AP's.
Do you want to continue [Y/N]:y
(2) 配置AC 2
# 配置AC 2的IP地址。
<AC2> system-view
[AC2] interface Vlan-interface 1
[AC2-Vlan-interface1] ip address 133.1.1.2 16
[AC2-Vlan-interface1] quit
# 使能AC間熱備份功能並設置AC間連接的心跳周期。
[AC2] hot-backup enable
[AC2] hot-backup hellointerval 100
# 配置IKE心跳報文發送間隔時間。
[AC2] ike sa keepalive-timer interval 20
# 配置IKE SA的超時時間。
[AC2] ike sa keepalive-timer timeout 60
# 配置IPSec SA失效後刷新功能。
[AC2] ipsec invalid-spi-recovery enable
# 創建名為tran1的IPsec安全提議。
[AC2] ipsec proposal tran1
# 配置IPsec安全提議tran1采用ESP協議並使用SHA-1認證算法。
[AC2-ipsec-proposal-tran1] esp authentication-algorithm sha1
[AC2-ipsec-proposal-tran1] quit
# 創建一個名稱為dpd的DPD。
[AC2] ike dpd dpd
[AC2-ike-dpd-dpd] quit
# 創建名為peer1的IKE對等體。
[AC2] ike peer peer1
# 為對等體peer1應用名稱為dpd的DPD。
[AC2-ike-peer-peer1] dpd dpd
# 配置IKE協商所使用的預共享密鑰為明文123456。
[AC2-ike-peer-peer1] pre-shared-key simple 123456
# 配置安全網關IP地址為133.1.1.33。
[AC2-ike-peer-peer1] remote-address 133.1.1.33
[AC2-ike-peer-peer1] quit
# 創建一個模板名字為pt,順序號為1的IPsec安全策略模板。
[AC2] ipsec policy-template pt 1
# 設置安全策略模板引用IPsec安全提議tran1。
[AC2-ipsec-policy-template-pt-1] proposal tran1
# 配置在IPsec安全策略中引用IKE對等體。
[AC2-ipsec-policy-template-pt-1] ike-peer peer1
[AC2-ipsec-policy-template-pt-1] quit
# 配置名字為map,順序號為1,采用IKE方式協商安全聯盟的IPsec安全策略。
[AC2] ipsec policy map 1 isakmp template pt
# 在VLAN接口上應用IPSEC策略map。
[AC2] interface Vlan-interface 1
[AC2-Vlan-interface1] ipsec policy map
[AC2-Vlan-interface1] quit
# 創建AP的模板,名稱為ap,型號名稱選擇WA2620-AGN,配置AP的序列號為210235A35V0088000005,配置備份AC的IP地址和AP連接優先級。
[AC2] wlan ap ap model WA2620-AGN
[AC2-wlan-ap-ap] serial-id 210235A35V0088000005
[AC2-wlan-ap-ap] backup-ac ip 133.1.1.1
[AC2-wlan-ap-ap] priority level 1
[AC2-wlan-ap-ap] quit
完成以上配置後,使用display wlan ap all命令可以查看到AC與AP建立的關聯關係。
<AC1> dis wlan ap all
Total Number of APs configured : 1
Total Number of configured APs connected : 1
Total Number of auto APs connected : 0
AP Profiles
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm
---------------------------------------------------------------------------
AP Name State Model Serial-ID
---------------------------------------------------------------------------
ap R/M WA2620-AGN 210235A35V0088000005
---------------------------------------------------------------------------
<AC1>
<AC2>dis wlan ap all
Total Number of APs configured : 1
Total Number of configured APs connected : 1
Total Number of auto APs connected : 0
AP Profiles
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm
---------------------------------------------------------------------------
AP Name State Model Serial-ID
---------------------------------------------------------------------------
ap R/B WA2620-AGN 210235A35V0088000005
