網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第五章 網(wǎng)絡(luò)設(shè)備全配置5.2

第五章

網(wǎng)絡(luò)設(shè)備安全配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標本章主要介紹主流網(wǎng)絡(luò)安全設(shè)備的基本配置方法、路由器點到點的VPN、防火墻的主要配置方法。【知識目標】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墻【技能目標】?掌握和AAA的認證、授權(quán)的配置。?了解華為系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相關(guān)配置。

?掌握USG防火墻安全策略及相關(guān)配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墻5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.2.1項目背景

某跨國公司總部設(shè)在中國香港，在北京和上海分別設(shè)有兩個分公司，分公司需要訪問總部的各種服務(wù)器資源，如OA系統(tǒng)等。各分公司各自分別連接Internet,由于在Internet上傳輸信息數(shù)據(jù)存在安全隱患，公司希望通過部署IPSecVPN技術(shù)實現(xiàn)公司間的數(shù)據(jù)安全傳輸。其中中國香港總部與北京分公司

之間使用數(shù)字證書的方式來配置IPSecVPN,而北京分公司與上海公司之間采用使用預(yù)共享密鑰的方式來配置IPSecVPN上海分公司不與中國香港總部直

接連接，而是通過北京分公司來與總部建立連接。1.需求分析

首先需要在北京分公司與上海分公司之間建立一條預(yù)共享密鑰IPSecVPN隧道實現(xiàn)端到端的連接，然后在中國香港總部的路由器建立一臺路由器CA認證服務(wù)器，北京分公司則作為CAM戶端，與總部建立IPScVPN隧道

實現(xiàn)端到端的連接。從而實現(xiàn)分公司之間以及分公司與總部之間的信息安全傳輸。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.環(huán)境準備設(shè)備類型設(shè)備型號設(shè)備數(shù)量備注路由器AR設(shè)備4臺含電源線、配置線計算機雙核、4GB、80GB以上3臺已安裝WindowsXPSP3雙絞線超5類3條3條交叉線廣域網(wǎng)模塊1T或2T6個與路由器配套使用廣域網(wǎng)線纜CAB-V35MT和CAB—V35FC3對實現(xiàn)路由器廣域網(wǎng)接口的對接軟件環(huán)境列表軟件名稱數(shù)量備注WindowsXPProSP2(中文版)1系統(tǒng)平臺VMwareWorkstation7.1.41虛擬機MicrosoftOffice2007(中文版)1文檔編輯WindowsServer2003R2(中文版)1服務(wù)器平臺硬件環(huán)境列表5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準備

企業(yè)對網(wǎng)絡(luò)安全性的需求日益提升，而傳統(tǒng)的TCP/IP協(xié)議缺乏有效的安全認證和保密機制。IPSec（InternetProtocolSecurity）作為一種開放標準的安全框架結(jié)構(gòu)，可以用來保證IP數(shù)據(jù)報文在網(wǎng)絡(luò)上傳輸?shù)臋C密性、完整性和防重放.IPSec協(xié)議標準集提供了TCP/IP網(wǎng)絡(luò)中IP層的安全性，可以為IP分組提

供許多防護措施：數(shù)據(jù)完整性(DataIntegrity)、數(shù)據(jù)可用性(DataAvailability)、數(shù)據(jù)機密性(DataConfidentiality)、授權(quán)(Authorization).鑒別(Authentication)以及避免重放攻擊(ReplayAvoidance)等。IPSecVPN的主要目的是利用加密技術(shù)在公共網(wǎng)絡(luò)上構(gòu)建通信雙方之間

安全的信息傳輸通道，以提供類似專用網(wǎng)絡(luò)的功能。IPSec通信雙方通過密鑰

管理協(xié)議進行相互身份認證，并協(xié)商信息加密或完整性保護所需算法及其他有

關(guān)參數(shù)，以此構(gòu)建安全的。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程IPSec傳輸模式(如圖所示)：IPSec協(xié)議有兩種封裝模式：傳輸模式和隧道模式。傳輸模式中，在IP報文頭和高層協(xié)議之間插入AH或ESP頭。傳輸模式中的AH或ESP主要對上層協(xié)議數(shù)據(jù)提供保護。傳輸模式中的AH：在IP頭部之后插入AH頭，對整個IP數(shù)據(jù)包進行完整性校驗。傳輸模式中的ESP：在IP頭部之后插入ESP頭，在數(shù)據(jù)字段后插入尾部以及認證字段。對高層數(shù)據(jù)和ESP尾部進行加密，對IP數(shù)據(jù)包中的ESP報文頭，高層數(shù)據(jù)和ESP尾部進行完整性校驗。傳輸模式中的AH+ESP：在IP頭部之后插入AH和ESP頭，在數(shù)據(jù)字段后插入尾部以及認證字段。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程IPSec隧道模式(如圖所示)：

