IPSec故障处理.docx
- 文档编号:618781
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:31
- 大小:285.12KB
IPSec故障处理.docx
《IPSec故障处理.docx》由会员分享,可在线阅读,更多相关《IPSec故障处理.docx(31页珍藏版)》请在冰豆网上搜索。
IPSec故障处理
14IPSEC故障处理14-1
14.1简介14-2
14.1.1IKE简介14-2
14.1.2IPSec的操作模式简介14-2
14.1.3IPSec协议简介14-2
14.1.4安全联盟简介14-2
14.1.5IPSec和IKE的关系14-3
14.2采用IKE方式建立安全联盟的故障处理过程14-3
14.2.1典型组网环境14-3
14.2.2配置注意事项14-4
14.2.3故障诊断流程14-9
14.2.4故障处理步骤14-11
14.3采用Manual方式建立安全联盟的故障处理过程14-13
14.4采用安全策略模板配置IPSec的故障处理过程14-14
14.5IPSec的NAT穿越故障处理过程14-15
14.6FAQ14-16
14.7故障诊断工具14-17
14.7.1display命令14-17
14.7.2debugging命令14-24
插图目录
图14-1IPSec组网图14-3
图14-2采用IKE方式建立安全联盟故障诊断流程图14-10
图14-3采用Manual方式建立安全联盟故障诊断流程图14-13
图14-4采用安全策略模板配置IPSec的故障处理流程图14-14
图14-5IPSec的NAT穿越故障处理流程图14-15
14IPSEC故障处理
关于本章
本章描述内容如下表所示。
标题
内容
14.1简介
介绍了进行IPSec故障处理时用户所需的知识要点。
14.2采用IKE方式建立安全联盟的故障处理过程
针对典型的IPSec组网环境,介绍采用IKE方式建立安全联盟时要注意的事项,故障处理的流程和详细的故障处理步骤。
14.3采用Manual方式建立安全联盟的故障处理过程
介绍采用Manual方式建立安全联盟的故障处理流程。
14.4采用安全策略模板配置IPSec的故障处理过程
介绍采用安全策略模板配置IPSec的故障处理流程。
14.5IPSec的NAT穿越故障处理过程
介绍IPSec的NAT穿越故障处理流程。
14.6FAQ
列出用户常问的问题,并给出相应的解答。
14.7故障诊断工具
介绍了进行故障处理所需的故障诊断工具,包括使用display命令和debugging命令。
14.1简介
IPSec 特定的通信双方在IP层通过加密与数据源验证等方式,保证报文在网络中传输时的私有性、完整性、真实性和防重放。 14.1.1IKE简介 IKE IKE具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。 14.1.2IPSec的操作模式简介 IPSec的操作模式分为以下两种: ●传输模式 传输模式只对IP分组应用IPSec协议,对IP报头不进行任何修改,它适用于主机对主机的IPSec虚拟专用网VPN中。 ●隧道模式 隧道模式中,IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组。 这样原有的IP分组就被有效地隐藏起来了。 隧道主要应用于网关之间以及主机到网关的远程接入的情况。 14.1.3IPSec协议简介 IPSec对报文的保护通过AH 这两种协议可以单独使用,也可以混合使用,并且都支持隧道模式和传输模式。 协议的功能简单介绍如下: ●AH协议主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,但不能对需要保护的报文进行加密; ●ESP协议除提供AH协议的所有功能外,还可提供对IP报文的加密功能。 与AH协议不同的是,其数据完整性校验不包括IP报文头。 ESP协议允许对报文同时进行加密和验证,或只加密,或只验证。 有关以上两种协议更多细节请参考RFC2402以及RFC2406。 14.1.4安全联盟简介 IPSec在两个端点之间提供安全通信,这两个端点被称为IPSec对等体。 安全联盟 它是IPSec的基础。 14.1.5IPSec和IKE的关系 为简化IPSec的使用和管理,可以通过IKE进行自动协商交换密钥、建立和维护安全联盟。 IPSec可以使用IKE建立的安全联盟对IP报文进行加密或验证。 IKE协议用于自动协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。 IKE为IPSec提供的具体功能如下: ●简化配置 ●定时更新 ●PFS ●防重放 ●使用CA 14.2采用IKE方式建立安全联盟的故障处理过程 本章介绍如下的内容。 ●典型组网环境 ●配置注意事项 ●故障诊断流程 ●故障处理步骤 14.2.1典型组网环境 IPSec的典型组网如图14-1所示。 图14-1IPSec组网图 在此组网中,采用了如下的方案: ●IPSec采用IKE协商方式建立安全联盟; ●在EudemonA和EudemonB之间建立一个安全隧道; ●对PCA代表的子网<3.3.3.x)与PCB代表的子网<1.1.1.x)之间的数据流进行安全保护。 ●指定相关的安全协议、加密算法、验证算法。 14.2.2配置注意事项 配置项 子项 注意事项 ACL ACL 可以不用配置 IPSec安全提议 IPSec安全提议的名字 IPSec安全提议的名字,长度为1~15个字符。 