---------------------------------------------------------------------------
<AC2>
使用display ipsec sa命令可以查看到建立的SA聯盟,IKE協商成功並創建了SA後,AP和AC之間的控製報文將被加密傳輸。
<AC1> display ipsec sa
===============================
Interface: Vlan-interface1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "pt"
sequence number: 1
mode: template
-----------------------------
connection id: 7
encapsulation mode: tunnel
perfect forward secrecy:
tunnel:
local address: 133.1.1.1
remote address: 133.1.1.33
flow:
sour addr: 133.1.1.1/255.255.255.255 port: 12223 protocol: UDP
dest addr: 133.1.1.33/255.255.255.255 port: 0 protocol: UDP
[inbound ESP SAs]
spi: 220165574 (0x0d1f75c6)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843177/3261
max received sequence-number: 126
anti-replay check enable: Y
anti-replay window size: 32
udp encapsulation used for nat traversal: N
status: --
[outbound ESP SAs]
spi: 620434955 (0x24fb160b)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843192/3261
max received sequence-number: 127
udp encapsulation used for nat traversal: N
status: --
-----------------------------
IPsec policy name: "pt"
sequence number: 1
mode: template
-----------------------------
connection id: 8
encapsulation mode: tunnel
perfect forward secrecy:
tunnel:
local address: 133.1.1.1
remote address: 133.1.1.33
flow:
sour addr: 133.1.1.1/255.255.255.255 port: 12222 protocol: UDP
dest addr: 133.1.1.33/255.255.255.255 port: 0 protocol: UDP
[inbound ESP SAs]
spi: 2106938486 (0x7d955476)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843194/3262
max received sequence-number: 111
anti-replay check enable: Y
anti-replay window size: 32
udp encapsulation used for nat traversal: N
status: --
[outbound ESP SAs]
spi: 1822532692 (0x6ca1a454)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843200/3262
max received sequence-number: 1
udp encapsulation used for nat traversal: N
status: --
<AC1>
<AC2> display ipsec sa
===============================
Interface: Vlan-interface1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "pt"
sequence number: 1
mode: template
-----------------------------
connection id: 6
encapsulation mode: tunnel
perfect forward secrecy:
tunnel:
local address: 133.1.1.2
remote address: 133.1.1.33
flow:
sour addr: 133.1.1.2/255.255.255.255 port: 12223 protocol: UDP
dest addr: 133.1.1.33/255.255.255.255 port: 0 protocol: UDP
[inbound ESP SAs]
spi: 1636801638 (0x618f9c66)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843159/2980
max received sequence-number: 206
anti-replay check enable: Y
anti-replay window size: 32
udp encapsulation used for nat traversal: N
status: --
[outbound ESP SAs]
