配置l2tp是什么

H3CMSR50-06路由器操作手册(VPN)目录i目录第1章VPN概述1-11.
1VPN简介1-11.
1.
1VPN的特点1-11.
1.
2VPN的优势1-11.
1.
3VPN网络结构.
1-21.
2VPN的基本技术.
1-21.
2.
1VPN基本组网应用1-21.
2.
2VPN的原理1-31.
3VPN的分类.
1-5第2章L2TP协议配置.
2-12.
1L2TP协议简介.
2-12.
1.
1VPDN概述2-12.
1.
2L2TP协议介绍2-12.
2LAC配置.
2-72.
2.
1启用L2TP.
2-72.
2.
2创建L2TP组.
2-82.
2.
3设置发起L2TP连接请求及LNS地址.
2-82.
2.
4设置本端名称.
2-92.
2.
5启用隧道验证及设置密码.
2-92.
2.
6配置将AVP数据隐含.
2-102.
2.
7设置通道Hello报文发送时间间隔.
2-102.
2.
8设置用户名、密码及配置用户验证2-102.
2.
9强制断开L2TP连接2-122.
2.
10开启或关闭流控功能.
2-122.
2.
11配置L2TP会话超时时间.
2-122.
2.
12配置L2TPTunnel连接保持功能.
2-132.
2.
13配置LAC作为客户端.
2-142.
3LNS配置.
2-152.
3.
1启用L2TP.
2-162.
3.
2启用/禁止L2TP多域功能.
2-162.
3.
3创建L2TP组.
2-162.
3.
4创建虚拟模板接口.
2-172.
3.
5设置接收呼叫的虚拟模板接口、通道对端名称和域名2-172.
3.
6设置本端名称.
2-182.
3.
7启用隧道验证及设置密码.
2-182.
3.
8配置将AVP数据隐含.
2-19H3CMSR50-06路由器操作手册(VPN)目录ii2.
3.
9设置通道Hello报文发送时间间隔.
2-192.
3.
10强制本端CHAP验证.
2-202.
3.
11强制LCP重新协商.
2-212.
3.
12设置本端地址及分配的地址池2-212.
3.
13设置用户名、密码及配置用户验证2-222.
3.
14强制断开L2TP连接.
2-222.
3.
15开启或关闭流控功能.
2-222.
3.
16配置L2TP会话超时时间.
2-232.
4L2TP显示和调试2-232.
5L2TP典型配置举例.
2-242.
5.
1NAS-InitializedVPN2-242.
5.
2Client-InitializedVPN2-262.
5.
3L2TP多域组网应用2-272.
5.
4LAC作为客户端典型应用.
2-312.
5.
5复杂的组网情况2-332.
6L2TP故障诊断与排错.
2-33第3章GRE协议配置.
3-13.
1GRE协议简介.
3-13.
2GRE配置.
3-43.
2.
1创建虚拟Tunnel接口.
3-43.
2.
2设置Tunnel接口报文的封装模式.
3-43.
2.
3指定Tunnel的源端3-53.
2.
4指定Tunnel的目的端.
3-53.
2.
5设置Tunnel接口的网络地址.
3-63.
2.
6设置Tunnel两端进行端到端校验.
3-63.
2.
7设置Tunnel接口的识别关键字3-73.
2.
8配置通过Tunnel的路由3-73.
2.
9配置keepalive功能.
3-83.
3GRE显示和调试3-83.
4GRE典型配置举例.
3-83.
5GRE故障诊断与排除.
3-10第4章IPSec配置.
4-14.
1IPSec概述4-14.
1.
1IPSec协议简介4-14.
1.
2IPSec基本概念4-24.
1.
3IPSec在Comware上的实现4-54.
2IPSec配置4-64.
2.
1定义访问控制列表.
4-74.
2.
2定义安全提议.
4-8H3CMSR50-06路由器操作手册(VPN)目录iii4.
2.
3创建安全策略.
4-104.
2.
4配置安全策略模板.
4-184.
2.
5在接口上应用安全策略组.
4-194.
2.
6配置取消对nextpayload域的检查4-204.
3IPSec显示与调试4-204.
3.
1Comware主体软件IPSec的显示与调试4-204.
4IPSec典型配置案例.
4-224.
4.
1采用manual方式建立安全联盟的配置4-224.
4.
2采用isakmp方式建立安全联盟的配置.
4-254.
4.
3路由器与VRRP备份组虚地址之间建立SA配置举例4-274.
5IPSec排错4-32第5章IKE配置.
5-15.
1IKE协议简介.
5-15.
1.
1IKE协议概述5-15.
1.
2IKE配置前准备工作5-35.
2IKE的配置5-35.
2.
1IKE主要配置5-35.
2.
2配置本端路由器的名称5-45.
2.
3定义IKE安全提议.
5-45.
2.
4配置IKE对等体.
5-65.
2.
5配置Keepalive定时器5-95.
3IKE显示与调试5-115.
4IKE典型配置案例.
5-115.
4.
1IKE典型配置组网应用.
5-115.
4.
2IKE野蛮模式及NAT穿越的组网应用.
5-135.
5IKE故障诊断与排错.
5-15第6章动态VPN6-16.
1DVPN简介.
6-16.
1.
1概述6-16.
1.
2DVPN基本概念介绍.
6-16.
1.
3基本工作原理.
6-26.
1.
4基本网络结构.
6-46.
1.
5传统VPN与DVPN的比较6-46.
2DVPN的配置6-76.
2.
1基本配置.
6-86.
2.
2配置Tunnel接口属性.
6-116.
2.
3配置dvpn-class.
6-146.
2.
4配置dvpn-policy.
6-166.
2.
5动态VPN的显示和调试.
6-19H3CMSR50-06路由器操作手册(VPN)目录iv6.
3DVPN典型组网应用6-206.
3.
1DVPN穿越NAT典型配置组网6-206.
3.
2DVPN和GRE配合使用典型组网.
6-24H3CMSR50-06路由器操作手册(VPN)第1章VPN概述1-1第1章VPN概述1.
1VPN简介虚拟私有网(VirtualPrivateNetwork)简称VPN,是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络.
"虚拟"主要指这种网络是一种逻辑上的网络.
伴随企业和公司的不断扩张,员工出差日趋频繁,驻外机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场.
1.
1.
1VPN的特点zVPN有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络.
zVPN只为特定的企业或用户群体所专用.
从VPN用户角度看来,使用VPN与传统专网没有区别.
VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用;另一方面,VPN提供足够安全性,确保VPN内部信息不受外部的侵扰.
zVPN不是一种简单的高层业务.
该业务建立专网用户之间的网络互联,包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等,因此VPN技术就比各种普通的点对点的应用机制要复杂得多.
1.
1.
2VPN的优势z在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性.
这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义.
z利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率,有助于增加ISP(InternetServiceProvider,Internet服务提供商)的收益.
z只需要通过软件配置就可以增加、删除VPN用户,无需改动硬件设施.
这使得VPN的应用具有很大灵活性.
H3CMSR50-06路由器操作手册(VPN)第1章VPN概述1-2z支持驻外VPN用户在任何时间、任何地点的移动接入,这将满足不断增长的移动业务需求.
1.
1.
3VPN网络结构VPN是由若干Site组成的集合.
Site可以同时属于不同的VPN,但是必须遵循如下规则:两个Site只有同时属于一个VPN定义的Site集合,才具有IP连通性.
按照VPN的定义,一个VPN中的所有Site都属于一个企业,称为Intranet;如果VPN中的Site分属不同的企业,则称为Extranet.
图1-1VPN组成示意图上图显示了有5个Site分别构成了3个VPN:zVPN1---Site2、Site4zVPN2---Site1、Site3、Site4zVPN3---Site1、Site51.
2VPN的基本技术1.
2.
1VPN基本组网应用以某企业为例,通过VPN建立的企业内部网如图1-2所示:POPPOPPOPPCPSTN/ISDN合作伙伴远端用户内部服务器Internet公司总部图1-2VPN组网示意图H3CMSR50-06路由器操作手册(VPN)第1章VPN概述1-3从上图可以看出,企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本地ISP的POP(PointofPresence)服务器,从而访问公司内部资源.
而利用传统的WAN组建技术,相互之间要有专线相连才可以达到同样的目的.
虚拟网组成后,远端用户和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源,这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的.
企业开设VPN业务所需的设备很少,只需在资源共享处放置一台支持VPN的服务器(如一台WindowsNT服务器或支持VPN的路由器)就可以了.
资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后,直接呼叫企业的远程服务器(VPN服务器),呼叫接续过程由ISP的接入服务器(AccessServer)与VPN服务器共同完成.
1.
2.
2VPN的原理VPN用户PSTN/ISDNNASVPNServer图1-3VPN接入示意图如上图所示,VPN用户通过PSTN/ISDN网拨入ISP的NAS(NetworkAccessServer)服务器,NAS服务器通过用户名或接入号码识别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道(Tunnel),然后将用户数据包封装成IP报文后通过该隧道传送给VPN服务器,VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了.
反向的处理也一样.
隧道两侧可以对报文进行加密处理,使Internet上的其它用户无法读取,因而是安全可靠的.
对用户来说,隧道是其PSTN/ISDN链路的逻辑延伸,操作起来和实际物理链路相同.
隧道可以通过隧道协议来实现.
根据是在OSI模型的第二层还是第三层实现隧道,隧道协议分为第二层隧道协议和第三层隧道协议.
1.
第二层隧道协议第二层隧道协议是将整个PPP帧封装在内部隧道中.
现有的第二层隧道协议有:zPPTP(Point-to-PointTunnelingProtocol):点到点隧道协议,由微软、Ascend和3COM等公司支持,在WindowsNT4.
0以上版本中支持.
该协议支持点到点PPP协议在IP网络上的隧道封装,PPTP作为一个呼叫控制和管理协议,使用一种增强的GRE(GenericRoutingEncapsulation,通用路由封装)技术为传输的PPP报文提供流控和拥塞控制的封装服务.
H3CMSR50-06路由器操作手册(VPN)第1章VPN概述1-4zL2F(Layer2Forwarding)协议:二层转发协议,由北方电信等公司支持.
L2F协议支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接在物理位置上的分离.
zL2TP(Layer2TunnelingProtocol):二层隧道协议,由IETF起草,微软等公司参与,结合了上述两个协议的优点,为众多公司所接受,并且已经成为标准RFC.
L2TP既可用于实现拨号VPN业务,也可用于实现专线VPN业务.
2.
第三层隧道协议第三层隧道协议的起点与终点均在ISP内,PPP会话终止在NAS处,隧道内只携带第三层报文.
现有的第三层隧道协议主要有:zGRE(GenericRoutingEncapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装.
zIPSec(IPSecurity)协议:IPSec协议不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(AuthenticationHeader)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKeyExchange)等协议.
GRE和IPSec主要用于实现专线VPN业务.
3.
第二、三层隧道协议之间的异同第三层隧道与第二层隧道相比,优势在于它的安全性、可扩展性与可靠性.
从安全性的角度看,由于第二层隧道一般终止在用户侧设备上,对用户网的安全及防火墙技术提出十分严峻的挑战;而第三层隧道一般终止在ISP网关上,因此一般情况下不会对用户网的安全技术提出较高要求.
从扩展性的角度看,第二层隧道内封装了整个PPP帧,这可能产生传输效率问题.
其次,PPP会话贯穿整个隧道并终止在用户侧设备上,导致用户侧网关必须要保存大量PPP会话状态与信息,这将对系统负荷产生较大的影响,也会影响到系统的扩展性.
此外,由于PPP的LCP及NCP协商都对时间非常敏感,这样隧道的效率降低会造成PPP对话超时等等一系列问题.
相反,第三层隧道终止在ISP的网关内,PPP会话终止在NAS处,用户侧网关无需管理和维护每个PPP对话的状态,从而减轻了系统负荷.
一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP和IPSec协议配合使用)和更佳的性能.
H3CMSR50-06路由器操作手册(VPN)第1章VPN概述1-51.
3VPN的分类IPVPN是指利用IP设施(包括公用的Internet或专用的IP骨干网)实现WAN设备专线业务(如远程拨号、DDN等)的仿真.
