ipsec穿越nat典型配置指导.docx
- 文档编号:4734620
- 上传时间:2022-12-08
- 格式:DOCX
- 页数:23
- 大小:102.19KB
ipsec穿越nat典型配置指导.docx
《ipsec穿越nat典型配置指导.docx》由会员分享,可在线阅读,更多相关《ipsec穿越nat典型配置指导.docx(23页珍藏版)》请在冰豆网上搜索。
ipsec穿越nat典型配置指导
IPSEC穿越NAT
典型配置指导
Huawei-3ComTechnologiesCo.,Ltd.
华为3Com技术有限公司
IPSEC穿越NAT特性典型配置指导目录
目录
1特性介绍......................................................................................................................................2
2特性的优点...................................................................................................................................2
3使用指南......................................................................................................................................2
3.1使用场合..............................................................................................................................2
3.2配置步骤..............................................................................................................................2
3.2.1配置IKE安全提议.......................................................................................................3
3.2.2配置IKE对等体..........................................................................................................4
3.2.3配置IPSEC访问控制列表...........................................................................................4
3.2.4配置IPSEC安全提议..................................................................................................5
3.2.5配置IPSEC安全策略..................................................................................................5
3.2.6应用IPSEC安全策略..................................................................................................6
3.3注意事项..............................................................................................................................6
3.4举例:
隧道模式下的IPSEC穿越NAT....................................................................................6
3.4.1组网需求...................................................................................................................6
3.4.2组网图.......................................................................................................................7
3.4.3硬件连接图................................................................................................................7
3.4.4配置..........................................................................................................................7
3.4.5验证结果.................................................................................................................11
3.4.6故障排除.................................................................................................................11
4关键命令....................................................................................................................................12
4.1nattraversal.......................................................................................................................12
5相关资料....................................................................................................................................13