spi: 1048421470 (0x3e7da45e)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843189/2980
max received sequence-number: 207
udp encapsulation used for nat traversal: N
status: --
-----------------------------
IPsec policy name: "pt"
sequence number: 1
mode: template
-----------------------------
connection id: 7
encapsulation mode: tunnel
perfect forward secrecy:
tunnel:
local address: 133.1.1.2
remote address: 133.1.1.33
flow:
sour addr: 133.1.1.2/255.255.255.255 port: 12222 protocol: UDP
dest addr: 133.1.1.33/255.255.255.255 port: 0 protocol: UDP
[inbound ESP SAs]
spi: 1751951131 (0x686ca71b)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843190/2981
max received sequence-number: 205
anti-replay check enable: Y
anti-replay window size: 32
udp encapsulation used for nat traversal: N
status: --
[outbound ESP SAs]
spi: 2945451878 (0xaf900766)
proposal: ESP-ENCRYPT-DES ESP-AUTH-SHA1
sa duration (kilobytes/sec): 1843200/3600
sa remaining duration (kilobytes/sec): 1843200/2981
max received sequence-number: 1
udp encapsulation used for nat traversal: N
status: --
<AC2>
可以使用display ike sa命令查看到IKE協商成功後生成的SA。
<AC1> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi status
-----------------------------------------------------------------------
60 133.1.1.33 RD 1 IPSEC --
61 133.1.1.33 RD 2 IPSEC --
62 133.1.1.33 RD 2 IPSEC --
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
<AC1>
<AC2> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi status
-----------------------------------------------------------------------
117 133.1.1.33 RD 1 IPSEC --
120 133.1.1.33 RD 2 IPSEC --
121 133.1.1.33 RD 2 IPSEC --
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
<AC2>
IKE的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
在實施IPsec的過程中,可以使用IKE(Internet Key Exchange,因特網密鑰交換)協議來建立SA,該協議建立在由ISAKMP(Internet Security Association and Key Management Protocol,互聯網安全聯盟和密鑰管理協議)定義的框架上。IKE為IPsec提供了自動協商交換密鑰、建立SA的服務,能夠簡化IPsec的使用和管理,大大簡化IPsec的配置和維護工作。
IKE不是在網絡上直接傳輸密鑰,而是通過一係列數據的交換,最終計算出雙方共享的密鑰,並且即使第三方截獲了雙方用於計算密鑰的所有交換數據,也不足以計算出真正的密鑰。
若無特殊說明,本文中的IKE均指第1版本的IKE協議。
IKE具有一套自保護機製,可以在不安全的網絡上安全地認證身份、分發密鑰、建立IPsec SA。
數據認證有如下兩方麵的概念:
· 身份認證:身份認證確認通信雙方的身份。支持兩種認證方法:預共享密鑰(pre-shared-key)認證和基於PKI的數字簽名(rsa-signature)認證。
· 身份保護:身份數據在密鑰產生之後加密傳送,實現了對身份數據的保護。
DH(Diffie-Hellman,交換及密鑰分發)算法是一種公共密鑰算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據,計算出共享的密鑰。即使第三方(如黑客)截獲了雙方用於計算密鑰的所有交換數據,由於其複雜度很高,也不足以計算出真正的密鑰。所以,DH交換技術可以保證雙方能夠安全地獲得公有信息。
PFS(Perfect Forward Secrecy,完善的前向安全性)特性是一種安全特性,指一個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關係。對於IPsec,是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH算法保障的。
IKE使用了兩個階段為IPsec進行密鑰協商並建立SA:
(1) 第一階段,通信各方彼此間建立了一個已通過身份認證和安全保護的通道,即建立一個ISAKMP SA。第一階段有主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種IKE交換方法。