封装模式 传输模式或隧道模式。 安全协议 AH、ESP或AH-ESP。 认证算法 MD5或SHA-1。 加密算法 DES、3DES、AES(128,192,256>、SCB2。 IKE本地ID IKE本地ID 在采用野蛮模式进行IKE协商时,如果使用name类型,需要配置本地ID;采用主模式时不需要。 IKE安全提议 IKE安全提议优先级 是1到100之间的任意一个整数,表示IKE提议的优先级,并区别于其它的IKE提议。 数值越小,优先级越高。 验证方法 指定IKE安全提议的验证方法为pre-sharedkey验证,使用pre-sharedkey的验证方法时必须配置验证字。 缺省情况下,使用pre-sharedkey的验证方法。 验证算法 MD5或SHA-1。 缺省使用SHA1验证算法。 加密算法 DES或3DES。 缺省使用DES加密算法。 Diffie-Hellman组标识 在group1和group2即768比特和1024比特中选择一种Diffie-Hellman组标识。 缺省为group1,即768-bit的Diffie-Hellman组。 IKE对端 IKE对端的名称 长度为1~15个字符。 IKE协商模式 主模式或野蛮模式。 缺省情况下,采用主模式进行IKE协商。 IKE安全提议的编号 采用主模式时使用已配置的所有IKE安全提议,采用野蛮模式时使用缺省的IKE安全提议。 本地ID类型 指定IKE的ID类型,可以使用IP地址作为ID,也可以使用name作为ID。 主模式只能使用IP地址作为ID。 缺省情况下,IKE采用的ID类型为IP地址形式。 身份验证字 目前仅提供Pre-sharedkey验证方法。 如果选择了Pre-sharedkey验证方法,需要为每个对端配置预共享密钥。 建立安全连接的两个对端的预共享密钥必须一致。 对端IP地址或地址段 配置IKEPeer的地址或地址段。 这里建议配置ike对端的对端地址为地址范围。 也可以不指定对端地址。 对端名称 长度为1~15个字符。 Name作为ID认证类型时,需要指定对端名称。 使能NAT穿越 缺省情况下,禁止NAT穿越功能。 IPSec安全策略模板 安全策略模板的名字 IPSec安全策略模板的名字,长度为1~15个字符。 具有相同名字的安全策略一起组成一个安全策略组。 由名字和顺序号一起确定一条唯一的安全策略,在一个安全策略组中最大可以设置100条安全策略。 IPSec安全策略模板的参数与IPSecISAKMP协商方式的安全策略的参数是一样的。 但需要注意的是,proposal参数和ike-peer参数是必须配置的,而其它参数是可选的。 在IKE协商时,如果使用IPSec策略模板进行策略匹配,则配置的参数必须匹配,而没有配置的参数采用发起方的。 安全策略模板的顺序号 安全策略模板的顺序号,取值范围1~10000。 在一个安全策略模板中,顺序号越小的安全策略,优先级越高。 协商方式 采用Isakmp协商方式。 引用的访问控制列表 可以不用指定。 引用的IPSec安全提议 在安全隧道的两端设置的安全策略所引用的安全提议必须设置成采用同样的安全协议、算法和报文封装形式。 该项必须配置。 IKE对端 安全策略中引用IKE对等体。 该项必须配置。 IPSec安全策略引用安全策略模板 安全策略的名字 IPSec安全策略的名字,长度为1~15个字符,不区分大小写且不支持空格。 具有相同名字的安全策略一起组成一个安全策略组。 由名字和顺序号一起确定一条唯一的安全策略,在一个安全策略组中最大可以设置100条安全策略。 安全策略的顺序号 IPSec安全策略的顺序号,取值范围1~10000,值越小优先级越高。 协商方式 Isakmp方式建立安全联盟。 引用安全策略模板 引用前面配置的IPSec安全策略模板。 引用安全策略模板创建的安全策略不能被用来发起安全联盟的协商,但可以响应协商。 应用IPSec安全策略组 接口类型和编号 IPSec安全策略除了可以应用到以太网口等实际物理接口上之外,还能够应用到VirtualTemplate等虚拟接口上,这样就可以根据实际组网要求,在L2TP等隧道上应用IPSec。 安全策略组名称 在一个接口上应用一个安全策略组,实际上是同时应用了安全策略组中所有的安全策略,从而能够对不同的数据流使用不同的安全联盟即采用不同的安全策略进行保护。 一个接口只能应用一个安全策略组。 如果要在接口上应用另一个安全策略组,必须先从接口上取消应用的安全策略组,再在接口上应用另外一个安全策略组。 一个安全策略组可应用到多个接口上。 当从一个接口发送报文时,将按照顺序号从小到大的顺序查找安全策略组中每一条安全策略。 如果报文匹配了一条安全策略引用的访问控制列表,则使用这条安全策略对报文进行处理;如果报文没有匹配安全策略引用的访问控制列表,则继续查找下一条安全策略;如果报文对所有安全策略引用的访问控制列表都不匹配,则报文直接被发送 ●传输模式适用于两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯; ●隧道模式主要应用于网关之间以及主机到网关的远程接入的情况。 下面以防火墙的配置为例说明配置IPSec时需要注意的事项。 配置各接口的IP地址并把对应接口加入相应的安全区域。 #配置EudemonA。 [EudemonA]interface
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IPSec 故障 处理