- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-IPSec
本章節下載: 12-IPSec (1.28 MB)
目 錄
IPsec用於保護敏感信息在Internet上傳輸的安全性。它在網絡層對IP數據包進行加密和認證。 IPsec提供了以下網絡安全服務,這些安全服務是可選的,通常情況下,本地安全策略決定了采用以下安全服務的一種或多種:
· 數據的機密性:IPsec的發送方對發給對端的數據進行加密。
· 數據的完整性:IPsec的接收方對接收到的數據進行驗證以保證數據在傳送的過程中沒有被修改。
· 數據來源的認證:IPsec接收方驗證數據的起源。
· 抗重播:IPsec的接收方可以檢測到重播的IP包並且丟棄。
使用IPsec可以避免數據包的監聽、修改和欺騙,數據可以在不安全的公共網絡環境下安全的傳輸,IPsec的典型運用是構建VPN。IPsec使用 “封裝安全載荷(ESP)”或者“鑒別頭(AH)”證明數據的起源地、保障數據的完整性以及防止相同數據包的不斷重播;使用ESP保障數據的機密性。密鑰管理協議稱為ISAKMP ,根據安全策略數據庫(SPDB)隨IPsec使用,用來協商安全聯盟(SA)並動態的管理安全聯盟數據庫。
相關術語解釋:
· 鑒別頭(AH):用於驗證數據包的安全協議。
· 封裝安全有效載荷(ESP): 用於加密和驗證數據包的安全協議;可與AH配合工作也可以單獨工作。
· 加密算法:ESP所使用的加密算法。
· 驗證算法:AH或ESP用來驗證對方的驗證算法。
· 密鑰管理:密鑰管理的一組方案,其中IKE(Internet密鑰交換協議)是缺省的密鑰自動交換協議。
|
配置任務 |
說明 |
詳細配置 |
|
配置IKE協商策略 |
必選 |
|
|
配置IPsec協商策略 |
||
|
配置IPsec隧道接口 |
必選 |
在導航欄中選擇“網絡配置>VPN>IPsec-VPN> IPsec第三方對接”,進入IPsec的顯示頁麵,如圖1-1所示。
圖1-1 IPsec顯示頁麵
頁麵的詳細說明如表1-2。
表1-2 IPsec顯示頁麵的詳細說明
|
項目 |
說明 |
|
名稱 |
IKE的和對應的IPsec名稱。 |
|
詳細信息 |
IKE的詳細信息。 |
|
操作 |
可以對相應IPsec進行的操作。 |
單擊<新建>按鈕,在下拉菜單中選擇<新建IKE>,或者點擊對應IKE的右側<編輯>按鈕,進入IKE的配置頁麵,如圖1-2所示。
圖1-2 IKE新建頁麵
頁麵的詳細說明如表1-3所示。
表1-3 IKE配置的詳細說明
|
項目 |
說明 |
|
網關名稱 |
IKE的名稱 |
|
本地源接口/本地源IP地址/無 |
當有多出口時,需要指定用於建立IPsec的本端IP地址。如果指定的是本地源接口,則使用該接口上的主IP作為本端IP地址。 說明:對於本地源IP和無的配置,接口down無法判斷要清除那個SA,所以統一處理邏輯為接口down不自動清SA,通過DPD機製來檢測鏈路狀態即可,DPD保活失敗,會自動清除SA |
|
對端網關 |
指定對端網關,可以有靜態IP、域名、動態三種選擇。 |
|
IP地址/域名 |
根據對端網關選擇的類型,可以輸入對端網關的IP地址或者域名。 |
|
認證方式 |
指定一階段認證所采用的方式,有預共享密鑰、數字證書和國密認證三種選擇。 |
|
預共享密鑰/證書、CA證書、國密證書 |
根據認證方式選擇的類型,預共享密鑰、CA證書或者國密證書。 |
點擊<高級選項>,可以顯示出更多內容,如圖1-3所示。
圖1-3 IKE新建頁麵高級選項
頁麵的詳細說明如表1-4所示。
表1-4 IKE配置高級選項的詳細說明
|
項目 |
說明 |
|
IKE協商交互方案 |
添加一階段協商所需要的加密提案,最多可以添加3個。默認加密方式為AES256_SHA2_256。 |
|
DH組 |
指定DH交換組。 |
|
密鑰周期 |
密鑰的生成周期。 |
|
NAT穿越連接頻率 |
即在穿越NAT時,NAT會話保活報文的發送間隔。 |
|
本端ID |
支持IP地址,FQDN和User-FQDN三種格式。其中FQDN和User-FQDN隻能用於野蠻模式。 |
|
對端ID |