(2) 第二階段,用在第一階段建立的安全隧道為IPsec協商安全服務,即為IPsec協商具體的SA,建立用於最終的IP數據安全傳輸的IPsec SA。
如圖2-1所示,第一階段主模式的IKE協商過程中包含三對消息:
· 第一對叫SA交換,是協商確認有關安全策略的過程;
· 第二對消息叫密鑰交換,交換Diffie-Hellman公共值和輔助數據(如:隨機數),密鑰材料在這個階段產生;
· 最後一對消息是ID信息和認證數據交換,進行身份認證和對整個第一階段交換內容的認證。
野蠻模式交換與主模式交換的主要差別在於,野蠻模式不提供身份保護,隻交換3條消息。在對身份保護要求不高的場合,使用交換報文較少的野蠻模式可以提高協商的速度;在對身份保護要求較高的場合,則應該使用主模式。
· 因為有了IKE,IPsec很多參數(如:密鑰)都可以自動建立,降低了手工配置的複雜度。
· IKE協議中的DH交換過程,每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程,保證了每個SA所使用的密鑰互不相關。
· IPsec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值,此數溢出後,為實現防重放,SA需要重新建立,這個過程需要IKE協議的配合。
· 對安全通信的各方身份的認證和管理,將影響到IPsec的部署。IPsec的大規模使用,必須有CA(Certificate Authority,證書頒發機構)或其他集中管理身份數據的機構的參與。
· IKE提供端與端之間動態認證。
圖2-2 IPsec與IKE的關係圖
從圖2-2中我們可以看出IKE和IPsec的關係:
· IKE是UDP之上的一個應用層協議,是IPsec的信令協議;
· IKE為IPsec協商建立SA,並把建立的參數及生成的密鑰交給IPsec;
· IPsec使用IKE建立的SA對IP報文加密或認證處理。
與IKE相關的協議規範有:
· RFC2408:Internet Security Association and Key Management Protocol (ISAKMP)
· RFC2409:The Internet Key Exchange (IKE)
· RFC2412:The OAKLEY Key Determination Protocol
進行IKE配置之前,用戶需要確定以下幾個因素,以便配置過程的順利進行。
· 確定IKE交換過程中算法的強度,即確定安全保護的強度(包括身份認證方法、加密算法、認證算法、DH組):不同的算法的強度不同,算法強度越高,受保護數據越難被破解,但消耗的計算資源越多。一般來說,密鑰越長的算法強度越高。
· 確定通信雙方預先約定的預共享密鑰或所屬的PKI域。關於PKI的配置,請參見“安全配置指導”中的“PKI”。
表2-1 IKE配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置本端安全網關的名字 |
可選 |
|
|
配置IKE安全提議 |
可選 若IKE對等體中需要指定IKE安全提議,則必配 |
|
|
配置IKE對等體 |
必選 |
|
|
配置Keepalive定時器 |
可選 |
|
|
配置NAT Keepalive定時器 |
可選 |
|
|
配置對等體存活檢測 |
可選 |
|
|
配置取消對next payload域的檢查 |
可選 |
當IKE協商的發起端使用FQDN (Fully Qualified Domain Name,完全合格域名)或者User FQDN類型的安全網關名字進行協商時(即配置了id-type name或id-type user-fqdn),本端需要配置本端安全網關的名字,該名字既可以在係統視圖下進行配置,也可以在IKE對等體視圖下配置,若兩個視圖下都配置了本端安全網關的名字,則采用IKE對等體視圖下的配置。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置本端安全網關的名字 |
ike local-name name |
可選 缺省情況下,使用設備名作為本端安全網關的名字 |
IKE安全提議定義了一套屬性數據來描述IKE協商怎樣進行安全通信。用戶可以創建多條不同優先級的IKE提議,優先級由IKE提議的序號表示,數值越小,優先級越高。
協商雙方必須至少有一條匹配的IKE提議才能協商成功。在進行IKE協商時,協商發起方會將自己的安全提議發送給對端,由對端進行匹配,協商響應方則從自己優先級最高(序號最小)的IKE提議開始,按照優先級順序與對端發送的安全提議進行匹配,直到找到一個匹配的安全提議來使用。匹配的IKE提議將被用來建立安全隧道。
以上IKE安全提議的匹配原則是:協商雙方具有相同的加密算法、認證方法、認證算法和DH組標識。匹配的IKE提議的ISAKMP SA存活時間則取兩端的最小值。
缺省情況下,係統提供一條缺省的IKE提議。此缺省的IKE提議具有最低的優先級,具有缺省的加密算法、認證方法、認證算法、DH組標識和ISAKMP SA存活時間。
表2-3 配置IKE安全提議
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IKE提議,並進入IKE提議視圖 |
ike proposal proposal-number |
必選 |
|
指定一個供IKE提議使用的加密算法 |
encryption-algorithm { aes-cbc [ key-length ] | des-cbc } |
可選 缺省情況下,IKE提議使用CBC模式的56-bit DES加密算法 |
|
指定一個供IKE提議使用的認證方法 |
authentication-method { pre-share | rsa-signature } |
可選 缺省情況下,IKE提議使用預共享密鑰的認證方法 |
|
指定一個供IKE提議使用的認證算法 |
authentication-algorithm { md5 | sha } |
可選 缺省情況下,IKE提議使用SHA1認證算法 |