5.1相关协议和标准..................................................................................................................13
5.2其他相关资料.....................................................................................................................13
IPSEC穿越NAT特性典型配置指导正文
关键词:
IPSEC,NAT
摘要:
本文简单描述IPSEC及其穿越NAT特性的特点,详细描述了路由器上配置IPSEC穿越
缩略语
英文全名
中文解释
IPSEC
IPSecurityProtocol
IP网络安全协议
IKE
InternetKeyExchange
Internet密钥交换协议
NAT
NetworkAddressTranslation
网络地址转换协议
NAT的基本方法和详细步骤,给出了一种IPSEC穿越NAT方法的配置案例。
缩略语:
第1页
IPSEC穿越NAT特性典型配置指导正文
1特性介绍
IPSec(IPSecurity)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
IPSec通过AH(AuthenticationHeader,认证头)和ESP(EncapsulatingSecurityPayload,封装安全载荷)这两个安全协议来实现上述目标。
并且还可以通过IKE(InternetKeyExchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。
如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。
为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。
2特性的优点
IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极大拓展了IPSECVPN的应用范围。
3使用指南
3.1使用场合
用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用
IPSEC穿越NAT特性。
要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持此特性。
路由器VRP版本要求是VRP3.3Release0006及以上。
3.2配置步骤
IPSec协议有两种操作模式:
传输模式和隧道模式。
在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。
在隧道模式下,AH或ESP插在原始IP头之前,另外生成一个新头放到AH或ESP之前。
从安全性来讲,隧道模式优于传输模式。
它可
第2页
IPSEC穿越NAT特性典型配置指导目录
以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的
IP地址。
从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。
因此,到底使用哪种模式需要在安全性和性能间进行权衡。
在传输模式和隧道模式下的IPSEC,均支持穿越NAT特性。
该特性删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之后的IPSec数据传输中使用UDP封装(即将IPSec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPSec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPSec报文将不作修改),从而保证了IPSec报文的完整性(IPSec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。
配置IPSEC穿越NAT,需要配置以下内容:
●IKE安全提议和IKE对等体,为IPSec提供自动协商交换密钥和建立安全联盟的服务,此外,IKE对等体中设置的NAT穿越功能开关可以保证协商及数据报文成功穿过NAT网关
●配置IPSEC访问控制列表,来判断报文是否进行安全保护
●配置IPSEC安全提议,为安全联盟提供各种安全参数
●配置IPSEC安全策略,来决定何种报文采用何种安全提议
●在接口上应用IPSEC安全策略
3.2.1配置IKE安全提议
IKE提议定义了一套属性数据来描述IKE协商怎样进行安全通信。
配置IKE提议包括创建IKE提议、选择加密算法、选择验证方法、选择验证算法、选择Diffie-Hellman组标识和设置安全联盟生存周期。
用户可以按照优先级创建多条IKE提议,但是协商双方必须至少有一条匹配的IKE提议才能协商成功。
协商时将从优先级最高的提议开始匹配一条双方都相同的提议,匹配的原则是:
协商双方具有相同的加密算法、验证算法、验证方法和DH组标识。
执行ikeproposal命令会进入IKE提议视图。
在IKE提议视图下可以配置加密算法、验证算
法、组标识、生存周期和验证方法。
系统提供一条缺省的IKE提议,具有最低的优先级。
配置IKE提议,路由器上需要做如下配置:
第3页
IPSEC穿越NAT特性典型配置指导目录
1)创建IKE安全提议。
2)选择加密算法。
3)选择验证方法。
4)选择验证算法。
5)选择Diffie-Hellman组标识。
6)配置ISAKMPSA生存周期。
&说明:
在日常使用时通常省略IKE安全提议的设置,直接使用缺省提议完成协商。
3.2.2配置IKE对等体
IKE对等体是成功实现第一阶段协商的关键配置。
在对等体中,需要设置协商模式,其中野蛮模式支持NAT穿越,而主模式不支持;需要配置IKE协商所使用的身份认证字,以保证双方协商的合法性;无论使用地址协商(id-typeip)还是NAME协商(id-typename),IPSECSA的发起方必须配置对端安全网关设备的IP地址,当发起协商时,发起方会发送自己的IP地址给对端来标识自己的身份。
若使用NAME协商方式,则必须指定对端的NAME,且需要保证对方指定的IKENAME与之相同,否则将代之以路由器名,这很可能发生校验错误而引起IKE协商失败;根据穿越NAT的需要,可选择配置NAT穿越功能。
此外,还可以配置本端安全网关ID的类型、指定对端安全网关设备的ID、配置子网类型等。
配置IKE对等体,路由器上需要做如下配置:
1)创建IPSEC对等体。
2)配置IKE协商模式(IPSEC穿越NAT,必须配置为野蛮模式)。
3)配置身份验证字(必须)。
4)配置本端安全网关ID的类型。
5)指定对端安全网关设备的ID。
6)配置安全网关的IP地址。
7)配置NAT穿越功能(必须)。
8)配置IKE对等体的子网类型。
&说明:
以上配置都在IKEPEER视图中完成。
3.2.3配置IPSEC访问控制列表
用于IPSec的访问控制列表的作用不同于在防火墙中所介绍的访问控制列表。
一般的访问控制列表是用来决定一个接口上哪些数据可通过,哪些要被拒绝;而IPSec是根据访问控制列表中的规则来确定哪些报文需要安全保护,哪些报文不需要安全保护,故用于IPSec的访问控制列表可称为加密访问控制列表。