支持IP地址,FQDN和User-FQDN三種格式。其中FQDN和User-FQDN隻能用於野蠻模式。 用於校驗對端的ID,以匹配對應的IKE。 |
|
對等體狀態探測 |
即DPD監測,可以開啟該功能,用以探測對端的存活狀況。 對於IPSEC分支非常多的場景,如有幾千個甚至上萬個分支,不建議開啟DPD檢測,否則中心端的設備會因為處理大量DPD報文而嚴重消耗CPU資源 |
|
DPD檢測間隔 |
發送DPD報文的間隔。 |
|
DPD失敗重試間隔 |
如果前一次發送的DPD報文未得到回應,則使用重試間隔來發送下一次DPD報文。一般DPD失敗重試間隔小於DPD檢測間隔,用於快速地確認對端是否存活。 |
|
DPD失敗重試次數 |
在重試了指定次數後,仍未得到對端的回應,則認為對端已斷開連接。 |
|
擴展認證 |
開啟該功能後,需要在用戶管理頁麵添加用戶,具體步驟可參考用戶管理模塊。 |
|
模式配置 |
給遠程接入的用戶分配地址及下發DNS、WINS服務器。 |
|
地址池 |
給遠程接入的用戶分配地址的地址對象。 |
|
撥號用戶DNS |
給遠程接入的用戶分配的DNS。 |
|
撥號用戶WINS |
給遠程接入的用戶分配的WINS。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在IPsec顯示頁麵,點擊IKE右側的<刪除>按鈕,可以刪除對應的IKE。
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > Ipsec第三方對接”,進入IPsec配置的顯示頁麵,單擊<新建IPsec>按鈕,或者點擊對應IPsec的右側<編輯>按鈕,進入IPsec協商策略的配置頁麵,如圖1-4所示。
圖1-4 IPsec新建頁麵
點擊下方<高級選項>按鈕可以顯示更多的配置選項,如圖1-5所示。
圖1-5 IPsec協商策略高級選項配置頁麵
頁麵的詳細說明如表1-5所示。
表1-5 IPsec協商策略配置的詳細說明
|
項目 |
說明 |
|
通道名稱 |
IPsec協商策略名稱。 |
|
IKE |
選擇一個已經新建的IKE。 |
|
IPsec協商交互方案 |
添加二階段協商所需要的加密提案,最多可以添加4個。ESP和AH不允許全為空。 |
|
完美向前保密(PFS) |
指定完美向前保密組。 |
|
模式 |
IPSEC加密的封裝模式,目前隻支持隧道(tunnel)模式。 |
|
密鑰周期 |
指定IPSEC SA最大有效時間,有時間、流量、時間+流量三種選擇。 |
|
自動連接 |
是否開啟自動連接功能,如果開啟此選擇需同時設定一個自動重連時間間隔。 |
|
流量觸發連接 |
開啟此功能,不會建立IPsec隧道,在有流量通過的情況,才會建立IPsec隧道。 |
|
監控鏈路故障自動連接 |
此功能必須設置時間為自動連接的時間; 主鏈路:需要選擇監控的主鏈路; 切換延遲時間:主鏈路選擇後需要設置主鏈路故障後切換到本鏈路的時長。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在IPsec顯示頁麵,點擊IPsec右側的<刪除>按鈕,可以刪除對應的IPsec。
在導航欄中選擇“策略配置 > 控製策略”,進入控製策略的顯示頁麵,單擊<新建>按鈕,進入控製策略新建頁麵,行為選擇“允許”,點擊<提交>按鈕,應用配置。
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > Ipsec第三方對接 > IPsec隧道接口”,進入IPsec隧道接口的顯示頁麵,如圖1-6所示。
圖1-6 IPsec隧道接口顯示頁麵
頁麵的詳細說明如表1-6。
表1-6 IPsec隧道接口顯示頁麵的詳細說明
|
項目 |
說明 |
|
IPsec接口 |
IPsec接口名稱。 |
|
IPv4地址 |
隧道接口的IPv4地址。 |
|
IPsec |
隧道接口對應的IPsec協商策略。 |
|
地址項目 |
感興趣流對應源網段和目的網段。 |
|
操作 |
可以對相應IPsec隧道接口執行的操作。 |
單擊頁麵上方<新建>按鈕,或者點擊對應隧道接口的右側<編輯>按鈕,進入IPsec隧道接口的配置頁麵,如圖1-7所示。
圖1-7 IPsec隧道接口的新建頁麵
