SANGFOR-IPSEC-V4.3-2012年度培訓(xùn)06-標準IPSEC-VPN-互聯(lián)配置-20120602

SANGFOR標準IPSECVPN互聯(lián)配置培訓(xùn)內(nèi)容培訓(xùn)目標標準IPSECVPN功能介紹1.了解標準IPSECVPN的應(yīng)用背景標準IPSECVPN建立過程

了解標準IPSECVPN建立連接的過程SANGFOR設(shè)備標準IPSECVPN互聯(lián)配置案例1.掌握和第三方設(shè)備進行標準IPSECVPN互聯(lián)時，SANGFOR設(shè)備的配置標準IPSECVPN功能介紹標準IPSECVPN建立過程SANGFOR標準IPSECVPN典型應(yīng)用案例及配置SANGFORIPSEC練練手標準IPSECVPN功能介紹IPSec是一種開放標準的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(hash)等手段，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性(confidentiality)

、完整性(dataintegrity)和真實性(originauthentication)。標準IPSECVPN功能介紹通過加密保證數(shù)據(jù)的私密性私密性：防止信息泄漏給未經(jīng)授權(quán)的個人通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性Internet4ehIDx67NMop9eRU78IOPotVBn45TR土豆批發(fā)價兩塊錢一斤實在是看不懂加密4ehIDx67NMop9eRU78IOPotVBn45TR解密土豆批發(fā)價兩塊錢一斤標準IPSECVPN功能介紹

對數(shù)據(jù)進行hash運算來保證完整性完整性：數(shù)據(jù)沒有被非法篡改，通過對數(shù)據(jù)進行hash運算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性。土豆兩塊錢一斤Hash4ehIDx67NMop9土豆兩塊錢一斤4ehIDx67NMop9土豆三塊錢一斤4ehIDx67NMop9我偷改數(shù)據(jù)Hash2fwex67N32rfee3兩者不一致代表數(shù)據(jù)已被篡改標準IPSECVPN功能介紹