IPVPN可有以下几种分类方法:1.
按运营模式划分(1)CPE-basedVPN(CustomerPremisesEquipmentbasedVPN)用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂的VPN维护(如通道维护、带宽管理等).
这种方式组网复杂度高、业务扩展能力弱.
(2)Network-basedVPN(NBIP-VPN)将VPN的维护等外包给ISP实施(也允许用户在一定程度上进行业务管理和控制),并且将其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入.
2.
按业务用途划分(1)IntranetVPN(企业内部虚拟专网)IntranetVPN通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网的扩展或替代形式.
(2)AccessVPN(远程访问虚拟专网)AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet和Extranet建立私有的网络连接.
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接.
(3)ExtranetVPN(扩展的企业内部虚拟专网)ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处,使不同企业间通过公网来构筑VPN.
3.
按组网模型划分(1)虚拟租用线(VLL)VLL(VirtualLeasedLine)是对传统租用线业务的仿真,通过使用IP网络对租用线进行模拟,提供非对称、低成本的"DDN"业务.
从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线.
(2)虚拟专用拨号网络(VPDN)H3CMSR50-06路由器操作手册(VPN)第1章VPN概述1-6VPDN(VirtualPrivateDialNetwork)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务.
(3)虚拟专用LAN网段(VPLS)业务VPLS(VirtualPrivateLANSegment)借助IP公共网络实现LAN之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸.
(4)虚拟专用路由网(VPRN)业务VPRN(VirtualPrivateRoutingNetwork)借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连,业务实现包括两类:一种是使用传统VPN协议(如IPSec、GRE等)实现的VPRN,另外一种是MPLS方式的VPRN.
4.
按实现层次划分(1)L3VPN:包括BGP/MPLSVPN、IPSecVPN、GREVPN、DVPN等.
(2)L2VPN:包括Martini方式的MPLSL2VPN、Kompalla方式的MPLSL2VPN、SVC方式MPLSL2VPN、VPLS以及静态CCC配置.
(3)VPDN:L2TP、PPTP等.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-1第2章L2TP协议配置2.
1L2TP协议简介2.
1.
1VPDN概述VPDN(VirtualPrivateDialNetwork,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务.
VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网.
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源.
VPDN有下列两种实现方式:(1)NAS通过隧道协议,与VPDN网关建立通道的方式.
这种方式将客户的PPP连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP.
其好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网.
这种方式需要NAS支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器.
(2)客户机与VPDN网关建立隧道的方式.
这种方式由客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接.
其好处在于:用户上网的方式和地点没有限制,不需ISP介入.
缺点是:用户需要安装专用的软件.
VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用最广泛的是L2TP.
2.
1.
2L2TP协议介绍1.
协议背景PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时,用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上.
L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上,并且采用包交换网络技术进行信息交互,从H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-2而扩展了PPP模型.
L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准.
2.
典型L2TP组网应用使用L2TP协议构建的VPDN应用的典型组网如图2-1所示:PCPSTN/ISDN远地分支机构NAS远地用户内部服务器Internet骨干网L2TP通道LACLNS图2-1应用L2TP构建的VPDN服务其中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备.
LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务.
LNS表示L2TP网络服务器(L2TPNetworkServer),是PPP端系统上用于处理L2TP协议服务器端部分的设备.
LAC位于LNS和远端系统(远地用户和远地分支机构)之间,用于在LNS和远端系统之间传递信息包,把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统.
LAC与远端系统之间可以采用本地连接或PPP链路,VPDN应用中通常为PPP链路.
LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点.
3.
L2TP协议的技术细节(1)L2TP协议结构包传输网络(UDP,……)L2TP数据通道(不可靠)L2TP数据消息PPP帧L2TP控制通道(可靠)L2TP控制消息图2-2L2TP协议结构H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-3上图所示L2TP协议结构描述了PPP帧和控制通道以及数据通道之间的关系.
PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输.
通常L2TP数据以UDP报文的形式发送.
L2TP注册了UDP1701端口,但是这个端口仅用于初始的隧道建立过程中.
L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文.
至此,双方的端口选定,并在隧道保持连通的时间段内不再改变.
(2)隧道和会话的概念在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程.
在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成.
会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流.
控制消息和PPP数据报文都在隧道上传输.
L2TP使用Hello报文来检测隧道的连通性.
LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该隧道连接将被断开.
(3)控制消息和数据消息的概念L2TP中存在两种消息:控制消息和数据消息.
控制消息用于隧道和会话连接的建立、维护以及传输控制;数据消息则用于封装PPP帧并在隧道上传输.
控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制.
控制消息和数据消息共享相同的报文头.
L2TP报文头中包含隧道标识符(TunnelID)和会话标识符(SessionID)信息,用来标识不同的隧道和会话.
隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标识符由对端分配.
4.
两种典型的L2TP隧道模式远端系统或LAC客户端(运行L2TP协议的主机)与LNS之间的隧道模式如图2-3所示:H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-4Internet远端系统PSTN/ISDN内部服务器LACFrameRelayorATMLACLNSLAC客户端内部服务器图2-3两种典型的L2TP隧道模式(1)由远程拨号用户发起.
远程系统通过PSTN/ISDN拨入LAC,由LAC通过Internet向LNS发起建立通道连接请求.
拨号用户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成.
(2)直接由LAC客户(指可在本地支持L2TP协议的用户)发起.
LAC客户拥有公网地址后,可直接向LNS发起通道连接请求,无需再经过一个单独的LAC设备.
此时,LAC客户的私网地址分配由LNS来完成.
5.
L2TP隧道会话的建立过程L2TP应用的典型组网如下图所示:PCPSTN/ISDNWANIPnetworkRADIUSServerIPnetworkRADIUSServerPCPCRouterALACRouterBLNS图2-4L2TP应用的典型组网L2TP隧道的呼叫建立流程可如下图所示:H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-5LACPCLACRADIUSServerLNSLNSRADIUSServer(1)CallSetup(2)PPPLCPSetup(3)PAPorCHAPauthentication(4)accessrequest(5)accessaccept(6)Tunnelestablishment(7)PAPorCHAPauthentication(challenge/response)(8)authenticationpasses(9)userCHAPresponse,pppnegotiationparameter(10)accessrequest(11)accessaccept(12)CHAPauthenticationtwice(challenge/response)(13)accessrequest(14)accessaccept(15)authenticationpasses图2-5L2TP隧道的呼叫建立流程L2TP隧道的呼叫建立流程过程为:(1)用户端PC机发起呼叫连接请求;(2)PC机和LAC端进行PPPLCP协商;(3)LAC对PC机提供的用户信息进行PAP或CHAP认证;(4)LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证;(5)RADIUS服务器认证该用户,如果认证通过则返回该用户对应的LNS地址等相关信息,并且LAC准备发起Tunnel连接请求;(6)LAC端向指定LNS发起Tunnel连接请求;(7)LAC端向指定LNS发送CHAPchallenge信息,LNS回送该challenge响应消息CHAPresponse,并发送LNS侧的CHAPchallenge,LAC返回该challenge的响应消息CHAPresponse;(8)隧道验证通过;(9)LAC端将用户CHAPresponse、responseidentifier和PPP协商参数传送给LNS;H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-6(10)LNS将接入请求信息发送给RADIUS服务器进行认证;(11)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;(12)若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAPchallenge,用户侧回应CHAPresponse;(13)LNS再次将接入请求信息发送给RADIUS服务器进行认证;(14)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;(15)验证通过,用户访问企业内部资源.
6.
L2TP协议的特点z灵活的身份验证机制以及高度的安全性L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性.
L2TP可与IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击.
L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性.
z多协议传输L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议.
z支持RADIUS服务器的验证LAC端将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证.
z支持内部地址分配LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC1918).
为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性.
z网络计费的灵活性可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计).
L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费.
z可靠性L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样,增加了VPN服务的可靠性和容错性.
下面从LAC、LNS两侧分别介绍L2TP的配置.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-72.
2LAC配置在L2TP的配置中,LAC端和LNS端的配置有所不同,下面先介绍一下LAC端的配置.
在各项配置任务中,必须先启动L2TP、创建L2TP组,然后再进行其它功能特性的配置.
PPP配置相关命令的详细介绍请参看相关章节.
LAC侧要进行的配置包括:z启用L2TP(必选)z创建L2TP组(必选)z设置发起L2TP连接请求及LNS地址(必选)z设置本端名称(可选)z启用通道验证及设置密码(可选)z配置将AVP数据隐含(可选)z设置通道Hello报文发送时间间隔(可选)z设置用户名、密码及配置用户验证(必选)z强制断开L2TP连接(可选)z开启或关闭流控功能(可选)z配置L2TP会话超时时间(可选)z配置L2TPTunnel连接保持功能(可选)z配置LAC作为客户端(可选)2.
2.
1启用L2TP只有启用L2TP后,路由器上的L2TP功能才能正常发挥作用;如果禁止L2TP,则即便配置了L2TP的参数,路由器也不会提供相关功能.
这些配置在LAC侧必须配置.
请在系统视图下进行下列配置.
表2-1启用/禁止L2TP操作命令启用L2TPl2tpenable禁止L2TPundol2tpenable缺省情况下,L2TP功能是被禁止的.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-82.
2.
2创建L2TP组为了进行L2TP的相关参数配置,还需要增加L2TP组,这不仅可以在路由器上灵活的配置L2TP各项功能,而且方便地实现了LAC和LNS之间一对一、一对多的组网应用.
L2TP组在LAC和LNS上独立编号,只需要保证LAC和LNS之间关联的L2TP组的相关配置(如接收的通道对端名称、发起L2TP连接请求及LNS地址等)保持对应关系即可.
这些配置在LAC侧必须配置.
请在系统视图下进行下列配置.
表2-2创建/删除L2TP组操作命令创建L2TP组l2tp-groupgroup-number删除L2TP组undol2tp-groupgroup-number在创建L2TP组后,就可以在L2TP组视图下进行和该L2TP组相关的其它配置了,如本端名称、发起L2TP连接请求及LNS地址等.
缺省情况下,未创建任何L2TP组.
2.
2.
3设置发起L2TP连接请求及LNS地址路由器需要满足一定的条件才会向其它设备(如路由器或LNS服务器)发出建立L2TP连接的请求.
通过配置对接入用户信息的判别条件,并指定相应的LNS端的IP地址,路由器可以鉴定用户是否为VPN用户,并决定是否向LNS发起连接.
最多可以设置五个LNS,即允许存在备用LNS.
正常运行时,路由器(LAC)按照LNS配置的先后顺序,依次向对端(LNS)进行L2TP连接请求,直到某个LNS接受连接请求,该LNS就成为L2TP隧道的对端.
发起L2TP连接请求的触发条件共支持两种:完整的用户名(fullusername)和带特定域名的用户(domain).
请在L2TP组视图下进行下列配置.
表2-3设置发起L2TP连接请求及LNS地址操作命令配置鉴别用户是否是VPN用户的方式,并设置对应的LNS的IP地址.
startl2tp{ipip-addr[ipip-addr][ipip-addr].
.
.
}{domaindomain-name|fullusernameuser-name}取消连接请求配置undostart上述参数无缺省值,可根据实际情况进行配置,但必须配置一种触发条件,方可发出L2TP连接的请求.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-9当发起隧道连接请求时,系统先根据完整的用户名查看是否存在根据此用户名指定的L2TP组;如果没有找到,再根据域名进行查找.
2.
2.
4设置本端名称用户可在LAC侧配置本端通道名称.
LAC侧通道名称要与LNS侧配置的接收通道对端名称保持一致.
这些配置在LAC侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-4设置本端名称操作命令设置本端名称tunnelnamename恢复本端名称为默认值undotunnelname缺省情况下,本端名称为路由器的主机名.
2.
2.
5启用隧道验证及设置密码用户可根据实际需要,决定是否在创建隧道连接之前启用隧道验证.
隧道验证请求可由LAC或LNS任何一侧发起.
只要有一方启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致并且不为空的情况下,隧道才能建立;否则本端将自动将隧道连接断开.
若隧道两端都配置了禁止隧道验证,隧道验证的密码一致与否将不起作用.