加密访问控制列表匹配(permit)的报文将被保护,加密访问控制列表拒绝
第4页
IPSEC穿越NAT特性典型配置指导目录
(deny)的报文将不被保护。
加密访问控制列表既可用于加密入口数据流,也可用于加密出口数
据流。
配置IPSEC访问控制列表,路由器上需要做如下配置:
1)创建IPSEC访问控制列表。
2)配置相应的匹配规则(rule)。
&说明:
IPSec对访问控制列表(ACL)中permit的数据流进行保护,因此建议用户精确地配置ACL,只对确实需要IPSec保护的数据流配置permit,避免盲目地使用关键字any。
建议用户将本端和对端的ACL配置成互为镜像
3.2.4配置IPSEC安全提议
安全提议保存IPSec需要使用的特定安全性协议以及加密/验证算法,为IPSec协商安全联盟提
供各种安全参数。
为了能够成功的协商IPSec的安全联盟,两端必须使用相同的安全提议。
配置IPSEC安全提议,路由器上需要做如下配置:
1)定义安全提议。
2)指定加密卡提议使用的加密卡(仅用于加密卡)。
3)选择安全协议。
4)选择安全算法。
5)设置安全协议对IP报文的封装模式。
&说明:
必须首先通过transform命令选择了相应的安全协议后,该安全协议所需的安全算法才可配置。
例如,如果使用transform命令选择了esp,那么只有ESP所需的安全算法才可配置,
而AH所需的安全算法则不能配置。
3.2.5配置IPSEC安全策略
安全策略规定了对什么样的数据流采用什么样的安全提议。
安全策略分为手工安全策略和IKE协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;后者则由IKE自动协商生成这些参数。
IPSEC穿越NAT必须使用IKE自动协商方式配置安全策略。
配置IKE自动协商方式的IPSEC安全策略,路由器上需要做如下配置:
第5页
IPSEC穿越NAT特性典型配置指导目录
1)用IKE创建安全策略。
2)在安全策略中引用安全提议。
3)在安全策略中引用访问控制列表。
4)在安全策略中引用IKE对等体。
5)配置安全联盟生存周期(可选)。
6)配置协商时使用的PFS特性。
&说明:
必须首先通过transform命令选择了相应的安全协议后,该安全协议所需的安全算法才可配置。
例如,如果使用transform命令选择了esp,那么只有ESP所需的安全算法才可配置,
而AH所需的安全算法则不能配置。
3.2.6应用IPSEC安全策略
为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密路由器配合进行报文的加密处理。
当安全策略组被从接口上删除后,此接口便不再具有IPSec的安全保护功能。
应用IPSEC安全策略,路由器上需要做如下配置:
●进入相应的接口视图
●使能IPSEC安全策略
3.3注意事项
当配置IPSEC穿越NAT时,必须注意以下事项:
1)IKE对等体中必须指定协商模式为野蛮模式。
2)IPSEC私网侧必须指定IPSEC公网侧路由器的IP地址。
3)IPSEC私网侧必须将默认路由指定到NAT网关。
4)对隧道模式封装的IPSEC,公网侧必须指定内网路由;对传输模式封装的IPSEC,则不
必指定回到内网的路由。
3.4举例:
隧道模式下的IPSEC穿越NAT
3.4.1组网需求
配置QuidwayAR2831路由器3台,分别配置为IPSEC私网侧、NAT网关和IPSEC公网侧。
本例使用一个通用组网,要求IPSEC公网侧与NAT网关路由可通,IPSEC私网侧将默认路由
指定到NAT网关。
第6页
IPSEC穿越NAT特性典型配置指导目录
3.4.2组网图
图1IPSEC穿越NAT连接图
3.4.3硬件连接图
3.4.4配置
1.使用的版本
[Quidway]vrbd
RoutingPlatformSoftware
VersionAR46-808040V300R003B02D014(COMWAREV300R002B13D004),RELEASESOFTWARECompiledJul18200516:
06:
30byHouming
[Quidway]displayversion
CopyrightNotice:
Allrightsreserved(Jul182005).
Withouttheowner'spriorwrittenconsent,nodecompilingnorreverse-engineeringshallbeallowed.
Huawei-3ComVersatileRoutingPlatformSoftware
VRP(R)software,Version3.40,ReleaseRT-0012
Copyright(c)2003-2005HangzhouHuawei-3ComTech.Co.,Ltd.Allrightsreserved
.
Copyright(c)2000-2003HuaweiTech.Co.,Ltd.Allrightsreserved.QuidwayAR46-80uptimeis0week,0day,0hour,1minute
Rpu'sversioninformation:
RouterAR46-80with1PowerPC750Processor
256MbytesSDRAM
32MbytesFLASH
512KbytesNVRAM
PcbVersion:
RTM1RPUA.2
RPELogicVersion:
RPE3.4
第7页
IPSEC穿越NAT特性典型配置指导目录
SBGLogicVersion:
012
SmallBootROMVersion:
3.06
BigBootROMVersion:
5.12
2.配置IPSEC私网侧路由器AR2831_1
当前视图
配置命令
简单说明
#
适用版本vrp3.40R0009
[Quidway]
ikelocal-nameRT1
指定本端安全网关的名字
[Quidway]
ikepeertest1
创建IKE对等体test1
[Quidway-ike-peer-test1]
exchange-modeaggressive
将交换模式设置为野蛮模式
[Quidway-ike-peer-test1]
pre-shared-keyhuawei
设置身份验证字为huawei
[Quidway-ike-peer-test1]
id-typename
配置IKE协商过程中使用的ID类型为
name
[Quidway-ike-peer-test1]
remote-nameRT3
指定对端安全网关设备ID
[Quidway-ike-peer-test1]
remote-address100.100.100.17
指定对端安全网关设备的IP地址
[Quidway-ike-peer-test1]
nattraversal
配置NAT穿越功能
[Quidway-ike-peer-test1]
Quit
退出IKE对等体视图
[Quidway]
ipsecproposalaaa1
创建IPSEC安全提议aaa1
[Quidway-i
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ipsec 穿越 nat 典型 配置 指导