頁麵的詳細說明如表1-7。
表1-7 IPsec隧道接口新建頁麵的詳細說明
|
項目 |
說明 |
|
IPsec |
IPsec隧道的編號,係統會自動推薦一個空閑的編號,也可自行填入。 |
|
IPv4地址 |
為tunnel接口指定一個IPv4地址。 |
|
IPsec |
指定一個已經存在的IPsec協商策略。 |
|
地址項目 |
設置感興趣流,輸入源網段和目的網段,點擊<添加到列表>,加入下方的列表中。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在IPsec隧道接口顯示頁麵,點擊隧道接口右側的<刪除>按鈕,可以刪除對應的隧道接口。
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > Ipsec第三方對接 > IPsec SA”,進入IPsec SA顯示頁麵。頁麵中顯示了已經新建的IPsec SA。如圖1-8所示。
圖1-8 IPsec SA顯示頁麵
頁麵的詳細說明如表1-8。
表1-8 IPsec SA顯示頁麵的詳細說明
|
項目 |
說明 |
|
名稱 |
IPsec SA的名稱。 |
|
對端網關 |
IPsec SA的對端網關。 |
|
本地網關 |
IPsec SA的本地網關。 |
|
狀態 |
IPsec SA的狀態: “連接”表示IPsec連接成功; “未連接”表示IPsec連接不成功,需要檢查對接雙方網絡以及IPsec配置是否有問題。 |
|
過期時間/過期流量 |
IPsec SA的過期時間/過期流量。 |
|
流量(入/出) |
IPsec SA的入流量/出流量。 |
|
源網絡 |
IPsec SA的源網絡。 |
|
目的網絡 |
IPsec SA的目的網絡。 |
|
操作 |
可以對相應IPsec SA進行的操作。單擊“ 單擊“ |
點擊頁麵右側的<刪除>按鈕,可以刪除對應的IPsec SA。
點擊頁麵右側的<詳細>按鈕,可以看到對應的IPsec SA的詳細信息。
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > Ipsec第三方對接 > IKE SA”,進入IKE SA顯示頁麵,頁麵中顯示了已經新建的IKE SA。如圖1-9所示。
圖1-9 IKE SA顯示頁麵
頁麵的詳細說明如表1-9。
表1-9 IKE SA顯示頁麵的詳細說明
|
項目 |
說明 |
|
名稱 |
IKE SA的名稱。 |
|
對端網關 |
IKE SA的對端網關。 |
|
本地網關 |
IKE SA的本地網關。 |
|
狀態 |
IKE SA的狀態: “連接”表示IKE連接成功; “未連接”表示IKE連接不成功,需要檢查對接雙方網絡以及IKE配置是否有問題。 |
|
過期時間 |
IKE SA的過期時間。 |
|
操作 |
可以對相應IKE SA進行的操作,可以清除此條IKE的狀態記錄,設備會自動重新建立IKE連接,不影響配置。 |
點擊頁麵右側的<刪除>按鈕,可以刪除對應的IKE SA。
如下圖1-10所示,在設備 A 和設備 B之間使用商密標準建立一個安全隧道,對Host A 代表的子網(1.1.1.0/24)與Host B 代表的子網(2.2.2.0/24)之間的數據流進行安全保護。
圖1-10 IPsec舉例組網圖
(1) 新建IKE協商
對設備 A的IKE配置如下圖1-11所示。
圖1-11 設備 A的IKE配置
注意:如果本端有多個出口可以到達對端,則必須指定本地源IP或本地源接口。
對設備 B的IKE配置如下圖1-12所示。
圖1-12 設備 B設備IKE配置
注意:如果本端有多個出口可以到達對端,則必須指定本地源IP或本地源接口。
(2) 配置IPsec協商策略
對設備 A的IPsec協商策略配置如下圖1-13所示。
圖1-13 設備 A的IPsec協商策略配置
對設備 B的IPsec協商策略配置如下圖1-14所示。
圖1-14 設備 B的IPsec協商策略配置
(3) 新建所需地址對象
圖1-15 設備 地址對象配置
(4) 新建IPSec安全策略
圖1-16 設備 A的安全策略配置信息
圖1-17 設備 B的安全策略配置信息
(5) 新建IPSEC隧道接口
圖1-18 設備 A的隧道接口配置