这些配置在LAC侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-5设置通道验证及密码操作命令启用隧道验证tunnelauthentication禁止隧道验证undotunnelauthentication设置隧道验证的密码tunnelpassword{simple|cipher}password恢复隧道验证的密码为缺省值undotunnelpassword缺省情况下,启用隧道验证,隧道验证的密码为空.
为了保证通道安全,建议用户最好不要禁用隧道验证的功能.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-102.
2.
6配置将AVP数据隐含L2TP协议使用AVP(AttributeValuePair,属性值对)来传递和协商L2TP的一些参数属性等.
在缺省情况下,AVP是采用明文形式传输的.
为了保证安全,用户可以通过下面的配置,将这些AVP隐藏起来传输.
隐含AVP功能必须是两端都使用隧道验证的情况下才起作用.
这些配置在LAC侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-6配置将AVP数据隐含操作命令配置将AVP数据隐含的传输方式tunnelavp-hidden恢复AVP的缺省传输方式undotunnelavp-hidden缺省情况下,AVP是采用明文形式传输的.
2.
2.
7设置通道Hello报文发送时间间隔为了检测LAC和LNS之间通道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应.
当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送超过3次都没有收到对端的响应信息则认为L2TP隧道已经断开,需要在LAC和LNS之间重新建立隧道连接.
这项配置在LAC侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-7设置通道Hello报文发送时间间隔操作命令设置通道Hello报文发送时间间隔tunneltimerhellohello-interval恢复通道Hello报文发送时间间隔undotunneltimerhello缺省情况下,通道Hello报文的发送时间间隔为60秒.
如果LAC侧不进行此项配置,LAC将采用此缺省值为周期向对端发送Hello报文.
2.
2.
8设置用户名、密码及配置用户验证在LAC侧配置AAA认证时,如果选择了local(本地认证)方式,则需要在LAC侧配置本地用户名和口令.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-11LAC通过检查远程拨入用户名与口令是否与本地注册用户名/口令相符合来进行用户身份验证,以检查用户是否为合法VPN用户.
验证通过后才能发起建立通道连接的请求,否则将该用户转入其它类型的服务.
这些配置在LAC侧必须配置.
1.
配置用户名、密码表2-8配置用户名、密码操作命令设置用户名(系统视图)local-userusername取消当前设置(系统视图)undolocal-userusername配置本地用户口令(本地用户视图)password{simple|cipher}password缺省情况下,LAC侧未配置本地用户名和口令.
2.
配置PPP用户验证类型请在虚拟模板接口视图下进行下列配置.
表2-9配置/取消用户验证类型操作命令配置对PPP用户进行验证pppauthentication-mode{chap|pap}[call-in][domainisp-name]取消对PPP用户进行验证undopppauthentication-mode缺省情况下,未配置用户验证.
配置本地验证的接口应该是接入用户的接口.
3.
配置PPP域用户及认证方案表2-10配置PPP域用户及认证方案操作命令创建ISP域并进入域视图(系统视图)domain{isp-name|default{disable|enableisp-name}}删除指定的ISP域(系统视图)undodomainisp-name配置PPP域用户的认证方法(ISP域视图)schemelocalH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-122.
2.
9强制断开L2TP连接当用户数为零、网络发生故障或当管理员主动要求时,都会产生断开连接的过程.
LAC和LNS任何一端都可主动发起断开连接的请求,连接断开后,该通道上的所有控制连接与会话连接也将被清除;当有新用户拨入时,还可重新建立连接.
这些配置在LAC端为可选配置.
请在用户视图下进行下列配置.
表2-11强制断开连接操作命令强制断开一个隧道连接resetl2tptunnel{nameremote-name|idtunnel-id}强制断开一个会话连接resetl2tpsessionsession-id强制断开该用户的连接resetl2tpuseruser-name2.
2.
10开启或关闭流控功能该配置任务可以开启或关闭L2TP的通道流控功能,达到流控目的.
这些配置在LAC侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-12开启或关闭流控功能操作命令开启流控功能tunnelflow-control关闭流控功能undotunnelflow-control缺省情况下,关闭通道流控功能.
2.
2.
11配置L2TP会话超时时间通常情况下,当L2TP的一个会话在一段时间内没有数据收发时,系统就会自动挂断这个会话.
用户可以根据需要设置会话的超时时间,甚至可以设置永不超时(即不自动挂断).
请在L2TP组视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-13表2-13配置L2TP会话超时时间操作命令配置L2TP会话超时时间sessionidle-timeseconds配置L2TP会话不超时undosessionidle-time缺省情况下,L2TP会话不超时.
2.
2.
12配置L2TPTunnel连接保持功能通常情况下,只有当PPP用户发起L2TP会话请求之后,LAC才会与LNS建立tunnel,并且当所有PPP会话(session)都断开之后,此tunnel也会自动拆除.
对于要求快速建立连接的应用,需要事先建立好tunnel,一旦有PPP会话请求,系统可以立即建立一个会话.
这就要求LAC与LNS之间总是保持一个tunnel连接,即使该tunnel上没有会话也不会被拆除.
请在L2TP组视图下进行下列配置.
表2-14配置Tunnel连接保持功能操作命令配置Tunnel连接保持功能tunnelkeepstanding取消Tunnel连接保持功能undotunnelkeepstanding缺省情况下,取消Tunnel连接保持功能.
说明:Tunnel连接保持功能必须在LAC和LNS上同时配置.
配置好以上条件之后,运行startl2tptunnel命令,以发送tunnel连接请求.
每执行一次该命令,则发送一次连接请求.
请在L2TP组视图下执行下列命令.
表2-15启动tunnel连接操作命令启动tunnel连接startl2tptunnelH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-142.
2.
13配置LAC作为客户端通常情况下,L2TP的客户端是拨号连接到LAC的用户主机.
此时用户与LAC的连接总是PPP连接.
如果使用LAC同时作为客户端,那么用户与LAC之间的连接就不受限于PPP连接,而只要是一个IP连接就可以了,这样LAC能够将用户的IP报文转发到LNS.
使用LAC同时作为客户端,是在LAC上建立一个虚拟的PPP用户,该用户与LNS保持一个常连接.
其它所有实际用户的IP报文都是通过此虚拟用户转发给LNS的.
使用LAC同时作为客户端的配置是在配置LAC的基础上增加如下配置:z创建一个虚模板接口z配置虚模板接口参数,包括IP地址、PPP验证方法及PPP验证的用户名、密码.
z配置虚用户建立L2TP隧道说明:配置LAC作为客户端应同时配置L2TPSession不超时,否则当没有实际用户数据流时,虚拟用户的会话会因超时而挂断.
1.
创建虚拟模板接口请在系统视图下进行下列配置.
表2-16创建/删除虚拟模板接口操作命令创建虚拟模板接口interfacevirtual-templatevirtual-template-number删除虚拟模板接口undointerfacevirtual-templatevirtual-template-number2.
配置虚拟模板接口参数请在虚拟模板接口视图下进行下列配置.
表2-17配置虚拟模板接口参数操作命令配置虚拟模板接口IP地址ipaddress{addressmask|ppp-negotiate|unnumberedinterfaceinterface-typeinterface-number}配置PPP验证方式pppauthentication-mode{pap|chap}配置CHAP验证用户名pppchapuseruser-nameH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-15操作命令配置CHAP验证密码pppchappassword{simple|cipher}password配置PAP验证用户名、密码ppppaplocal-useruser-namepassword{simple|cipher}password3.
配置虚用户建立L2TP隧道请在虚拟模板接口视图下进行下列配置.
表2-18配置虚用户建立L2TP隧道操作命令配置虚用户建立L2TP隧道l2tp-auto-clientenable取消虚用户建立L2TP隧道undol2tp-auto-clientenable缺省情况下,未配置虚用户建立L2TP隧道.
2.
3LNS配置在LNS的各项配置任务中,必须先启动L2TP、创建L2TP组,然后再进行其它功能特性的配置.
PPP和虚拟模板接口(Virtual-Template)的相关命令的详细介绍,请参看相关章节.
LNS主要配置包括:z启用L2TP(必选)z启用/禁止L2TP多域功能(可选)z创建L2TP组(必选)z创建虚接口模板(必选)z设置接收呼叫的虚拟模板接口、通道对端名称和域名(必选)z设置本端名称(可选)z配置隧道验证及设置密码(可选)z配置将AVP数据隐含(可选)z设置通道Hello报文发送时间间隔(可选)z强制本端CHAP验证(可选)z强制LCP重新协商(可选)z设置本端地址(必选)及分配的地址池(可选)z设置用户名、密码及配置用户验证(可选)z强制挂断通道(可选)H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-16z开启或关闭流控功能(可选)z配置L2TP会话超时时间(可选)2.
3.
1启用L2TP只有启用L2TP后,路由器上的L2TP功能才能正常发挥作用;如果禁止L2TP,则即便配置了L2TP的参数,路由器也不会提供相关功能.
这些配置在LNS侧必须配置.
请在系统视图下进行下列配置.
表2-19启用/禁止L2TP操作命令启用L2TPl2tpenable禁止L2TPundol2tpenable缺省情况下,L2TP功能是被禁止的.
2.
3.
2启用/禁止L2TP多域功能只有启用L2TP多域功能,路由器才能为多个企业做LNS,L2TP多域功能的实现丰富了VPN组网方式.
在"2.
5.
3L2TP多域组网应用"中有简单配置步骤描述.
在L2TP多域应用中,这些配置在LNS侧必须配置.
请在系统视图下进行下列配置.
表2-20启用/禁止L2TP多域功能操作命令启用L2TP多域功能l2tpmoreexamenable禁止L2TP多域功能undol2tpmoreexamenable缺省情况下,L2TP多域功能是被禁止的.
2.
3.
3创建L2TP组为了进行L2TP的相关参数配置,还需要增加L2TP组,这不仅可以在路由器上灵活的配置L2TP各项功能,而且方便地实现了LAC和LNS之间一对一、一对多的组网应用.
L2TP组在LAC和LNS上独立编号,只需要保证LAC和LNS之间关联的L2TP组的相关配置(如接收的通道对端名称、发起L2TP连接请求及LNS地址等)保持对应关系即可.
这些配置在LNS侧必须配置.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-17请在系统视图下进行下列配置.
表2-21创建/删除L2TP组操作命令创建L2TP组l2tp-groupgroup-number删除L2TP组undol2tp-groupgroup-number在创建了L2TP组后,就可以在L2TP组视图下进行和该L2TP组相关的其它配置了,如本端名称、接收的通道对端名称等.
缺省情况下,未创建任何L2TP组.
2.
3.
4创建虚拟模板接口虚拟模板接口主要用于配置路由器在运行过程中动态创建的虚接口的工作参数.
这些配置在LNS侧必须配置.
请在系统视图下进行下列配置.
表2-22创建/删除虚接口模板操作命令创建虚接口模板interfacevirtual-templatevirtual-template-number删除虚接口模板undointerfacevirtual-templatevirtual-template-number缺省情况下,未创建虚拟模板接口.
2.
3.
5设置接收呼叫的虚拟模板接口、通道对端名称和域名LNS可以使用不同的虚拟模板接口接收不同的LAC创建隧道的请求.
在接收到LAC发来的创建隧道请求后,LNS需要检查LAC的名称是否与合法通道对端名称相符合,从而决定是否允许通道对方进行隧道的创建.
这些配置在LNS侧必须配置.
请在L2TP组视图下进行下列配置.
表2-23设置/取消接收的通道对端名称操作命令设置通道对端的名称(L2TP组不为1)allowl2tpvirtual-templatevirtual-template-numberremoteremote-name[domaindomain-name]设置通道对端的名称(L2TP组为1)allowl2tpvirtual-templatevirtual-template-number[remoteremote-name][domaindomain-name]H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-18操作命令取消通道对端的名称undoallow当L2TP组号为1时(缺省的L2TP组号),可以不指定通道对端名remote-name.
如果在L2TP组1的视图下,仍指定对端名称,则L2TP组1不作为缺省的L2TP组.
