过程概述
配置 IPSec VPN 的步骤如下:
第一步、设备网络可达
解释:IPSec VPN 利用公网来构建私网,所以首先两端的公网必须是互通的;
需要检查报文发送方和接收方间的网络层可达性,确保双方只有建立 IPSec VPN 隧道才能进行 IPSec 通信;
第二步、识别感兴趣流
解释:定义数据流,即选择需要进行 IPSec VPN 加密(传输)的流量;
因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选择出需要进行 IPSec 处理的兴趣流;
通过配置 ACL 来定义和区分不同的数据流;
第三步、创建安全提议
配置 IPSec 安全提议。IPSec 提议定义用于保护数据流所用的安全协议、认证算法、加密算法、封装模式;
对等体的安全提议参数必须一致。为了能够正常传输数据流,安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式;
安全协议包括 AH 和 ESP,两者可以单独使用或一起使用;
AH 支持 MD5 和 SHA-1 认证算法,不支持加密;ESP 支持两种认证算法(MD5 和 SHA-1)和三种加密算法(DES、3DES 和 AES);
如果要在两个安全网关之间建立 IPSec 隧道,建议将 IPSec 封装模式设置为隧道模式,以便隐藏通信使用的实际源 IP 地址和目的 IP 地址;
第四步、创建安全策略
1)安全策略将要保护的数据流与安全提议进行绑定;
第四步是配置 IPSec 安全策略。IPSec 策略中会应用 IPSec 提议中定义的安全协议、认证算法、加密算法和封装模式。每一个 IPSec 安全策略都使用唯一的名称和序号来标识。IPSec 策略可分成两类:手工建立 SA 的策略和 IKE 协商建立 SA 的策略;
第五步、应用安全策略
在接口上应用 IPSec 安全策略;
隧道模式,手工配置,Manual
/VPN,_Virtual_Private_Network/1995_Internet_Protocol_Security_(IPsec)/Z.PROBLEM-SOLVING-HOW-TO/Huawei_VRP_(IPSec_VPN)/pasted_image001.png)
下面为配置 IPSec VPN 的流程(采用完全手工配置方法):
第 1 步、网络可达
[RTA] ip route-static 0.0.0.0 0.0.0.0 10.1.34.2 ...
第 2 步、选择兴趣流
[RTA] acl number 3001 [RTA-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
第 3-4 步、配置 IPSec 信息
// 第三步、创建安全提议(Proposal)
// 包括:封装模式、传输模式(AH/ESP)、加密算法
[RTA] ipsec proposal tran1
[RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RTA] display ipsec proposal
Number of proposals: 1
IPSec proposal name: tran1
Encapsulation mode: Tunnel
Transform : esp-new
ESP protocol : Authentication SHA1-HMAC-96
Encryption DES
// 第四步、配置安全策略(Policy)
// 使用 兴趣流、安全提议、SA 信息
[RTA] ipsec policy P1 10 manual
[RTA-ipsec-policy-manual-P1-10] security acl 3001
[RTA-ipsec-policy-manual-P1-10] proposal tran1
[RTA-ipsec-policy-manual-P1-10] tunnel remote 20.1.1.2
[RTA-ipsec-policy-manual-P1-10] tunnel local 20.1.1.1
[RTA-ipsec-policy-manual-P1-10] sa spi outbound esp 54321
[RTA-ipsec-policy-manual-P1-10] sa spi inbound esp 12345
[RTA-ipsec-policy-manual-P1-10] sa string-key outbound esp simple huaweiOb
[RTA-ipsec-policy-manual-P1-10] sa string-key inbound esp simple huaweiIb
第 5 步、应用安全策略
[RTA] interface GigabitEthernet 0/0/1 [RTA-GigabitEthernet0/0/1] ipsec policy P1
注意事项
1)这里仅演示 RTA 的配置;
2)对于 RTB 配置,是类似的,但需要“反向”修改 inbound 和 outbound 等参数
隧道模式,自动配置,IKE
/VPN,_Virtual_Private_Network/1995_Internet_Protocol_Security_(IPsec)/Z.PROBLEM-SOLVING-HOW-TO/Huawei_VRP_(IPSec_VPN)/pasted_image002.png)
第 1 步、网络可达
[RTA] ip route-static 10.1.2.0 24 20.1.1.2 ...
第 2 步、选择兴趣流
[RTA] acl number 3001 [RTA-acl-adv-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.255
第 3-4 步、配置 IPSec 信息
// 配置 IKE Proposal 信息 [RTA] ike proposal 10 [RTA] display ike proposal number 10 ------------------------------------------- IKE Proposal: 10 Authentication method : pre-shared Authentication algorithm : SHA2-256 Encryption algorithm : AES-CBC-256 DH group : MODP-1024 SA duration : 86400 PRF : PRF-HMAC-SHA2-256 ------------------------------------------- // 配置 IKE Peer 信息 [RTA] ike peer TO_RTB v1 [RTA-ike-peer-TO_RTB] remote-address 10.1.43.5 [RTA-ike-peer-TO_RTB] ike-proposal 10 [RTA-ike-peer-TO_RTB] pre-shared-key cipher Huawei123 # 用于 IKE 认证 // 配置 IPSec Proposal 信息 [RTA] ipsec proposal tran1 [RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1 [RTA] display ipsec proposal // 配置 IPSec Policy 信息 [RTA] ipsec policy P1 10 isakmp [RTA-ipsec-policy-manual-P1-10] security acl 3001 [RTA-ipsec-policy-manual-P1-10] proposal tran1 [RTA-ipsec-policy-manual-P1-10] ike-peer TO_RTB # 无需再进行 sa/tunnel 配置
补充说明:
1)在 IKE Peer 中,exchange-mode 使用野蛮模式,但前提是要向取消对该 Peer 的引用;
第 5 步、应用安全策略
[RTA] interface GigabitEthernet 0/0/1 [RTA-GigabitEthernet0/0/1] ipsec policy P1 [RTA-GigabitEthernet0/0/1] quit
调试及查看
[RTA] display ipsec sa [RTA] display ike sa // 重置 SA 以查看协商过程 [RTA] reset ike sa all [RTA] reset ipsec sa
注意事项
1)这里仅演示 RTA 的配置;
常见问题处理
设备接口上同时配置 IPSec 与 NAT 时导致 IPSec 不生效如何解决
设备接口上同时配置 IPSec 与 NAT 时导致 IPSec 不生效如何解决 – AR 路由器 维护宝典 – 华为
如果应用安全策略的接口同时配置 NAT,由于设备先执行 NAT,会导致 IPSec 不生效,有以下两种解决方法:
1)NAT 引用的 ACL 规则 deny DST-IP-ADDR 是 IPSec 引用的 ACL 规则中的目的 IP 地址,避免把 IPSec 保护的数据流进行 NAT 转换;
2)IPSec 引用的 ACL 规则需要匹配经过 NAT 转换后的 IP 地址;
在 NAT 中配置 deny 规则后,建议先执行命令 reset session all 或 reset nat session all,让流表重新建立,避免错误 NAT 表项残留;
华为,防火墙,会话表,未显示匹配策略的出向流量
在华为防火墙中,查 Session 表,可能不会显示 匹配 IPSec 安全策略的出向流量,这是正常现象;