|
配置IKE階段1密鑰協商時所使用的DH密鑰交換參數 |
dh { group1 | group2 | group5 | group14 } |
可選 缺省情況下,IKE階段1密鑰協商時所使用的DH密鑰交換參數為group1,即768-bit的Diffie-Hellman組 |
|
指定一個IKE提議的ISAKMP SA存活時間 |
可選 缺省情況下,IKE提議的ISAKMP SA存活時間為86400秒 |
如果存活時間超時,ISAKMP SA將自動更新。因為IKE協商需要進行DH計算,在低端設備上需要經過較長的時間,為使ISAKMP SA的更新不影響安全通信,建議設置存活時間大於10分鍾。
在采用IKE方式配置安全策略時,需要指定IKE對等體。IKE對等體中主要包括以下配置:
· 本端作為發起方時所使用的協商模式(主模式、野蠻模式)。本端作為響應方時,將自動適配發起方的協商模式。當對端的IP地址為動態獲取,且采用預共享密鑰認證方式時,建議將本端的IKE的協商模式配置為野蠻模式。
· 本端作為發起方時可以使用的IKE安全提議(可指定多個)。本端作為響應方時,將使用係統視圖下已經配置的安全提議與對端發送的安全提議進行協商。
· 根據IKE提議使用的認證方法不同,選擇所使用的預共享密鑰或者PKI域。
· 本端在IKE第一階段協商時,所使用的ID類型(IP地址、FQDN名、User FQDN名)。在預共享密鑰認證的主模式下,隻能使用IP地址類型的ID。
· 本端安全網關的名字或IP地址。一般情況下本端安全網關的IP地址不需要配置,隻有要指定特殊的本端安全網關地址時(如指定loopback接口地址)才需要配置。
· 對端安全網關的名字或IP地址。若本端作為發起方,則需要配置對端安全網關名字或對端安全網關IP地址,它們用於發起方在協商過程中尋找對端。
· 用於IKE對等體存活狀態檢測的DPD名稱。
表2-4 配置IKE對等體
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
創建一個IKE對等體,並進入IKE-Peer視圖 |
ike peer peer-name |
必選 |
|
|
配置IKE第一階段的協商模式 |
exchange-mode { aggressive | main } |
可選 缺省情況下,IKE階段的協商模式使用主模式 |
|
|
配置IKE對等體引用的IKE安全提議 |
proposal proposal-number&<1-6> |
可選 缺省情況下,IKE對等體未引用任何IKE安全提議,使用係統視圖下已配置的IKE安全提議進行IKE協商 |
|
|
配置采用預共享密鑰認證時,所使用的預共享密鑰 |
pre-shared-key [ cipher | simple ] key |
二者必選其一 根據IKE提議使用的認證方法選擇其中一個配置 |
|
|
配置采用數字簽名認證時,證書所屬的PKI域 |
certificate domain domain-name |
||
|
選擇IKE第一階段的協商過程中使用ID的類型 |
id-type { ip | name | user-fqdn } |
可選 缺省情況下,使用IP地址作為IKE協商過程中使用的ID |
|
|
配置本端及對端安全網關的名字 |
配置本端安全網關的名字 |
local-name name |
可選 對端使用remote-name配置的網關名字應與IKE協商發起端所配置的本端安全網關名字保持一致 缺省情況下,未定義本端安全網關的名字,使用係統視圖下本端安全網關的名字 |
|
配置對端安全網關的名字 |
remote-name name |
||
|
配置本端及對端安全網關的IP地址 |
配置本端安全網關的IP地址 |
local-address ip-address |
可選 對端使用remote-address配置的IP地址應與IKE協商發起端使用local-address命令所配的安全網關IP地址保持一致 缺省情況下,IKE協商時的本端安全網關IP地址使用應用IPsec安全策略的接口的主IP地址 |
|
配置對端安全網關的IP地址 |
remote-address { hostname [ dynamic ] | low-ip-address [ high-ip-address ] } |
||
|
為IKE對等體應用一個DPD |
dpd dpd-name |
可選 缺省情況下,IKE對等體沒有應用DPD |
|
修改IKE對等體配置之後,要執行命令reset ipsec sa、reset ike sa來清除原有的IPsec SA與IKE SA,否則重新協商SA會失敗。
IKE通過Keepalive報文維護ISAKMP SA的鏈路狀態。一般在對端配置了等待Keepalive報文的超時時間後,必須在本端配置此Keepalive報文發送時間間隔。當對端在配置的超時時間內未收到此Keepalive報文時,如果該ISAKMP SA帶有TIMEOUT標記,則刪除該ISAKMP SA以及由其協商的IPsec SA;否則,將其標記為TIMEOUT。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置ISAKMP SA向對端發送Keepalive報文的時間間隔 |
ike sa keepalive-timer interval seconds |
必選 缺省情況下,ISAKMP SA不向對端發送Keepalive報文 |
|
配置ISAKMP SA等待對端發送Keepalive報文的超時時間 |
ike sa keepalive-timer timeout seconds |
必選 缺省情況下,ISAKMP SA不向對端發送Keepalive報文 |
本端配置的Keepalive報文的等待超時時間要大於對端發送的時間間隔。由於網絡中一般不會出現超過連續三次的報文丟失,所以,本端的超時時間可以配置為對端配置的Keepalive報文發送時間間隔的三倍。
在IPsec/IKE組建的VPN隧道中,若存在NAT安全網關設備,需配置NAT穿越功能來實現NAT穿越,但由於在NAT網關上的NAT映射會話有一定存活時間,因此一旦安全隧道建立後如果長時間沒有報文穿越,NAT會話表項會被刪除,這樣將導致在NAT網關外側的隧道無法繼續傳輸數據。為防止NAT表項老化,NAT網關內網側的ISAKMP SA會以一定的時間間隔向對端發送NAT Keepalive報文,以維持NAT會話的存活。