说明:z只有组号为1的L2TP组才可以设置成缺省的组.
z当L2TP组号为1时(缺省的L2TP组号),任何名称的设备都能发起隧道请求.
z"start"命令和"allow"命令是互斥的,配了一条命令之后另一条就自动失效.
z当使用PPPoEClient触发LAC到LNS的隧道连接时,建议将LNS侧的虚拟模板接口的MTU值设置减小到1480字节.
2.
3.
6设置本端名称用户可在LNS侧配置本端通道名称.
这些配置在LNS侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-24设置本端名称操作命令设置本端名称tunnelnamename恢复本端名称为默认值undotunnelname缺省情况下,本端名称为路由器的主机名.
2.
3.
7启用隧道验证及设置密码用户可根据实际需要决定是否在创建隧道连接之前启用隧道验证.
隧道验证请求可由LAC或LNS任何一侧发起.
只要有一方启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致并且不为空的情况下,隧道才能建立;否则本端将自动将隧道连接断开.
若隧道两端都配置了禁止隧道验证,隧道验证的密码一致与否将不起作用.
这些配置在LNS侧为可选配置.
请在L2TP组视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-19表2-25设置通道验证及密码操作命令启用通道验证tunnelauthentication禁止通道验证undotunnelauthentication设置通道验证的密码tunnelpassword{simple|cipher}password取消通道验证的密码undotunnelpassword缺省情况下,启用隧道验证,隧道验证的密码为空.
为了保证通道安全,建议用户最好不要禁用隧道验证的功能.
2.
3.
8配置将AVP数据隐含L2TP协议使用AVP(AttributeValuePair,属性值对)来传递和协商L2TP的一些参数属性等.
在缺省情况下,AVP是采用明文形式传输的.
为了保证安全,用户可以通过下面的配置,将这些AVP隐藏起来传输.
隐含AVP功能必须是两端都使用隧道验证的情况下才起作用.
这些配置在LNS侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-26配置将AVP数据隐含操作命令配置将AVP数据隐含的传输方式tunnelavp-hidden恢复AVP的缺省传输方式undotunnelavp-hidden缺省情况下,AVP是采用明文形式传输的.
2.
3.
9设置通道Hello报文发送时间间隔为了检测LAC和LNS之间通道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应.
当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送超过3次都没有收到对端的响应信息则认为L2TP隧道已经断开,需要在LAC和LNS之间重新建立隧道连接.
这些配置在LNS侧为可选配置.
请在L2TP组视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-20表2-27设置通道Hello报文发送时间间隔操作命令设置通道Hello报文发送时间间隔tunneltimerhellohello-interval恢复通道Hello报文发送时间间隔undotunneltimerhello缺省情况下,通道Hello报文的发送时间间隔为60秒.
如果用户不进行此项配置,LNS将采用此缺省值为周期向对端发送Hello报文.
2.
3.
10强制本端CHAP验证当LAC对用户进行代理验证后,LNS可再次对用户进行验证.
此时将对用户进行两次验证,第一次发生在LAC侧,第二次发生在LNS侧,只有两次验证全部成功后,L2TP通道才能建立.
在L2TP组网中,LNS侧对用户的验证方式有三种:代理验证、强制CHAP验证和LCP重协商.
这三种验证方式中,LCP重协商的优先级最高,如果在LNS上同时配置LCP重协商和强制CHAP验证,L2TP将使用LCP重协商,采用相应的虚拟模板接口上配置的验证方式.
如果只配置强制CHAP验证,则LNS对用户进行CHAP验证.
强制CHAP验证配置在LNS侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-28强制本端CHAP验证操作命令强制本端CHAP验证mandatory-chap取消本端CHAP验证undomandatory-chap如果既不配置LCP重协商,也不配置强制CHAP验证,则LNS对用户进行的是代理验证.
在这种情况下,LAC将它从用户得到的所有验证信息及LAC端本身配置的验证方式发送给LNS,如果虚拟模板接口未配置验证方式,LNS侧会默认通过LAC侧对用户的验证结果.
在LNS使用代理验证时,如果虚拟模板接口配置的验证方式为PAP,并且验证通过,则允许建立会话.
如果虚拟模板接口配置的验证方式为CHAP,而LAC端配置的验证方式为PAP,则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证,验证将无法通过,会话也就不能正确建立.
缺省情况下,不进行强制CHAP验证.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-212.
3.
11强制LCP重新协商对由NAS发起的VPN服务请求(NAS-InitializedVPN),在PPP会话开始时,用户先和NAS(网络接入服务器)进行PPP协商.
若协商通过,则由NAS初始化L2TP通道连接,并将用户信息传递给LNS,由LNS根据收到的代理验证信息,判断用户是否合法.
但在某些特定的情况下(如需在LNS侧也要进行验证与计费),需要强制LNS与用户间重新进行LCP协商,此时将忽略NAS侧的代理验证信息.
强制LCP重新协商配置在LNS侧为可选配置.
请在L2TP组视图下进行下列配置.
表2-29强制/取消LCP重新协商操作命令强制LCP重新协商mandatory-lcp取消LCP重新协商undomandatory-lcp缺省情况下,不进行LCP重新协商.
启用LCP重协商后,如果相应的虚拟模板接口上不配置验证,则LNS将不对接入用户进行二次验证(这时用户只在LAC侧接受一次验证),直接将全局地址池的地址给client端.
2.
3.
12设置本端地址及分配的地址池当LAC与LNS之间的L2TP隧道连接建立之后,LNS需要从地址池中为VPN用户分配IP地址.
在指定地址池之前,需要在系统视图或域视图下用ippool命令先定义一个地址池(关于ippool命令的详细描述请参见本手册的"安全"部分).
若LNS采用代理验证或强制CHAP验证,系统将使用域视图下的地址池给用户分配IP地址;若LNS采用LCP重新协商方式并进行验证时,系统将使用域地址池给用户分配IP地址;若LNS采用LCP重新协商方式并不对用户进行验证时,系统将使用全局地址池给用户分配IP地址.
配置本端在LNS侧为必选配置,分配的地址池配置为可选配置.
请在虚拟模板接口视图下进行下列配置.
表2-30设置本端地址及分配的地址池操作命令设置本端IP地址ipaddressX.
X.
X.
Xnetmask取消本端IP地址undoipaddressX.
X.
X.
XnetmaskH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-22操作命令指定给对方分配地址所用的地址池remoteaddress{poolpool-number|X.
X.
X.
X}删除给对方分配地址所用的地址池undoremoteaddress当为对方指定分配地址所用的地址池时,如果关键字pool后面没有输入具体的pool-number值,则表示从缺省地址池来分配地址.
缺省情况下,从地址池0(缺省地址池)中给对方分配地址.
2.
3.
13设置用户名、密码及配置用户验证在LNS侧,如果配置了强制CHAP认证,则需要在LNS侧配置本地注册用户名和口令.
LNS通过检查远程拨入用户名与口令是否与本地注册用户名/口令相符合来进行用户身份验证,以检查用户是否为合法VPN用户.
验证通过后就可以进行VPN用户和LNS的通信,否则将通知L2TP清除这个L2TP连接.
这些配置在LNS侧为可选配置.
具体配置方法请参考2.
2.
8设置用户名、密码及配置用户验证.
2.
3.
14强制断开L2TP连接当用户数为零、网络发生故障或当管理员主动要求时,都会产生断开连接的过程.
LAC和LNS任何一端都可主动发起断开连接的请求,连接断开后,该通道上的所有控制连接与会话连接也将被清除;当有新用户拨入时,还可重新建立连接.
这些配置在LNS端为可选配置.
请在用户视图下进行下列配置.
表2-31强制断开连接操作命令强制断开一个隧道连接resetl2tptunnel{nameremote-name|idtunnel-id}强制断开一个会话连接resetl2tpsessionsession-id强制断开该用户的连接resetl2tpuseruser-name2.
3.
15开启或关闭流控功能该配置任务可以开启或关闭L2TP简单的通道流控功能,达到流控目的.
这些配置在LNS侧为可选配置.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-23请在L2TP组视图下进行下列配置.
表2-32开启或关闭流控功能操作命令开启流控功能tunnelflow-control关闭流控功能undotunnelflow-control缺省情况下,关闭通道流控功能.
2.
3.
16配置L2TP会话超时时间通常情况下,当L2TP的一个会话在一段时间内没有数据收发时,系统就会自动挂断这个会话.
用户可以根据需要设置会话的超时时间,甚至可以设置永不超时(即不自动挂断).
请在L2TP组视图下进行下列配置.
表2-33配置L2TP会话超时时间操作命令配置L2TP会话超时时间sessionidle-timeseconds配置L2TP会话不超时undosessionidle-time缺省情况下,L2TP会话不超时.
2.
4L2TP显示和调试在完成上述配置后,在所有视图下执行display命令可以显示配置后L2TP的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行debugging命令可对L2TP进行调试.
表2-34L2TP的显示和调试操作命令显示当前的L2TP用户的信息displayl2tpuser显示当前的L2TP通道的信息displayl2tptunnel显示当前的L2TP会话的信息displayl2tpsession打开所有的L2TP调试信息开关debuggingl2tpall关闭所有的L2TP调试信息开关undodebuggingl2tpall打开L2TP控制报文调试开关debuggingl2tpcontrolH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-24操作命令关闭L2TP控制报文调试开关undodebuggingl2tpcontrol打开PPP报文内容的调试开关debuggingl2tpdump关闭PPP报文内容的调试开关undodebuggingl2tpdump打开L2TP错误信息的调试开关debuggingl2tperror关闭L2TP错误信息的调试开关undodebuggingl2tperror打开L2TP的事件调试信息开关debuggingl2tpevent关闭L2TP的事件调试信息开关undodebuggingl2tpevent打开隐藏AVP的调试信息开关debuggingl2tphidden关闭隐藏AVP的调试信息开关undodebuggingl2tphidden打开L2TP数据报文调试开关debuggingl2tppayload关闭L2TP数据报文调试开关undodebuggingl2tppayload打开L2TP时间戳信息调试开关debuggingl2tptime-stamp关闭L2TP时间戳信息调试开关undodebuggingl2tptimestamp2.
5L2TP典型配置举例L2TP的呼叫可以由NAS(网络接入服务器)主动发起,也可以由客户端发起.
下面将分别针对这两种情况举例说明.
2.
5.
1NAS-InitializedVPN1.
组网需求VPN用户访问公司总部过程如下:z用户以普通的上网方式进行拨号上网.
z在接入服务器(NAS)处对此用户进行验证,发现是VPN用户,则由接入服务器向LNS发起隧道连接的请求.
z在接入服务器与LNS隧道建立后,接入服务器把与VPN用户已经协商的内容作为报文内容传给LNS.
zLNS再根据预协商的内容决定是否接受此连接.
z用户与公司总部间的通信都通过接入服务器与LNS之间的隧道进行传输.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-252.
组网图VPN用户PSTN/ISDN公司总部LACInternetLNStunnelNASAsync2图2-6NAS-InitializedVPN组网图3.
配置步骤(1)用户侧的配置在用户侧,在拨号网络窗口中输入VPN用户名vpdnuser,口令Hello,拨入号码为170.
在拨号后弹出的拨号终端窗口中输入RADIUS验证的用户名username和口令userpass.
(2)NAS侧的配置(本例中以H3CA8010接入服务器作为LAC侧设备)#在A8010上配置拨入号码为170.
#在RADIUS服务器上设置一个用户名为username、口令为userpass的VPN用户,并设置相应的LNS侧设备的IP地址(本例中LNS侧与通道相连接的以太口的IP地址为202.
38.
160.
2).
#将本端的设备名称定义为A8010,需要进行通道验证,通道验证密码为H3C.
(3)路由器(LNS侧)的配置#设置用户名及口令(应与用户侧的设置一致).
[H3C]local-uservpdnuser[H3C-luser-vpdnuser]passwordsimpleHello[H3C-luser-vpdnuser]service-typeppp#对VPN用户采用本地验证.
[H3C]domainsystem[H3C-isp-system]schemelocal[H3C-isp-system]ippool1192.
168.
0.
2192.
168.
0.
100#启用L2TP服务,并设置一个L2TP组.
[H3C]l2tpenable[H3C]l2tp-group1#配置虚模板Virtual-Template的相关信息.