對數(shù)據(jù)和密鑰一起進行hash運算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。通過把數(shù)據(jù)和密鑰一起進行hash運算，可以有效抵御上述攻擊。土豆兩塊錢一斤Hashfefe23fgrNMop7土豆兩塊錢一斤fefe23fgrNMop7土豆三塊錢一斤2fwex67N32rfee3我同時改數(shù)據(jù)和摘要兩者還是不一致Hashfergergr23frewfgh標準IPSECVPN功能介紹通過身份認證保證數(shù)據(jù)的真實性真實性：數(shù)據(jù)確實是由特定的對端發(fā)出。通過身份認證可以保證數(shù)據(jù)的真實性。常用的身份認證方式包括：Pre-sharedkey，預(yù)共享密鑰RSASignature，數(shù)字簽名標準IPSECVPN建立過程標準IPSECVPN建立的過程需要保護的流量流經(jīng)路由器，觸發(fā)路由器啟動相關(guān)的協(xié)商過程。啟動IKE(Internetkeyexchange)階段1，對通信雙方進行身份認證，并在兩端之間建立一條平安的通道。啟動IKE階段2，在上述平安通道上協(xié)商IPSec參數(shù)。按協(xié)商好的IPSec參數(shù)對數(shù)據(jù)流進行加密、hash等保護。HostAHostBRouterARouterB標準IPSECVPN建立過程HostAHostBRouterARouterBIKE階段1協(xié)商建立IKE平安通道所使用的參數(shù)交換預(yù)共享密鑰雙方身份認證建立IKE平安通道協(xié)商建立IKE平安通道所使用的參數(shù)交換預(yù)共享密鑰雙方身份認證建立IKE平安通道標準IPSECVPN建立過程IKE階段1協(xié)商建立IKE平安通道所使用的參數(shù)，包括：加密算法Hash算法DH算法身份認證方法存活時間標準IPSECVPN建立過程HostAHostBRouterARouterBIKE階段2協(xié)商IPSec平安參數(shù)建立IPSecSA協(xié)商IPSec平安參數(shù)建立IPSecSA標準IPSECVPN建立過程IKE階段2雙方協(xié)商IPSec平安參數(shù)，稱為變換集transformset，包括：加密算法Hash算法平安協(xié)議封裝模式存活時間DH算法Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetime標準IPSECVPN建立過程IPSecSA(平安關(guān)聯(lián)，SecurityAssociation)：到達lifetime以后，原有的IPSecSA就會被刪除如果正在傳輸數(shù)據(jù)，系統(tǒng)會在原SA超時之前自動協(xié)商建立新的SA，從而保證數(shù)據(jù)的傳輸不會因此而中斷。SANGFOR標準IPSEC典型應(yīng)用案例及配置SANGFOR標準IPSEC典型應(yīng)用案例及配置INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24220.10.10.10/30110.120.10.10/30192.168.20.0/24SANGFOR標準IPSEC典型應(yīng)用案例及配置環(huán)境：一客戶購置一臺M5100-Q設(shè)備部署在深圳，公網(wǎng)地址為：，在北京有一臺思科的路由器，公網(wǎng)地址為：。需求：客戶希望通過SANGFOR設(shè)備的IPSECVPN和思科路由器的VPN互聯(lián)，實現(xiàn)、與網(wǎng)段互訪。SANGFOR標準IPSEC典型應(yīng)用案例及配置配置思路：1.確定配置標準IPSEC的前提條件A:確保SANGFOR設(shè)備序列號里有分支授權(quán)，B:兩端設(shè)備能正常上網(wǎng)，并且至少保證有一端有固定公網(wǎng)IP2.配置第一階段，確定傳輸模式，對通信雙方進行身份認證，并在兩端建立一條平安通道?！膊捎弥髂Ｊ交蛘咭靶U模式〕3.配置平安選項，包括協(xié)議，認證算法，加密算法4.配置第二階段，在上述平安通道上協(xié)商IPSEC參數(shù)，設(shè)置出入站策略。注：當兩端有一端是拔號的情況下只能采用野蠻模式SANGFOR標準IPSEC典型應(yīng)用案例及配置Cisco路由器配置命令如下：〔Cisco某些版本可能配置命令不一樣，但過程一樣〕Conft//進入特權(quán)模式配置cryptoisakmpkeysangforaddress//創(chuàng)立預(yù)共享密鑰以及對端地址cryptoisakmppolicy100//創(chuàng)立isakmp策略〔第一階段策略〕hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置認證方式〔預(yù)共享密鑰〕exit//退出isakmp策略配置access-list100permitipaccess-list100permitip//創(chuàng)立ACL，類似我們的出入站策略，允許本端網(wǎng)段訪問對端網(wǎng)段主模式互聯(lián)〔雙方都有固定公網(wǎng)IP〕SANGFOR標準IPSEC典型應(yīng)用案例及配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//創(chuàng)立變換集及策略modetunnel//配置傳輸模式〔隧道模式〕SANGFOR只支持隧道模式exit//退出變換集cryptomapsangfor100ipsec-isakmp//創(chuàng)立IPsec策略〔第二階段〕setpeer220.10.10.10//配置對端地址settransform-setsangforvpn//綁定變換集到映射圖setpfsgroup2//配置密鑰完美向前保護〔請注意跟第一階段DH群一樣〕matchaddress100//配置映射圖匹配的ACL策略exit//退出配置映射圖interfacee0/0//進入Cisco外網(wǎng)口cryptomapsangfor//將映射圖綁定到接口exit//退出接口配置SANGFOR標準IPSEC典型應(yīng)用案例及配置主模式互聯(lián)〔雙方都有固定IP〕SANGFOR設(shè)備配置：1.設(shè)置第一階段，雙方身份認證，設(shè)置參數(shù)和CISCO保持一致。