隧道模式中，AH或ESP頭封裝在原始IP報文頭之前，并另外生成一個新的IP頭封裝到AH或ESP之前。隧道模式可以完全地對原始IP數(shù)據(jù)報進行認證和加密，而且，可以使用IPSec對等體的IP地址來隱藏客戶機的IP地址。

隧道模式中的AH：對整個原始IP報文提供完整性檢查和認證，認證功能優(yōu)于ESP。但AH不提供加密功能，所以通常和ESP聯(lián)合使用。

隧道模式中的ESP：對整個原始IP報文和ESP尾部進行加密，對ESP報文頭、原始IP報文和ESP尾部進行完整性校驗。

隧道模式中的AH+ESP：對整個原始IP報文和ESP尾部進行加密，AH、ESP分別會對不同部分進行完整性校驗。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.2.2項目設(shè)計

網(wǎng)絡(luò)公司技術(shù)支持工程師需要為客戶配置IPSecVPN。客戶公司分布在中國香港、北京和上海3個城市，為了實現(xiàn)公司內(nèi)部資源的安全訪問和信息傳輸,需要在北京分公司和上海分公司之間的路由器配置預(yù)共享密鑰IPSecVPN,實現(xiàn)兩分公司的鏈路安全連接。而中國香港總部路由器則設(shè)置為CA服務(wù)器，北

京分公司的路由器設(shè)置為CA客戶端，兩者之間使用基于CA數(shù)字證書的IPSecVPN建立連接，實現(xiàn)安全數(shù)據(jù)通信。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程1.IPSecVPN應(yīng)用場景(如圖所示)IPSec是IETF定義的一個協(xié)議組。通信雙方在IP層通過加密、完整性校驗、數(shù)據(jù)源認證等方式，保證了IP數(shù)據(jù)報文在網(wǎng)絡(luò)上傳輸?shù)臋C密性、完整性和防重放。機密性（Confidentiality）指對數(shù)據(jù)進行加密保護，用密文的形式傳送數(shù)據(jù)。完整性（Dataintegrity）指對接收的數(shù)據(jù)進行認證，以判定報文是否被篡改。防重放（Anti-replay）指防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊，即接收方會拒絕舊的或重復(fù)的數(shù)據(jù)包。企業(yè)遠程分支機構(gòu)可以通過使用IPSecVPN建立安全傳輸通道，接入到企業(yè)總部網(wǎng)絡(luò)。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IPSec架構(gòu)(如圖所示)IPSec不是一個單獨的協(xié)議，它通過AH和ESP這兩個安全協(xié)議來實現(xiàn)IP數(shù)據(jù)報文的安全傳送。IKE協(xié)議提供密鑰協(xié)商，建立和維護安全聯(lián)盟SA等服務(wù)。IPSecVPN體系結(jié)構(gòu)主要由AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）和IKE（InternetKeyExchange）協(xié)議套件組成。

AH協(xié)議：主要提供的功能有數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗和防報文重放功能。然而，AH并不加密所保護的數(shù)據(jù)報。

ESP協(xié)議：提供AH協(xié)議的所有功能外（但其數(shù)據(jù)完整性校驗不包括IP頭），還可提供對IP報文的加密功能。

IKE協(xié)議：用于自動協(xié)商AH和ESP所使用的密碼算法。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.安全聯(lián)盟SA

安全聯(lián)盟定義了IPSec對等體間將使用的數(shù)據(jù)封裝模式、認證和加密算法、密鑰等參數(shù)。安全聯(lián)盟是單向的，兩個對等體之間的雙向通信，至少需要兩個SA。

5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程SA（SecurityAssociation）安全聯(lián)盟定義了IPSec通信對等體間將使用的數(shù)據(jù)封裝模式、認證和加密算法、秘鑰等參數(shù)。SA是單向的，兩個對等體之間的雙向通信，至少需要兩個SA。如果兩個對等體希望同時使用AH和ESP安全協(xié)議來進行通信，則對等體針對每一種安全協(xié)議都需要協(xié)商一對SA。

SA由一個三元組來唯一標識，這個三元組包括安全參數(shù)索引SPI（SecurityParameterIndex）、目的IP地址、安全協(xié)議（AH或ESP）。建立SA的方式有以下兩種：手工方式：安全聯(lián)盟所需的全部信息都必須手工配置。手工方式建立安全聯(lián)盟比較復(fù)雜，但優(yōu)點是可以不依賴IKE而單獨實現(xiàn)IPSec功能。當(dāng)對等體設(shè)備數(shù)量較少時，或是在小型靜態(tài)環(huán)境中，手工配置SA是可行的。

IKE動態(tài)協(xié)商方式：只需要通信對等體間配置好IKE協(xié)商參數(shù)，由IKE自動協(xié)商來創(chuàng)建和維護SA。動態(tài)協(xié)商方式建立安全聯(lián)盟相對簡單些。對于中、大型的動態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用IKE協(xié)商建立SA。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.2.3項目實施1.IPSecVPN配置步驟（如圖所示）配置IPSecVPN的步驟如下：