[H3C]interfacevirtual-template1[H3C-virtual-template1]ipaddress192.
168.
0.
1255.
255.
255.
0[H3C-virtual-template1]pppauthentication-modechapdomainsystemH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-26[H3C-virtual-template1]remoteaddresspool1#配置LNS侧接收的通道对端名称.
[H3C]l2tp-group1[H3C-l2tp1]allowl2tpvirtual-template1remoteA8010#启用通道验证并设置通道验证密码.
[H3C-l2tp1]tunnelauthentication[H3C-l2tp1]tunnelpasswordsimpleH3C2.
5.
2Client-InitializedVPN1.
组网需求VPN用户访问公司总部过程如下:用户首先连接Internet,之后,直接由用户向LNS发起Tunnel连接的请求.
在LNS接受此连接请求之后,VPN用户与LNS之间就建立了一条虚拟的Tunnel.
用户与公司总部间的通信都通过VPN用户与LNS之间的Tunnel进行传输.
2.
组网图InternetPSTN公司总部LNSRouterNASVPN用户Tunnel图2-7Client-InitializedVPN组网图3.
配置步骤(1)用户侧的配置在用户侧主机上必须装有L2TP的客户端软件,如WinVPNClient,并且用户通过拨号方式连接到Internet.
然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):#在用户侧设置VPN用户名为vpdnuser,口令为Hello.
#将LNS的IP地址设为路由器的Internet接口地址(本例中LNS侧与通道相连接的以太口的IP地址为202.
38.
160.
2).
#修改连接属性,将采用的协议设置为L2TP,将加密属性设为自定义,并选择CHAP验证,进行通道验证,通道的密码为:H3C.
(2)路由器(LNS侧)的配置H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-27#设置用户名及口令(应与用户侧的设置一致).
[H3C]local-uservpdnuser[H3C-luser-vpdnuser]passwordsimpleHello[H3C-luser-vpdnuser]service-typeppp#对VPN用户采用本地验证.
[H3C]domainsystem[H3C-isp-system]schemelocal[H3C-isp-system]ippool1192.
168.
0.
2192.
168.
0.
100#启用L2TP服务,并设置一个L2TP组.
[H3C]l2tpenable[H3C]l2tp-group1#配置虚模板Virtual-Template的相关信息.
[H3C]interfacevirtual-template1[H3C-virtual-template1]ipaddress192.
168.
0.
1255.
255.
255.
0[H3C-virtual-template1]pppauthentication-modechapdomainsystem[H3C-virtual-template1]remoteaddresspool1#配置LNS侧接收的通道对端名称.
[H3C]l2tp-group1[H3C-l2tp1]allowl2tpvirtual-template1#启用通道验证并设置通道验证密码.
[H3C-l2tp1]tunnelauthentication[H3C-l2tp1]tunnelpasswordsimpleH3C2.
5.
3L2TP多域组网应用1.
组网需求多个企业共用一个LNS,不同的企业用户需要与自己的总部进行通讯,网络的地址采用的是私有地址,如10.
8.
0.
0网络,一般情况下,用户无法通过Internet直接访问企业内部的服务器.
通过建立VPN并支持多域,用户就可以访问自己企业内部网络的数据.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-282.
组网图企业总部01GE1/0LACRouter2LNSInternetTunnelWANPC1PC202Router1GE2/0图2-8L2TP支持多域组网图3.
配置步骤01企业总部域名假定为263.
net,PC1为01企业用户;02企业总部域名假定为163.
net,PC2为02企业用户.
(1)用户侧的配置建一拨号网络,号码为Router1的路由器的接入号码;接收由LNS服务器端分配的地址.
对于PC1而言,在弹出的拨号终端窗口中输入用户名vpdn1@263.
net,口令为11111(此用户名与口令已在LNS中注册).
对于PC2而言,在弹出的拨号终端窗口中输入用户名vpdn2@163.
net,口令为22222(此用户名与口令已在LNS中注册).
(2)路由器Router1(LAC侧)的配置(本例中LAC侧的GigabitEthernet1/0和GigabitEthernet2/0是用户接入接口,GigabitEthernet3/0的IP地址为202.
38.
160.
1,LNS侧与通道相连接的IP地址为202.
38.
160.
2).
#设置用户名及口令.
system-view[H3C]local-uservpdn1[H3C-luser-vpdn1]passwordsimple11111[H3C-luser-vpdn1]service-typeppp[H3C-luser-vpdn1]quit[H3C]local-uservpdn2[H3C-luser-vpdn2]passwordsimple22222[H3C-luser-vpdn2]service-typeppp[H3C-luser-vpdn2]quitH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-29#配置域用户采用本地认证.
[H3C]domain263.
net[H3C-isp-263.
net]schemelocal[H3C-isp-263.
net]quit[H3C]domain163.
net[H3C-isp-163.
net]schemelocal[H3C-isp-163.
net]quit#在GigabitEthernet1/0和GigabitEthernet2/0接口上配置PPPoEserver.
[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]pppoe-serverbindVirtual-Template100[H3C-GigabitEthernet1/0]interfacegigabitethernet2/0[H3C-GigabitEthernet2/0]pppoe-serverbindVirtual-Template101#在GigabitEthernet3/0接口上配置IP地址.
[H3C-GigabitEthernet2/0]interfacegigabitethernet3/0[H3C-GigabitEthernet3/0]ipaddress202.
38.
160.
1255.
255.
255.
0#在虚模板上启动CHAP认证.
[H3C-GigabitEthernet3/0]interfaceVirtual-Template100[H3C-Virtual-Template100]pppauthentication-modechapdomain263.
net[H3C-Virtual-Template100]interfaceVirtual-Template101[H3C-Virtual-Template101]pppauthentication-modechapdomain163.
net[H3C-Virtual-Template101]quit#设置两个L2TP组并配置相关属性.
[H3C]l2tpenable[H3C]l2tp-group1[H3C-l2tp1]tunnelnameLAC[H3C-l2tp1]startl2tpip202.
38.
160.
2domain263.
net[H3C-l2tp1]l2tp-group2[H3C-l2tp2]tunnelnameLAC[H3C-l2tp2]startl2tpip202.
38.
160.
2domain163.
net#启用通道验证并设置通道验证密码.
[H3C-l2tp2]tunnelauthentication[H3C-l2tp2]tunnelpasswordsimple12345[H3C-l2tp2]quit[H3C]l2tp-group1[H3C-l2tp1]tunnelauthentication[H3C-l2tp1]tunnelpasswordsimple12345(3)路由器Router2(LNS侧)的配置.
system-view[H3C]l2tpenableH3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-30[H3C]l2tpmoreexamenable#创建两个用户名及口令[H3C]local-uservpdn1[H3C-luser-vpdn1]passwordsimple11111[H3C-luser-vpdn1]service-typeppp[H3C-luser-vpdn1]quit[H3C]local-uservpdn2[H3C-luser-vpdn2]passwordsimple22222[H3C-luser-vpdn2]service-typeppp[H3C-luser-vpdn2]quit#创建两个地址池.
[H3C]domain163.
net[H3C-isp-163.
net]schemelocal[H3C-isp-163.
net]ippool1202.
38.
161.
10202.
38.
161.
100[H3C-isp-163.
net]quit[H3C]domain263.
net[H3C-isp-263.
net]schemelocal[H3C-isp-263.
net]ippool1202.
38.
162.
10202.
38.
162.
100[H3C-isp-263.
net]quit#创建两个相应的virtualtemplate.
[H3C]interfacevirtual-template1[H3C-Virtual-Template1]ipaddress202.
38.
161.
1255.
255.
255.
0[H3C-Virtual-Template1]remoteaddresspool1[H3C-Virtual-Template1]pppauthentication-modechapdomain163.
net[H3C-Virtual-Template1]interfacevirtual-template2[H3C-Virtual-Template2]ipaddress202.
38.
162.
2255.
255.
255.
0[H3C-Virtual-Template2]remoteaddresspool1[H3C-Virtual-Template2]pppauthentication-modechapdomain263.
net[H3C-Virtual-Template2]quit#创建两个相应的L2TP-group组.
[H3C]l2tp-group3[H3C-l2tp3]tunnelauthentication[H3C-l2tp3]allowl2tpvirtual-template1remoteLACdomain263.
net[H3C-l2tp3]tunnelpasswordsimple12345[H3C-l2tp3]quit[H3C]l2tp-group4[H3C-l2tp4]tunnelauthentication[H3C-l2tp4]allowl2tpvirtual-template2remoteLACdomain163.
net[H3C-l2tp4]tunnelpasswordsimple12345上述配置中,如果LNS端需要采用RADIUS验证,请修改AAA配置即可.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-312.
5.
4LAC作为客户端典型应用1.
组网需求使用LAC路由器同时作为L2TP客户端,与LNS建立常连接.
并将所有私有网络的数据转发给LNS.
2.
组网图Internet网络RouterARouterBLACLNSVT1:192.
168.
0.
1私有网络10.
2.
0.
0私有网络10.
1.
0.
03.
3.
3.
2图2-9LAC作为客户端应用组网图3.
配置步骤说明:本例假设公网地址和路由都已正确配置.
此处只说明了VPN相关配置.
(1)LAC路由器的典型配置#设置用户名及口令.
[H3C]local-uservpdnuser[H3C-luser-vpdnuser]passwordsimpleHello[H3C-luser-vpdnuser]service-typeppp[H3C-luser-vpdnuser]quit#启用L2TP服务,并设置一个L2TP组.
[H3C]l2tpenable[H3C]l2tp-group1#配置LAC侧本端名称,配置对端LNS的IP地址.
[H3C-l2tp1]tunnelnameLAC[H3C-l2tp1]startl2tpip3.
3.
3.
2fullusernamevpdnuser#启用通道验证并设置通道验证密码.
[H3C-l2tp1]tunnelauthentication[H3C-l2tp1]tunnelpasswordsimpleH3C[H3C-l2tp1]quit#配置虚模板Virtual-Template的相关信息.
[H3C]interfacevirtual-template1H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-32[H3C-virtual-template1]ipaddressppp-negotiate[H3C-virtual-template1]pppauthentication-modepap[H3C-virtual-template1]ppppaplocal-uservpdnuserpasswordsimpleHello[H3C-virtual-template1]quit#配置私网路由.
[H3C]iproute-static10.
1.
0.
016virtual-template1(2)LNS路由器的典型配置#设置用户名及口令.
[H3C]local-uservpdnuser[H3C-luser-vpdnuser]passwordsimpleHello[H3C-luser-vpdnuser]service-typeppp#配置GigabitEthernet3/0接口.
[H3C]interfacegigabitethernet3/0[H3C-GigabitEthernet3/0]ipaddress3.
3.
3.
2255.
255.
0.
0[H3C-GigabitEthernet3/0]quit#配置域及地址池.
[H3C]domainsystem[H3C-isp-system]schemelocal[H3C-isp-system]ippool1192.
168.
0.
2192.
168.
0.
10[H3C-isp-system]quit#启用L2TP服务,并设置一个L2TP组.
[H3C]l2tpenable[H3C]l2tp-group1#配置虚模板Virtual-Template的相关信息.
[H3C]interfacevirtual-template1[H3C-virtual-template1]ipaddress192.
168.
0.
1255.
255.
255.
0[H3C-virtual-template1]remoteaddresspool1[H3C-virtual-template1]pppauthentication-modepap[H3C-virtual-template1]quit#配置LNS侧接收的通道对端名称.
[H3C]l2tp-group1[H3C-l2tp1]allowl2tpvirtual-template1remoteLAC#启用通道验证并设置通道验证密码.
[H3C-l2tp1]tunnelauthentication[H3C-l2tp1]tunnelpasswordsimpleH3C[H3C-l2tp1]quit#配置私网路由.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-33[H3C]iproute-static10.
2.
0.
016virtual-template1(3)启动L2TP连接#在RouterA的虚模板接口视图下执行启动L2TP连接命令[H3C]interfacevirtual-template1[H3C-virtual-template1]l2tp-auto-clientenable说明:LAC和LNS连接的私网主机应分别以LAC和LNS为网关.