設備 B的隧道接口如下圖1-19所示。
圖1-19 設備 B的隧道接口配置
注:配置IPsec隧道時,隧道接口地址可選配置。是否配置隧道地址與怎樣配置靜態路由有關。配置隧道地址後路由可指定下一跳地址的方式去寫。未配置隧道地址時需選用出接口的方式去寫路由。
(6) 配置靜態路由
需要將感興趣流的路由指向tunnel口。
圖1-20 設備 A靜態路由配置
出接口配置方式:
下一跳配置方式:
圖1-21 設備 B靜態路由配置
出接口配置方式:
下一跳配置方式:
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > IPsec第三方對接 > IPsec SA”,查看IPsec SA。
圖1-22 設備 A的IPsec SA
圖1-23 設備 B的IPsec SA
如下圖1-24所示,在設備 A 和設備 B之間使用國密標準建立一個安全隧道,對Host A 代表的子網(1.1.1.0/24)與Host B 代表的子網(2.2.2.0/24)之間的數據流進行安全保護。
圖1-24 IPsec舉例組網圖
(1) 導入國密CA證書
設備 A:進入“策略配置>對象管理>本地證書>證書>CA”,點擊導入,如圖1-25所示。
圖1-25 設備A導入CA證書
設備 B:進入“策略配置>對象管理>本地證書>證書>CA”,點擊導入,如圖1-26所示。
圖1-26 設備B導入CA證書
(2) 導入國密用戶證書
設備 A:進入“策略配置>對象管理>本地證書>證書>國密”,點擊導入,如圖1-27所示。上傳證書類型選擇證書密鑰分離。
設備 B:進入“策略配置>對象管理>本地證書>證書>國密”,點擊導入,上傳證書類型選擇證書密鑰分離。
(3) 新建IKE協商
對設備 A的IKE配置如下圖1-28所示。
圖1-28 設備 A的IKE配置
注意:如果本端有多個出口可以到達對端,則必須指定本地源IP或本地源接口。
對設備 B的IKE配置如下圖1-29所示。
圖1-29 設備 B的IKE配置
注意:如果本端有多個出口可以到達對端,則必須指定本地源IP或本地源接口。
(4) 配置IPsec協商策略
對設備 A的IPsec協商策略配置如下圖1-30所示。
圖1-30 設備 A的IPsec協商策略配置
對設備 B的IPsec協商策略配置如下圖1-31所示。
圖1-31 設備B的IPsec協商策略配置
(5) 新建所需地址對象
圖1-32 設備 地址對象配置
(6) 新建IPSec安全策略
圖1-33 設備 A的配置信息
圖1-34 設備 B的配置信息
(7) 新建IPSEC隧道接口
設備 A的隧道接口如圖1-35下所示。
圖1-35 設備 A的隧道接口配置
設備 B的隧道接口如下圖1-36所示。
圖1-36 設備 B的隧道接口配置
注:配置IPsec隧道時,隧道接口地址可選配置。是否配置隧道地址與怎樣配置靜態路由有關。配置隧道地址後路由可指定下一跳地址的方式去寫。未配置隧道地址時需選用出接口的方式去寫路由。
(8) 配置靜態路由
需要將感興趣流的路由指向tunnel口。
圖1-37 設備 A靜態路由配置
出接口配置方式:
下一跳配置方式:
圖1-38 設備 B靜態路由配置
出接口配置方式:
下一跳配置方式:
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > IPsec第三方對接> IPsec SA”,查看IPsec SA。
圖1-39 設備 A的IPsec SA
圖1-40 設備 B的IPsec SA
由於連鎖酒店分支機構眾多,IPSEC VPN業務的部署和維護非常複雜,給管理員的工作帶來非常大的挑戰:“VPN業務多變,管理複雜”,現有標準IPSEC VPN的配置比較繁瑣,組網變化帶來的配置改動比較大。因此急需提供一種易用性更好,配置更簡潔的解決方案。IPSEC 快速配置就是在這樣的場景下應運而生的。
按照以往VPN的配置,一個分支上線會有很多相關配置,步驟較多,且在隧道顯示上也不太友好,主要表現在如下幾個方麵:
· 每個分支上線都需要創建IKE、IPsec和對應的tunnel口,然後在tunnel口配置感興趣流,和對應的tunnel路由。中心端有多少個IP,分支端就需要創建多少個IKE、IPsec和tunnel口及tunnel路由。當走IPsec隧道的網段發生變化時,我們需要同步修改對應的感興趣流和tunnel路由。當分支特別多的時候,對於管理員來說是一項非常巨大且繁瑣的工作,很容易出現配置錯誤,不好排查。