選擇為主模式配置對端的固定公網(wǎng)IP設(shè)置IKE參數(shù)，與對端設(shè)備保持一致SANGFOR標準IPSEC典型應(yīng)用案例及配置2.按協(xié)商好的IPSec參數(shù)對數(shù)據(jù)流進行加密、hash等保護，保持和CISCO配置一致。選擇協(xié)議，認證算法和加密算法，與對端設(shè)備一致。SANGFOR標準IPSEC典型應(yīng)用案例及配置3.第二階段，在上述平安通道上協(xié)商IPSec參數(shù)，設(shè)備出入站策略，出站策略為，，入站策略為。配置入站策略，源地址為對端的內(nèi)網(wǎng)地址出站策略中，源地址為本地內(nèi)網(wǎng)IP以上步驟完成，即完成了本例所有配置，實現(xiàn)SANGFOR與CISCO建立IPSECVPN連接勾選啟用策略和啟用密鑰完美向前保密SANGFOR標準IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備撥號，CISCO為固定IP〕，拓樸如下：INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24ADSL110.120.10.10/30192.168.20.0/24SANGFOR標準IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備撥號，CISCO為固定IP〕Cisco路由器的配置命令如下：Conft//進入特權(quán)模式配置hostnamecisco//創(chuàng)立路由器名字，該名字就是它的野蠻模式身份IDcryptoisakmpkeysangforhostnamesangfor//創(chuàng)立預(yù)共享密鑰，以及對端野蠻模式身份IDcryptoisakmpidentityhostname//用hostname再次校驗身份cryptoisakmppolicy100//創(chuàng)立isakmp策略〔第一階段策略〕hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置認證方式〔預(yù)共享密鑰〕exit//退出isakmp策略配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//創(chuàng)立變換集及策略modetunnel//配置傳輸模式〔隧道模式〕SANGFOR只支持隧道模式exit//退出變換集配置SANGFOR標準IPSEC典型應(yīng)用案例及配置access-list100permitipaccess-list100permitip//創(chuàng)立ACL，類似我們的出入站策略，允許本端網(wǎng)段訪問對端網(wǎng)段cryptodynamic-mapsangfor100//創(chuàng)立動態(tài)映射圖settransform-setsangforvpn//綁定變換集到映射圖setpfsgroup2//配置完美密鑰向前保護〔跟第一階段一致〕matchaddress100//匹配ACL策略exit//退出映射圖配置cryptomapsangfor100ipsec-isakmpdynamicsangfor//創(chuàng)立IPsec策略〔第二階段〕inte0/0//進入Cisco外網(wǎng)口cryptomapsangfor//將映射圖綁定到接口exit//退出接口配置SANGFOR標準IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備撥號，CISCO為固定IP〕SANGFOR設(shè)備配置：1.設(shè)置第一階段，雙方身份認證，設(shè)置參數(shù)和CISCO保持一致。選擇野蠻模式遠程IP為對端的公網(wǎng)IPIKE參數(shù)與對端保持一致野蠻模式時，需要填寫我方身份ID與對端的ID，注意對端ID后要加.SANGFOR標準IPSEC典型應(yīng)用案例及配置2.按協(xié)商好的IPSec參數(shù)對數(shù)據(jù)流進行加密、hash等保護，保持和CISCO配置一致。在平安選項中選擇協(xié)議，認證算法和加密碼算法，與對端設(shè)備一致SANGFOR標準IPSEC典型應(yīng)用案例及配置3.第二階段，在上述平安通道上協(xié)商IPSec參數(shù)，設(shè)置出入站策略，出站策略為，，入站策略為。設(shè)置出入站策略SANGFOR標準IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備固定IP，CISCO為撥號〕，拓樸如下：INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24220.10.10.10/30ADSL192.168.20.0/24SANGFOR標準IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備固定IP，CISCO為撥號〕conft//進入特權(quán)模式配置cryptoisakmppolicy100//創(chuàng)立isakmp策略〔第一階段〕hashmd5//hash算法encry3des//加密算法group2//DH群authpre-share//身份認證方式exit//退出isakmp策略配置cryptoisakmppeeraddress201.1.1.2//創(chuàng)立isakmp對端地址setaggressive-modepasswordsangfor//創(chuàng)立預(yù)共享密鑰setaggressive-modeclient-endpointfqdncisco//創(chuàng)立本端野蠻模式IDexit//退出cryptoipsectransform-setsangforesp-3desesp-md5-hmac//創(chuàng)立變換集及策略modetunnel//配置成隧道模式exit//退出SANGFOR標準IPSEC典型應(yīng)用案例及配置access-list100permitipaccess-list100permitip//創(chuàng)立ACL，類似我們的出入站策略，允許本端網(wǎng)段訪問對端網(wǎng)段cryptomapsangfor100ipsec-isakmp//創(chuàng)立映射圖setpeer//配置對端地址setpfsgroup2//配置完美密鑰向前保護〔跟第一階段一致〕settransform-setsangfor//綁定變換集到映射圖setsecurity-assoc