2.
5.
5复杂的组网情况路由器支持同时作为LAC及LNS,并支持同时有多路用户呼入;只要内存及线路不受限制,L2TP可以同时接收和发起多个呼叫.
这些复杂组网的需求及配置可以综合参考以上的几种组网情况,综合应用.
特别需要注意的是静态路由的配置,许多应用是依靠路由来发起的.
2.
6L2TP故障诊断与排错VPN创建连接的过程比较复杂,这里就几种常见的情况进行分析.
在进行VPN排错之前,请先确认LAC与LNS都已在公共网上,并实现正确连通.
故障之一:用户登录失败故障排除:用户登录失败主要有以下几种原因.
zTunnel建立失败,Tunnel不能建立的原因有:(1)在LAC端,LNS的地址设置不正确.
(2)LNS(通常为路由器、路由器)端没有设置可以接收该隧道对端的L2TP组,具体可以查看allow命令的说明.
(3)Tunnel验证不通过,如果配置了验证,应该保证双方的隧道密码一致.
(4)如果是本端强制挂断了连接,而由于网络传输等原因,对端还没有收到相应的Disconnect报文,此时立即发起了一个隧道连接,连接将不能成功,因为对方必须相隔一定的时间才能侦测到链路被挂断.
zPPP协商不通过,可能原因有:(1)LAC端设置的用户名与密码有误,或者是LNS端没有设置相应的用户.
(2)LNS端不能分配地址,比如地址池设置的较小,或没有进行设置.
(3)密码验证类型不一致.
如Windows2000所创建的VPN连接缺省的验证类型为MSCHAP,如果对端不支持MSCHAP,建议改为CHAP.
H3CMSR50-06路由器操作手册(VPN)第2章L2TP协议配置2-34故障之二:数据传输失败,在建立连接后数据不能传输,如Ping不通对端.
故障排除:可能有如下原因.
z用户设置的地址有误:一般情况下,由LNS分配地址,而用户也可以指定自己的地址.
如果指定的地址和LNS所要分配的地址不属于同一个网段,就会发生这种情况,建议由LNS统一分配地址.
z网络拥挤:Internet主干网产生拥挤,丢包现象严重.
L2TP是基于UDP(用户数据报文)进行传输的,UDP不对报文进行差错控制;如果是在线路质量不稳定的情况下进行L2TP应用,有可能会产生Ping不通对端的情况.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-1第3章GRE协议配置3.
1GRE协议简介1.
协议简介GRE(GenericRoutingEncapsulation,通用路由封装)协议是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输.
GRE是VPN(VirtualPrivateNetwork)的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术.
Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装.
一个报文要想在Tunnel中传输,必须要经过加封装与解封装两个过程,下面以图3-1的网络为例说明这两个过程:InternetNovellIPX协议Group1NovellIPX协议Group2TunnelRouterARouterB图3-1IPX网络通过GRE隧道互连(1)加封装过程连接Novellgroup1的接口收到IPX数据报后首先交由IPX协议处理,IPX协议检查IPX报头中的目的地址域来确定如何路由此包.
若报文的目的地址被发现要路由经过网号为1f的网络(Tunnel的虚拟网号),则将此报文发给网号为1f的Tunnel端口.
Tunnel口收到此包后进行GRE封装,封装完成后交给IP模块处理,在封装IP报文头后,根据此包的目的地址及路由表交由相应的网络接口处理.
(2)解封装的过程解封装过程和加封装的过程相反.
从Tunnel接口收到的IP报文,通过检查目的地址,当发现目的地就是此路由器时,系统剥掉此报文的IP报头,交给GRE协议模块处理(进行检验密钥、检查校验和及报文的序列号等);GRE协议模块完成相应的处理后,剥掉GRE报头,再交由IPX协议模块处理,IPX协议模块象对待一般数据报一样对此数据报进行处理.
系统收到一个需要封装和路由的数据报,称之为净荷(Payload),这个净荷首先被加上GRE封装,成为GRE报文;再被封装在IP报文中,这样就可完全由IP层负H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-2责此报文的向前传输(Forwarded).
人们常把这个负责向前传输IP协议称为传输协议(DeliveryProtocol或者TransportProtocol).
封装好的报文的形式如下图所示:DeliveryHeader(TransportProtocol)GREHeader(EncapsulationProtocol)PayloadPacket(PassengerProtocol)图3-2封装好的Tunnel报文格式举例来说,一个封装在IPTunnel中的IPX传输报文的格式如下:IPGREIPX乘客协议(PassengerProtocol)运载协议或封装协议(CarrierProtocol)(EncapsulationProtocol)传输协议(TransportProtocol)图3-3Tunnel中传输报文的格式2.
应用范围GRE主要能实现以下几种服务类型:(1)多协议的本地网通过单一协议的骨干网传输InternetNovellIPX协议Group1IP协议Term1NovellIPX协议Group2IP协议Term2TunnelRouterARouterB图3-4多协议本地网通过单一协议骨干网传输上图中,Group1和Group2是运行NovellIPX协议的本地网,Term1和Term2是运行IP协议的本地网.
通过在RouterA和RouterB之间采用GRE协议封装的隧道(Tunnel),Group1和Group2、Team1和Team2可以互不影响地进行通信.
(2)扩大了步跳数受限协议(如IPX)的网络的工作范围H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-3RouterTunnelRouterARouterRouterBIPnetworkIPnetworkPCPCIPnetworkRouterTunnelRouterARouterRouterBIPnetworkIPnetworkPCPCIPnetwork图3-5扩大网络工作范围若上图中的两台终端之间的步跳数超过15,它们将无法通信.
而通过在网络中使用隧道(Tunnel)可以隐藏一部分步跳,从而扩大网络的工作范围.
(3)将一些不能连续的子网连接起来,用于组建VPNTunnelgroup2novelllRouterARouterBgroup1novellIPnetworkVLAN图3-6Tunnel连接不连续子网运行NovellIPX协议的两个子网group1和group2分别在不同的城市,通过使用隧道可以实现跨越广域网的VPN.
(4)与IPSec结合使用InternetIPSecTunnelGRETunnelRemoteofficenetworkCorporateintranetRouterARouterB图3-7GRE-IPSec隧道应用对于诸如路由协议、语音、视频等数据先进行GRE封装,然后再对封装后的报文进行IPSec的加密处理.
另外,GRE还支持由用户选择记录Tunnel接口的识别关键字,和对封装的报文进行端到端校验.
由于GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用GRE会造成路由器的数据转发效率有一定程度的下降.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-43.
2GRE配置在各项配置中,必须先创建虚拟Tunnel接口,才能在虚拟Tunnel接口上进行其它功能特性的配置.
当删除虚拟Tunnel接口后,该接口上的所有配置也将被删除.
GRE主要配置包括:z创建虚拟Tunnel接口(必选)z设置Tunnel接口报文的封装模式(可选)z指定Tunnel的源端(必选)z指定Tunnel的目的端(必选)z设置Tunnel接口的网络地址(必选)z设置Tunnel两端进行端到端校验(可选)z设置Tunnel接口的识别关键字(可选)z配置通过Tunnel的路由(可选)3.
2.
1创建虚拟Tunnel接口创建虚拟Tunnel接口,从而在该接口上进行GRE其它参数的配置.
这些配置在Tunnel两端必须配置.
请在系统视图下进行下列配置.
表3-1创建虚拟Tunnel接口操作命令创建虚拟Tunnel接口interfacetunnelnumber删除虚拟Tunnel接口undointerfacetunnelnumber缺省情况下,不创建虚拟Tunnel接口.
number为设定的接口号,范围0~1023,但实际可建的Tunnel数目将受到接口总数及内存状况的限制.
3.
2.
2设置Tunnel接口报文的封装模式设置Tunnel接口的封装协议和传输协议.
这些配置在Tunnel两端为可选配置,如果配置则必须确保Tunnel两端的封装模式相同.
请在Tunnel视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-5表3-2设置Tunnel接口报文的封装模式操作命令设置Tunnel接口报文的封装模式tunnel-protocolgre删除Tunnel接口报文的封装模式undotunnel-protocol缺省情况下,Tunnel接口报文的封装模式为GRE.
3.
2.
3指定Tunnel的源端在创建Tunnel接口后,还要指明Tunnel通道的源端地址,即发出GRE报文的实际接口地址.
Tunnel的源端地址与目的端地址唯一标识了一个通道.
这些配置在Tunnel两端必须配置,且两端地址互为源地址和目的地址.
请在Tunnel接口视图下进行下列配置.
表3-3设置Tunnel接口的源端地址操作命令设置Tunnel接口的源端地址source{ip-addr|interface-typeinterface-num}删除Tunnel接口的源端地址undosource说明:z不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址.
z使用命令source设置的是实际的物理接口地址或实际物理接口,为支持动态路由协议,还需要设置Tunnel接口的网络地址.
在Tunnel接口视图下通过命令ipaddress可完成这一设置.
3.
2.
4指定Tunnel的目的端在创建Tunnel接口后,还要指明Tunnel通道的目的端地址,即接收GRE报文的实际物理接口的IP地址.
Tunnel的源端地址与目的端地址唯一标识了一个通道.
这些配置在Tunnel两端必须配置,且两端地址互为源地址和目的地址.
请在Tunnel接口视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-6表3-4设置Tunnel接口的目的端地址操作命令设置Tunnel接口的目的端地址destinationip-addr删除Tunnel接口的目的端地址undodestination说明:使用命令destination设置的是实际的物理接口的IP地址,为支持动态路由协议,还需要设置Tunnel接口的网络地址.
3.
2.
5设置Tunnel接口的网络地址Tunnel接口的网络地址可以不是申请得到的网络地址.
用户设置通道两端的网络地址应该位于同一网段上.
这些配置在Tunnel两端都必须配置,并且确保地址在同一网段.
请在Tunnel接口视图下进行下列设置.
表3-5设置Tunnel接口的网络地址操作命令设置Tunnel接口的IP地址ipaddressip-addrmask删除Tunnel接口的IP地址undoipaddress缺省情况下,未设置Tunnel接口的网络地址.
3.
2.
6设置Tunnel两端进行端到端校验在RFC1701中规定:若GRE报文头中的Checksum位置位,则校验和有效.
发送方将根据GRE头及payload信息计算校验和,并将包含校验和的报文发送给对端.
接收方对接收到的报文计算校验和,并与报文中的校验和比较,如果一致则对报文进一步处理,否则丢弃.
隧道两端可以根据实际应用需要,配置校验和或禁止校验和.
如果本端配置了校验和而对端没有配置,则本端将不会对接收到的报文进行校验和检查,但对发送的报文计算校验和;相反,如果本端没有配置校验和而对端已配置,则本端将对从对端发来的报文进行校验和检查,但对发送的报文不计算校验和.
请在Tunnel接口视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-7表3-6设置Tunnel两端进行端到端校验操作命令设置Tunnel两端进行端到端校验grechecksum禁止Tunnel两端进行端到端校验undogrechecksum缺省情况下,禁止Tunnel两端进行端到端校验.
3.
2.
7设置Tunnel接口的识别关键字在RFC1701中规定:若GRE报文头中的KEY字段置位,则收发双方将进行通道识别关键字的验证,只有Tunnel两端设置的识别关键字完全一致时才能通过验证,否则将报文丢弃.
请在Tunnel接口视图下进行配置.
表3-7设置Tunnel接口的识别关键字操作命令设置Tunnel接口的识别关键字grekeykey-number删除Tunnel接口的识别关键字undogrekeykey-number可取值0~4294967295之间的整数.
缺省情况下,Tunnel不使用识别关键字.
3.
2.
8配置通过Tunnel的路由在隧道的源端和目的端上都必须存在经过Tunnel转发的路由,这样需要进行GRE封装的报文才能正确转发.
可以配置静态路由,也可以配置动态路由.
1.
静态路由配置可以手工配置一条到达目的地址(不是Tunnel的目的端地址,而是未进行GRE封装的报文的目的地址)的路由,下一跳是对端Tunnel接口的地址.
在Tunnel的两端都要进行此项配置.
配置的详细情况请参见本手册的"路由协议"部分,配置命令的详细解释请参见相应的命令手册.