· 在web頁麵查看各隧道的流量和狀態時,每個隧道隻能顯示本端IP和對端IP,卻不知道這條隧道對應的哪個分支,需要根據分支和IP的對應關係,才能知道屬於哪個分支。且一個分支的多個感興趣流會顯示多個SA,無法聚合,顯得比較雜亂,不便查看。
· 如果一個分支的私有網段和另一個分支的私有網段有衝突,如,都使用了192.168.10.1/24網段,則後上線的分支需要做NAT,轉換為另外一個不衝突的網段才能正常工作。這個NAT配置需要綁定對應的隧道口,以明確隻有過隧道的流量才需要轉換。如果隧道口有變動,則相應的NAT配置也需要做對應變動。
鑒於以上配置上的繁瑣和顯示上的不友好,我們要做出改進,優化連鎖酒店的IPSEC VPN管理工作,盡可能地使VPN配置自動化,簡單化,甚至是傻瓜化,做到“快速上線、動態適應、部署簡單”。
針對以上目標,IPSEC快速配置具體的改進措施如下:
· 隱藏IKE/IPsec/tunnel口的創建過程
· 管理員隻需配置本端分支名稱,對端IP和預共享密鑰。後台根據這些配置,自動生成對應的IKE、IPsec和tunnel口,其它相關參數均使用內置的默認參數。
· 感興趣流不再配置,tunnel路由不再配置
· 管理員隻需要配置本端的保護網段,即需要走IPsec的源網段。對端也是如此。當兩端建立起IKE後,交互各自的保護網段,形成感興趣流,同時以對端的保護網段為目的網段,生成對應的tunnel路由。
· 支持多線路備份
· 高優先級線路斷開後,無縫切換到低優先級的線路;當高優先級線路恢複後,再切換回高優先級線路。
· NAT規則不再配置
· 管理員隻需要配置哪些源網段轉換為哪些目的網段。後台會自動生成對應的NAT規則。
· 隧道狀態展示優化
· 頁麵顯示隧道狀態時,以分支名稱為key,一條記錄聚合顯示該分支相關隧道的信息,便於查看,支持搜索。
IPsec配置的推薦步驟如下表所示。
表2-1 IPsec快速配置的推薦步驟
|
配置任務 |
說明 |
詳細配置 |
|
節點基本信息配置 |
必選 |
|
|
保護網段配置 |
必選 |
|
|
高級選項配置(選路策略、網段映射) |
可選 |
在導航欄中選擇“網絡配置>VPN>IPsec-VPN>IPsec快速配置”,進入IPsec快速配置的顯示頁麵,如圖2-1、圖2-2、圖2-3所示。
圖2-1 IPsec快速配置分支節點顯示頁麵
圖2-2 IPsec快速配置新建對端網關顯示頁麵
圖2-3 IPsec快速配置中心節點顯示頁
頁麵的詳細說明如表2-2。
表2-2 IPsec快速配置顯示頁麵的詳細說明
|
項目 |
說明 |
|
名稱 |
節點的IPSEC名稱,多隧道時聚合隧道的名稱顯示成該名稱 |
|
節點位置 |
包含分支節點、中心節點兩種類型 |
|
新建對端網關 |
分支對端中心節點IP配置,多隧道時配置多個IP,IP最多配置4個,每配置一個IP就會自動生成一套IKE、IPSEC、tunnel的配置 |
|
本端IP配置 |
中心節點與分支對接的接口IP配置,多個接口配置多個IP,最多配置4個IP,每配置一個IP就會自動生成一套IKE、IPSEC、tunnel的配置 |
|
預共享密鑰 |
用於分支和中心之間驗證對端身份(長度為6-39個字符) |
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > IPsec快速配置”,進入IPsec保護網段的顯示頁麵,單擊<保護接口>按鈕,在接口列表中選擇<接口 >並設置掩碼,或者單擊<保護子網>按鈕,設置保護網段和掩碼,如圖2-4所示。
圖2-4 IPsec保護子網配置頁麵
點擊左側<保護接口>按鈕可以保護接口配置選項,如圖2-5所示。
圖2-5 IPsec協商策略詳細配置頁麵
頁麵的詳細說明如表2-3所示。
表2-3 IPsec保護網段配置的詳細說明
|
項目 |
說明 |
|
保護接口 |
自動根據保護接口IP及掩碼生成保護網段,該網段會自動傳遞給對端網關,對端網關根據此保護網段自動生成相應tunnel口的路由。 |
|
保護子網 |