（1）首先需要檢查報文發(fā)送方和接收方之間的網(wǎng)絡(luò)層可達性，確保雙方只有建立IPSecVPN隧道才能進行IPSec通信。

（2）第二步是定義數(shù)據(jù)流。因為部分流量無需滿足完整性和機密性要求，所以需要對流量進行過濾，選擇出需要進行IPSec處理的興趣流?？梢酝ㄟ^配置ACL來定義和區(qū)分不同的數(shù)據(jù)流。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（3）第三步是配置IPSec安全提議。IPSec提議定義了保護數(shù)據(jù)流所用的安全協(xié)議、認證算法、加密算法和封裝模式。安全協(xié)議包括AH和ESP，兩者可以單獨使用或一起使用。AH支持MD5和SHA-1認證算法；ESP支持兩種認證算法（MD5和SHA-1）和三種加密算法（DES、3DES和AES）。為了能夠正常傳輸數(shù)據(jù)流，安全隧道兩端的對等體必須使用相同的安全協(xié)議、認證算法、加密算法和封裝模式。如果要在兩個安全網(wǎng)關(guān)之間建立IPSec隧道，建議將IPSec封裝模式設(shè)置為隧道模式，以便隱藏通信使用的實際源IP地址和目的IP地址。

（4）第四步是配置IPSec安全策略。IPSec策略中會應(yīng)用IPSec提議中定義的安全協(xié)議、認證算法、加密算法和封裝模式。每一個IPSec安全策略都使用唯一的名稱和序號來標識。IPSec策略可分成兩類：手工建立SA的策略和IKE協(xié)商建立SA的策略。第五步是在一個接口上應(yīng)用IPSec安全策略。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.配置[RTA]iproute-static10.1.2.02420.1.1.2[RTA]aclnumber3001[RTA-acl-adv-3001]rule5permitipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255[RTA]ipsecproposaltran1[RTA-ipsec-proposal-tran1]espauthentication-algorithmsha1[RTA]interfaceGigabitEtherneto/o/1[RTA-GigabitEthernet0/0/1]ipsecpolicyP1[RTA-GigabitEtherneto/o/1]quit5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

本示例中的IPSecVPN連接是通過配置靜態(tài)路由建立的，下一跳指向RTB。需要配置兩個方向的靜態(tài)路由確保雙向通信可達。建立一條高級ACL，用于確定哪些感興趣流需要通過IPSecVPN隧道。高級ACL能夠依據(jù)特定參數(shù)過濾流量，繼而對流量執(zhí)行丟棄、通過或保護操作。執(zhí)行ipsecproposal命令，可以創(chuàng)建IPSec提議并進入IPSec提議視圖。配置IPSec策略時，必須引用IPSec提議來指定IPSec隧道兩端使用的安全協(xié)議、加密算法、認證算法和封裝模式。缺省情況下，使用ipsecproposal命令創(chuàng)建的IPSec提議采用ESP協(xié)議、MD5認證算法和隧道封裝模式。在IPSec提議視圖下執(zhí)行下列命令可以修改這些參數(shù)。

執(zhí)行transform[ah|ah-esp|esp]命令，可以重新配置隧道采用的安全協(xié)議。執(zhí)行encapsulation-mode{transport|tunnel}命令，可以配置報文的封裝模式。執(zhí)行espauthentication-algorithm[md5|sha1|sha2-256|sha2-384|sha2-512]命令，可以配置ESP協(xié)議使用的認證算法。執(zhí)行espencryption-algorithm[des|3des|aes-128|aes-192|aes-256]命令，可以配置ESP加密算法。

執(zhí)行ahauthentication-algorithm[md5|sha1|sha2-256|sha2-384|sha2-512]命令，可以配置AH協(xié)議使用的認證算法。ipsecpolicypolicy-name命令用來在接口上應(yīng)用指定的安全策略組。手工方式配置的安全策略只能應(yīng)用到一個接口。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.驗證[RTA]displayipsecproposalNumberofproposals:1IPSecproposalname:tran1Encapsulationmode:TunnelTransform :esp-newESPprotocol :AuthenticationSHA1-HMAC-96 EncryptionDES

執(zhí)行displayipsecproposal[name<proposal-name>]命令，可以查看IPSec提議中配置的參數(shù)。Numberofproposals字段顯示的是已創(chuàng)建的IPSec提議的個數(shù)。IPSecproposalname字段顯示的是已創(chuàng)建IPSec提議的名稱。Encapsulationmode字段顯示的指定提議當(dāng)前使用的封裝模式，其值可以為傳輸模式或隧道模式。Transform字段顯示的是IPSec所采用的安全協(xié)議，其值可以是AH、ESP或AH-ESP。ESPprotocol字段顯示的是安全協(xié)議所使用的認證和加密算法。5.2路由器端到端的VPN網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程[RTA]displayipsecpolicy=========================================IPSecpolicygroup:"p1"Usinginterface:GigabitEthernet0/0/1=======