2.
动态路由配置如果在路由器上运行了动态路由协议,只需在Tunnel接口上和与私网相连的路由器接口上使能该动态路由协议即可,在Tunnel的两端都必须进行此项配置.
配置的详细情况请参见本手册的"路由协议"部分,配置命令的详细解释请参见相应的命令手册.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-83.
2.
9配置keepalive功能请在Tunnel接口视图下进行配置.
表3-8配置keepalive功能操作命令使能GRE的keepalive功能keepalive[seconds[times]]关闭GRE的keepalive功能undokeepalive缺省情况下,不启用GRE的keepalive功能.
seconds缺省为10秒.
times缺省为3次.
配置了GRE的keepalive的功能后,路由器会从Tunnel口定期发送GRE的keepalive报文.
如果超时时间内对端没有回应,则本端路由器重新发送keepalive报文.
如果超过最大传送次数后仍然没有接受到对端的回应,则本端Tunnel口的协议状态将变为down.
3.
3GRE显示和调试在完成上述配置后,在所有视图下执行display命令可以显示配置后GRE的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行debugging命令可对GRE进行调试.
表3-9GRE的显示和调试操作命令显示Tunnel接口的工作状态displayinterfacetunnelnumber打开Tunnel调试信息debuggingtunnel3.
4GRE典型配置举例1.
组网需求运行IP协议的两个子网Group1和Group2,通过在Router1和Router2之间使用三层隧道协议GRE实现互联.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-92.
组网图IPGroup1InternetIPGroup2GE2/0192.
13.
2.
1/24GE3/0131.
108.
5.
2/24GE1/010.
1.
1.
1/24GE1/010.
1.
3.
1/24Tunnel2Router1Router2Tunnel1图3-8GRE应用组网图3.
配置步骤(1)配置路由器Router1#配置接口GigabitEthernet1/0.
[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]ipaddress10.
1.
1.
1255.
255.
255.
0[H3C-GigabitEthernet1/0]quit#配置接口GigabitEthernet2/0(隧道的实际物理接口).
[H3C]interfacegigabitethernet2/0[H3C-GigabitEthernet2/0]ipaddress192.
13.
2.
1255.
255.
255.
0[H3C-GigabitEthernet2/0]quit#创建Tunnel1接口.
[H3C]interfacetunnel1#配置Tunnel1接口的IP地址.
[H3C-Tunnel1]ipaddress10.
1.
2.
1255.
255.
255.
0#配置Tunnel封装模式.
[H3C-Tunnel1]tunnel-protocolgre#配置Tunnel1接口的源地址(GigabitEthernet2/0的IP地址).
[H3C-Tunnel1]source192.
13.
2.
1#配置Tunnel1接口的目的地址(Router2的GigabitEthernet3/0的IP地址).
[H3C-Tunnel1]destination131.
108.
5.
2[H3C-Tunnel1]quit#配置从Router1经过Tunnel1接口到Group2的静态路由.
[H3C]iproute-static10.
1.
3.
0255.
255.
255.
0tunnel1(2)配置路由器Router2#配置接口GigabitEthernet1/0.
[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]ipaddress10.
1.
3.
1255.
255.
255.
0H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-10[H3C-GigabitEthernet1/0]quit#配置接口GigabitEthernet3/0(隧道的实际物理接口).
[H3C]interfacegigabitethernet3/0[H3C-GigabitEthernet3/0]ipaddress131.
108.
5.
2255.
255.
255.
0[H3C-GigabitEthernet3/0]quit#创建Tunnel2接口.
[H3C]interfacetunnel2#配置Tunnel2接口的IP地址.
[H3C-Tunnel2]ipaddress10.
1.
2.
2255.
255.
255.
0#配置Tunnel封装模式.
[H3C-Tunnel2]tunnel-protocolgre#配置Tunnel2接口的源地址(GigabitEthernet3/0的IP地址).
[H3C-Tunnel2]source131.
108.
5.
2#配置Tunnel2接口的目的地址(Router1的GigabitEthernet2/0的IP地址).
[H3C-Tunnel2]destination192.
13.
2.
1[H3C-Tunnel2]quit#配置从Router2经过Tunnel2接口到Group1的静态路由.
[H3C]iproute-static10.
1.
1.
0255.
255.
255.
0tunnel23.
5GRE故障诊断与排除GRE的配置相对比较简单,但要注意配置的一致性,大部分的错误都可以通过使用调试命令debuggingtunnel定位.
这里仅就一种错误进行分析,如图3-9所示.
PCA10.
1.
1.
1/16PCB10.
2.
1.
1/16GE2/0GE3/0TunnelRouter1Router3Router2Tunnel0Tunnel0图3-9GRE排错示例故障之一:Tunnel两端接口配置正确且Tunnel两端可以ping通,但PCA和PCB之间却无法ping通.
故障排除:可以按照如下步骤进行.
z在任一视图下,在Router1和Router2分别执行displayiprouting-table命令,观察在Router1是否有经过Tunnel0接口到10.
2.
0.
0/16的路由;在Router2是否有经过Tunnel0接口到10.
1.
0.
0/16的路由.
H3CMSR50-06路由器操作手册(VPN)第3章GRE协议配置3-11z如果在上一步的输出中发现缺少相应的静态路由,在系统视图下使用iproute-static命令添加.
以Router1为例,配置如下:[H3C]iproute-static10.
2.
0.
0255.
255.
0.
0tunnel0H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-1第4章IPSec配置4.
1IPSec概述4.
1.
1IPSec协议简介IPSec(IPSecurity)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性.
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放.
说明:私有性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送.
完整性(Dataintegrity)指对接收的数据进行验证,以判定报文是否被篡改.
真实性(Dataoriginauthentication)指验证数据源,以保证数据来自真实的发送者.
防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包.
IPSec通过AH(AuthenticationHeader,认证头)和ESP(EncapsulatingSecurityPayload,封装安全载荷)这两个安全协议来实现上述目标.
并且还可以通过IKE(InternetKeyExchange,Internet密钥交换协议)为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理.
zAH(AuthenticationHeader)是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH并不加密所保护的数据报.
zESP(EncapsulatingSecurityPayload)是封装安全载荷协议,它除提供AH协议的所有功能之外(数据完整性校验不包括IP头),还可提供对IP报文的加密功能.
说明:AH和ESP可以单独使用,也可以同时使用.
对于AH和ESP,都有两种操作模式:传输模式和隧道模式.
工作模式将在后文介绍.
zIKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-2说明:IKE协商并不是必须的,IPSec所使用的策略和算法等也可以手工协商.
关于两种协商方式的比较,将在后文介绍.
4.
1.
2IPSec基本概念1.
安全联盟IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体.
IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度.
例如,某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护,并使用3DES(TripleDataEncryptionStandard,三重数据加密标准)进行加密;另一方面,策略可能规定来自另一个站点的数据流只使用ESP保护,并仅使用DES加密.
通过SA(SecurityAssociation,安全联盟),IPSec能够对不同的数据流提供不同级别的安全保护.
安全联盟是IPSec的基础,也是IPSec的本质.
SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的操作模式(传输模式和隧道模式)、加密算法(DES和3DES)、特定流中保护数据的共享密钥以及SA的生存周期等.
安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护.
同时,如果希望同时使用AH和ESP来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP.
安全联盟由一个三元组来唯一标识,这个三元组包括SPI(SecurityParameterIndex,安全参数索引)、目的IP地址、安全协议号(AH或ESP).
SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输.
安全联盟具有生存周期.
生存周期的计算包括两种方式:z以时间为限制,每隔指定长度的时间就进行更新;z以流量为限制,每传输指定的数据量(字节)就进行更新.
2.
IPSec协议的操作模式IPSec协议有两种操作模式:传输模式和隧道模式.
SA中指定了协议的操作模式.
在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前.
在隧道模式下,AH或ESP插在原始IP头之前,另外生成一个新头放到AH或ESP之前.
不同安全协议在传输模式和隧道模式下的数据封装形式(传输协议以TCP为例)如下图所示:H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-3模式协议transporttunnelAHESPAH-ESPESPdataESPTailIPHeaderESPAuthdataTCPHeaderIPHeaderAHdataTCPHeaderESPdataESPTailIPHeaderESPAuthdataTCPHeaderAHAHdatanewIPHeaderrawIPHeaderTCPHeaderESPdataESPTailnewIPHeaderESPAuthdataTCPHeaderrawIPHeaderESPdataESPTailnewIPHeaderESPAuthdataTCPHeaderrawIPHeaderAH图4-1安全协议数据封装格式从安全性来讲,隧道模式优于传输模式.
它可以完全地对原始IP数据报进行验证和加密;此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址.
从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头.
因此,到底使用哪种模式需要在安全性和性能间进行权衡.
3.
验证算法与加密算法(1)验证算法AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改.
验证算法的实现主要是通过杂凑函数.
杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要.
IPSec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的.
一般来说IPSec使用两种验证算法:zMD5:MD5通过输入任意长度的消息,产生128bit的消息摘要.
zSHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要.
SHA-1的摘要长于MD5,因而是更安全的.
(2)加密算法ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探.
加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密.
Comware中的IPSec实现了三种加密算法:zDES(DataEncryptionStandard):使用56bit的密钥对每个64bit的明文块进行加密.
z3DES(TripleDES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密.
zAES(AdvancedEncryptionStandard):Comware实现了128bit、192bit和256bit密钥长度的AES算法.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-44.
协商方式有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE自动协商(isakmp)方式.
前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IPSec的一些高级特性(例如定时更新密钥)不被支持,但优点是可以不依赖IKE而单独实现IPSec功能.
而后者则相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟.
当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的.
对于中、大型的动态网络环境中,推荐使用IKE协商建立安全联盟.
5.
IPSecDPDIPSecDPD(IPSecDeadPeerDetectionon-demand)为按需型IPSec/IKE安全隧道对端状态探测功能.
启动DPD功能后,当接收端长时间收不到对端的报文时,能够触发DPD查询,主动向对端发送请求报文,对IKEPeer是否存在进行检测.
与IPSec中原有的周期性Keepalive功能相比,DPD具有产生数据流量小、检测及时、隧道恢复快的优点.
在路由器与VRRP备份组的虚地址之间建立ISAKMPSA的应用方案中,DPD功能保证了VRRP备份组中主备切换时安全隧道能够迅速自动恢复.
解决了VRRP备份组主备切换使安全隧道通信中断的问题,扩展了IPSec的应用范围,提高了IPSec协议的健壮性.
该功能符合RFC3706、RFC2408.
(1)定时器IPSecDPD在发送和接收DPD报文中使用了两个定时器:intervaltime和timeout.
zintervaltime:触发DPD查询的间隔时间,该时间指明隔多久没有收到对端IPSec报文时触发DPD查询.
ztimeout:等待DPD应答报文超时时间.
(2)运行机制z发送端当启动了DPD功能以后,如在intervaltime定时器指定的时间间隔内没有收到对端的IPSec报文,且本端欲向对端发送IPSec报文时,DPD向对端发送DPD请求,并等待应答报文.
如果超过timeout定时器设定的超时时间仍然未收到正确的应答报文,DPD记录失败事件1次.
当失败事件达到3次时,删除ISAKMPSA和相应的IPSecSA.
对于路由器与VRRP备份组虚地址之间建立的IPSecSA,连续3次失败后,安全隧道同样会被删除,但是当有符合安全策略的报文重新触发安全联盟协商时,会重新建立起安全隧道.
切换时间的长短与timeout定时器的设置有关,定时器设定的H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-5超时时间越短,通信中断时间越短(注意:超时时间过短会增加网络开销,一般情况下采用缺省值即可).
z接收端收到请求报文后,发送响应报文.
4.
1.
3IPSec在Comware上的实现Comware实现了上述所介绍的IPSec的全部内容.
其实现方式是基于下列思路:通过IPSec,对等体之间(此处是指Comware所在路由器及其对端)能够对不同的数据流实施不同的安全保护(验证、加密或两者同时使用).