該網段會自動傳遞給對端網關,對端網關根據此保護網段自動生成相應tunnel口的路由。 |
輸入完畢後,點擊<添加到列表>,點擊<提交>按鈕,應用配置。
在IPsec保護網段列表中,點擊保護網段右側的<刪除>按鈕,可以刪除對應的保護網段,或者選中多個條目 ,點擊左上角的<刪除>按鈕,批量刪除多個保護網段的配置。
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN > IPsec快速配置”,節點類型選擇<分支節點>,單擊對端網關<新建>按鈕,進入分支節點“高級選項配置”。如圖2-6所示。
圖2-6 IPsec分支節點高級選項選路策略配置頁麵
輸入線路名稱、線路IP,點擊<添加到列表>,點擊<提交>應用配置。
點擊右側<網段映射>,進入高級選項-網段映射配置頁麵,如圖2-7所示。
圖2-7 IPsec分支節點高級選項網段映射配置頁麵
輸入源網段、映射後網段,點擊<添加到列表>,點擊<提交>應用配置。
頁麵的詳細說明如表2-4所示。
表2-4 IPsec高級選項的詳細說明
|
項目 |
說明 |
|
選路策略 |
選路策略中的線路順序決定了不同隧道的路由優先級,規格支持配置4條線路。 |
|
線路名稱 |
設置線路名稱。 |
|
線路IP |
設置線路對應的IP,線路IP必須在對端網關IP中。 |
|
網段映射 |
一對一NAT映射,源網段和映射後網段掩碼必須一致,按照IP的順序進行一對一映射,最多支持32個網段映射。 |
|
源網段 |
映射前源網段。 |
|
映射後網段 |
映射後目的網段,在對端網關看到的保護網段是映射後網段。 |
說明:中心節點高線選項配置隻有網段映射,沒有選路策略,選路策略隻需在分支節點配置,分支節點配置的選路策略會自動同步給中心節點。
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN快速配置 > IPsec 監控”,進入IPsec監控顯示頁麵。頁麵中顯示了已經新建的IPsec聚合隧道。如圖2-8所示。
圖2-8 IPsec監控顯示頁麵
頁麵的詳細說明如表2-5。
表2-5 IPsec監控顯示頁麵的詳細說明
|
項目 |
說明 |
|
名稱 |
對端IPSEC名稱。 |
|
狀態 |
IPSEC SA狀態。 |
|
流量(入/出) |
聚合隧道的雙向總流量。 |
|
對端內網地址 |
對端保護網段。 |
|
隧道數 |
分支與中心設備之間建立的隧道數量計數。 |
|
接入時間 |
隧道建立時間。 |
|
操作 |
點擊 |
點擊聚合隧道左側的
按鈕,可以展開顯示各隧道的詳細情況,如圖2-9所示。
頁麵的詳細說明如表2-6。
表2-6 IPsec監控顯示頁麵的詳細說明
|
項目 |
說明 |
|
隧道名稱 |
隧道名稱,顯示為分支端配置的選路策略中的線路名稱。 |
|
狀態 |
隧道IPSEC SA狀態。 |
|
流量(入/出) |
隧道的雙向流量統計。 |
|
優先級 |
隧道優先級,多隧道備份時流量優先走優先級數值小的隧道,其它隧道做備份。 |
|
隧道數 |
分支與中心設備之間建立的隧道數量計數。 |
|
本端公網地址 |
隧道本端的公網地址。 |
|
對端公網地址 |
隧道對端的公網地址。 |
|
接入時間 |
隧道建立時間。 |
如下圖2-10所示,在設備 A 和設備 B之間建立兩個安全隧道,對Host A 代表的子網(2.2.2.0/24)與Host B 代表的子網(13.13.13.0/24)之間的數據流進行安全保護,同時實現隧道備份。
圖2-10 IPsec舉例組網圖
(1) 中心設備IPSEC快速配置
對設備 A的IPSEC配置如圖2-11所示。
圖2-11 設備 A的IPSEC快速配置
(2) 分支設備IPSEC快速配置
對設備 B的IPSEC快速配置如圖2-12、圖2-13所示。
圖2-12 設備 B的ISPEC快速配置
圖2-13 設備 B選路策略配置
在導航欄中選擇“網絡配置 > VPN > IPsec-VPN >IPsec快速配置> IPsec 監控”,查看隧道建立狀態。
圖2-14 設備 A的IPsec監控
圖2-15 設備 B的IPsec 監控
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