表2-6 配置NAT Keepalive定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置ISAKMP SA向對端發送NAT Keepalive報文的時間間隔 |
ike sa nat-keepalive-timer interval seconds |
必選 缺省情況下,ISAKMP SA向對端發送NAT Keepalive報文的時間間隔為20秒 |
DPD(Dead Peer Detection,對等體存活檢測)用於IKE對等體存活狀態檢測。啟動DPD功能後,當本端需要向對端發送IPsec報文時,若判斷當前距離最後一次收到對端IPsec報文已經超過觸發DPD的時間間隔(interval-time interval-time),則觸發DPD查詢,本端主動向對端發送DPD請求報文,對IKE對等體是否存活進行檢測。如果本端在DPD報文的重傳時間間隔(time-out time-out)內未收到對端發送的DPD回應報文,則重傳DPD請求,缺省重傳兩次之後,若仍然沒有收到對端的DPD回應報文,則刪除該IKE SA和對應的IPsec SA。
DPD和Keepalive的區別:
· Keepalive定期發送查詢;
· DPD隻在要發送加密報文前並且長時間(觸發DPD的時間間隔)未收到對端IPsec報文時發送查詢。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個DPD,並進入DPD視圖 |
ike dpd dpd-name |
必選 |
|
配置觸發DPD的時間間隔 |
interval-time interval-time |
可選 缺省情況下,觸發DPD的時間間隔為10秒 |
|
配置DPD報文的重傳時間間隔 |
time-out time-out |
可選 缺省情況下,DPD報文的重傳時間間隔為5秒 |
next payload域是在IKE協商報文(由幾個payload組裝而成)的最後一個payload的通用頭中的一個域。按協議規定如果當前載荷處於消息的最後,該域必須為0,但某些公司的設備會將該域賦其它值,為增強設備的互通性,可以通過下麵的配置取消IKE協商過程對該域的檢查。
表2-8 配置取消對next payload域的檢查
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置在IKE協商過程中取消對next payload域的檢查 |
ike next-payload check disabled |
必選 缺省情況下,在IPsec協商過程中對next payload域進行檢查 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IKE的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以刪除IKE建立的安全隧道。
表2-9 IKE顯示和維護
|
操作 |
命令 |
|
顯示DPD配置的參數 |
display ike dpd [ dpd-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IKE對等體配置的參數 |
display ike peer [ peer-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示當前IKE SA的信息 |
display ike sa [ active | standby | verbose [ connection-id connection-id | remote-address remote-address ] ] [ | { begin | exclude | include } regular-expression ] |
|
顯示每個IKE提議配置的參數 |
display ike proposal [ | { begin | exclude | include } regular-expression ] |
|
清除IKE建立的安全隧道 |
reset ike sa [ connection-id | active | standby ] |
IKE典型配置舉例請參見“WLAN配置指導”中的“WLAN服務配置”中的“IPsec加密AC和AP間隧道配置舉例”。
配置參數建立IPsec安全隧道時,可以打開IKE的Error調試開關,幫助我們查找配置問題。其命令是:
<Sysname> debugging ike error
提議不匹配
可以看到調試信息:
got NOTIFY of type NO_PROPOSAL_CHOSEN
或者:
drop message from A.B.C.D due to notification type NO_PROPOSAL_CHOSEN
協商雙方沒有可以匹配的提議。
對於階段1,檢查IKE proposal是否有與對方匹配的。對於階段2協商,檢查雙方接口上應用的IPsec安全策略的參數是否匹配,引用的IPsec安全提議的協議、加密算法和認證算法是否有匹配的。
無法建立安全隧道
實際應用中有時會發現在不穩定的網絡狀態下,安全隧道無法建立或者存在安全隧道卻無法通信,而且檢查雙方的ACL的配置正確,也有匹配的提議。
這種情況一般是安全隧道建立好以後,有一方的設備重啟造成的。
· 使用display ike sa命令檢查雙方是否都已建立階段1的SA。
· 使用display ipsec sa policy命令查看接口上的安全策略是否已建立了IPsec SA。
· 根據以上兩步的結果查看,如果有一方存在的SA在另一方上不存在,請先使用reset ipsec sa命令清除雙方不對稱存在的IPsec SA,再使用reset ike sa命令清除雙方不對稱存在的IKE SA,並重新發起協商。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