其中数据流的区分通过配置ACL来进行;安全保护所用到的安全协议、验证算法和加密算法、操作模式等通过配置安全提议来进行;数据流和安全提议的关联(即定义对何种数据流实施何种保护)、SA的协商方式、对等体IP地址的设置(即保护路径的起/终点)、所需要的密钥和SA的生存周期等通过配置安全策略来进行;最后在路由器的接口上实施安全策略即完成了IPSec的配置.
具体介绍如下:(1)定义被保护的数据流数据流是一组流量(traffic)的集合,由源地址/掩码、目的地址/掩码、IP报文承载的协议号、源端口号、目的端口号等来规定.
一个数据流用一个ACL来定义,所有匹配一个访问控制列表规则的流量,在逻辑上作为一个数据流.
一个数据流可以小到是两台主机之间单一的TCP连接;也可以大到是两个子网之间所有的流量.
IPSec能够对不同的数据流施加不同的安全保护,因此IPSec配置的第一步就是定义数据流.
(2)定义安全提议安全提议规定了对要保护的数据流所采用的安全协议、验证或加密算法、操作模式(即报文的封装方式)等.
Comware支持的AH和ESP安全协议,两者既可单独使用,也可结合使用.
其中,AH支持MD5和SHA-1验证算法;ESP协议支持MD5、SHA-1验证算法和DES、3DES、AES加密算法.
Comware支持的操作模式包括传输模式和隧道模式.
对同一数据流,对等体两端必须设置相同的协议、算法和操作模式.
另外,对于两个路由器(例如Comware路由器间)实施IPSec,建议采用隧道模式,以隐藏实际通信的源和目的IP地址.
因此,请先根据需要配置好一个安全提议,以便下一步将数据流和安全提议相关联.
(3)定义安全策略或安全策略组安全策略规定了对什么样的数据流采用什么样的安全提议.
一条安全策略由"名字"和"顺序号"共同唯一确定.
安全策略分为手工安全策略和IKE协商安全策略,前H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-6者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;后者则由IKE自动协商生成这些参数.
安全策略组是所有具有相同名称、不同顺序号的安全策略的集合.
在同一个安全策略组中,顺序号越小的安全策略,优先级越高.
(4)接口实施安全策略在接口上应用安全策略组,安全策略组中的所有安全策略同时应用在这个接口上,从而实现对流经这个接口的不同的数据流进行不同的安全保护.
4.
2IPSec配置1.
IPSec主要配置(1)配置访问控制列表(2)定义安全提议z创建IPSec安全提议z选择安全协议z选择安全算法z选择报文封装形式(3)创建安全策略包括手工创建安全策略和用IKE创建安全策略.
手工创建安全策略:z手工创建安全策略z在安全策略中引用安全提议z在安全策略中引用访问控制列表z配置隧道的起点和终点z配置安全联盟的SPIz配置安全联盟使用的密钥用IKE创建安全策略:z用IKE创建安全策略z在安全策略中引用安全提议z在安全策略中引用访问控制列表z在安全策略中引用IKE对等体z配置安全联盟生存周期(可选)z配置协商时使用的PFS特性H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-7在安全策略中可以根据需要引用IPSec安全提议.
(4)配置安全策略模板(可选)(5)在接口上应用安全策略(6)配置取消对nextpayload域的检查(可选)4.
2.
1定义访问控制列表IPSec使用扩展访问控制列表来判断哪些报文需要受到保护,哪些则不需要.
用于IPSec的扩展访问控制列表的作用不同于在防火墙中所介绍的扩展访问控制列表.
一般的扩展访问控制列表是用来决定一个接口上哪些数据可通过,哪些要被拒绝;而IPSec是根据扩展访问控制列表中的规则来确定哪些报文需要安全保护,哪些报文不需要安全保护,故用于IPSec的扩展访问控制列表可称为加密访问控制列表.
加密访问控制列表匹配(permit)的报文将被保护,加密访问控制列表拒绝(deny)的报文将不被保护.
加密访问控制列表既可用于加密入口数据流,也可用于加密出口数据流.
访问控制列表的具体配置请参见本手册的"安全"部分.
在本地和远端路由器上定义的加密访问控制列表应该是相对应的(即互为镜像),这样在某一端加密的数据才能在对端上被解密.
否则,会造成一端不能解密另一端发来的数据.
例如:本端:aclnumber3101rule1permitipsource173.
1.
1.
00.
0.
0.
255destination173.
2.
2.
00.
0.
0.
255对端:aclnumber3101rule1permitipsource173.
2.
2.
00.
0.
0.
255destination173.
1.
1.
00.
0.
0.
255说明:zIPSec对访问控制列表(ACL)中permit的数据流进行保护,因此建议用户精确地配置ACL,只对确实需要IPSec保护的数据流配置permit,避免盲目地使用关键字any.
z建议用户将本端和对端的ACL配置成互为镜像.
否则,会造成一端不能解密另一端发来的数据.
当用户使用displayaclall命令来浏览路由器的访问控制列表,所有扩展IP访问控制列表都将显示在命令的输出中,即同时包括了用于通信过滤和用于加密的扩展IP访问控制列表,该命令的输出信息不区分这两种不同用途的扩展访问控制列表.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-84.
2.
2定义安全提议安全提议保存IPSec需要使用的特定安全性协议以及加密/验证算法,为IPSec协商安全联盟提供各种安全参数.
为了能够成功的协商IPSec的安全联盟,两端必须使用相同的安全提议.
安全提议的配置包括:z创建安全提议z设置安全协议对IP报文的封装模式z选择安全协议z选择安全算法1.
创建安全提议安全提议是用于实施IPSec保护而采用的安全协议、算法、报文封装形式的一个组合.
一条安全策略通过引用一个或多个安全提议来确定采用的安全协议、算法和报文封装形式.
在安全策略引用一个安全提议之前,这个安全提议必须已经建立.
可对安全提议进行修改,但对已协商成功的安全联盟,新修改的安全提议并不起作用,即安全联盟仍然使用原来的安全提议(除非使用resetipsecsa命令重置),只有新协商的安全联盟将使用新的安全提议.
请在系统视图下进行下列配置.
表4-1配置安全提议操作命令创建安全提议并进入安全提议视图(适用于Comware主体软件IPSec)ipsecproposalproposal-name删除安全提议(适用于Comware主体软件IPSec)undoipsecproposalproposal-name缺省情况下,未配置安全提议.
2.
选择报文封装形式在安全提议中需要指定报文封装模式,安全隧道的两端所选择的IP报文封装模式必须一致.
请在安全提议视图下进行下列配置.
表4-2选择报文封装形式操作命令设置安全协议对IP报文的封装形式encapsulation-mode{transport|tunnel}恢复缺省报文封装形式undoencapsulation-modeH3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-9通常,在两个路由器之间,总是使用隧道模式.
而在两台主机之间的通讯,或者是一台主机和一个路由器之间的通讯选择传输模式.
缺省情况下采用tunnel,即隧道模式.
3.
选择安全协议安全提议中需要选择所采用的安全协议.
目前可选的安全协议有AH和ESP,也可指定同时使用AH与ESP.
安全隧道两端所选择的安全协议必须一致.
请在安全提议视图下进行下列配置.
表4-3选择安全协议操作命令设置安全提议采用的安全协议transform{ah|ah-esp|esp}恢复缺省的安全协议undotransform缺省情况下采用esp,即RFC2406规定的ESP协议.
4.
选择安全算法不同的安全协议可以采用不同的验证算法和加密算法.
目前,AH支持MD5和SHA-1验证算法;ESP协议支持MD5、SHA-1验证算法和DES、3DES、AES加密算法.
请在安全提议视图下进行下列配置.
表4-4选择安全算法操作命令设置ESP协议采用的加密算法espencryption-algorithm{3des|des|aes}设置ESP协议不对报文进行加密undoespencryption-algorithm设置ESP协议采用的验证算法espauthentication-algorithm{md5|sha1}设置ESP协议不对报文进行验证undoespauthentication-algorithm设置AH协议采用的验证算法ahauthentication-algorithm{md5|sha1}恢复AH协议缺省的验证算法undoahauthentication-algorithmESP协议允许对报文同时进行加密和验证,或只加密,或只验证.
注意,undoespauthentication-algorithm命令不是恢复验证算法为缺省算法,而是设置验证算法为空,即不验证.
当加密算法为空时,undoespauthentication-algorithm命令失效.
AH协议没有加密的功能,只对报文进行验证.
undoahauthentication-algorithm命令用来恢复AH协议缺省验证算法(md5).
在安全隧道的两端设置的安全策略所引用的安全提议必须设置成采用同样的验证算法和/或加密算法.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-10Comware主体软件中ESP协议支持的安全加密算法有三种:des、3des和aes;支持的安全认证算法有hmac-md5和hmac-sha1.
Comware主机软件中AH协议支持的认证算法有hmac-md5和hmac-sha1两种.
缺省情况下,ESP协议采用的加密算法是des,采用的验证算法是md5;AH协议采用的验证算法是md5.
说明:必须首先通过transform命令选择了相应的安全协议后,该安全协议所需的安全算法才可配置.
例如,如果使用transform命令选择了esp,那么只有ESP所需的安全算法才可配置,而AH所需的安全算法则不能配置.
4.
2.
3创建安全策略安全策略规定了对什么样的数据流采用什么样的安全提议.
安全策略分为手工安全策略和IKE协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;后者则由IKE自动协商生成这些参数.
说明:本节将全面介绍安全策略的各项配置,包括手工协商方式所需的配置和IKE协商所需的配置.
对于仅用于某种协商方式下的配置,会特别标明;没有特别标明的配置项,则表示手工方式和IKE协商方式下均需配置.
1.
手工创建安全策略(1)手工创建安全策略一旦安全策略已经创建,就不能再修改它的协商方式.
例如:创建了manual方式的安全策略,就不能修改成isakmp方式,而必须先删除这条安全策略然后再重新创建.
请在系统视图下进行下列配置.
表4-5创建安全策略操作命令用手工方式创建安全联盟的安全策略ipsecpolicypolicy-nameseq-numbermanual修改安全联盟的安全策略ipsecpolicypolicy-nameseq-numbermanual删除安全策略undoipsecpolicypolicy-name[seq-number]H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-11具有相同名称、不同顺序号的安全策略共同构造一个安全策略组,在一个安全策略组中最大可以设置500条安全策略.
并且,所有安全策略的总数也不能超过500.
在一个安全策略组中,顺序号越小的安全策略,优先级越高.
缺省情况下,没有安全策略存在.
(2)配置在安全策略中引用安全提议安全策略通过引用安全提议来确定采用的安全协议、算法和报文封装形式.
在引用一个安全提议之前,这个安全提议必须已经建立.
请在安全策略视图下进行下列配置.
表4-6在安全策略中应用安全提议操作命令设置安全策略所引用的安全提议proposalproposal-name1[proposal-name2.
.
.
proposal-name6]取消安全策略引用的安全提议undoproposal[proposal-name]通过手工(manual)方式建立安全联盟,一条安全策略只能引用一个安全提议,并且如果已经设置了安全提议,必须先取消原先的安全提议才能设置新的安全提议.
在安全隧道的两端设置的安全策略所引用的安全提议必须设置成采用同样的安全协议、算法和报文封装形式.
(3)配置在安全策略中引用的访问控制列表安全策略引用访问控制列表,IPSec根据该访问控制列表中的规则来确定哪些报文需要安全保护,哪些报文不需要安全保护:访问控制列表匹配(permit)的报文被保护,访问控制列表拒绝(deny)的报文不被保护.
请在安全策略视图下进行下列配置.
表4-7设置安全策略引用的访问控制列表操作命令设置安全策略引用的访问控制列表securityaclacl-number取消安全策略引用的访问控制列表undosecurityacl一条安全策略只能引用一条访问控制列表,如果设置安全策略引用了多于一个访问控制列表,最后配置的那条访问控制列表才有效.
(4)配置隧道的起点与终点通常人们把应用安全策略的通道称为"安全隧道".
安全隧道是建立在本端和对端网关之间,所以必须正确设置本端地址和对端地址才能成功地建立起一条安全隧道.
请在安全策略视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-12表4-8配置隧道的起点与终点操作命令设置安全策略的本端地址tunnellocalip-address删除在安全策略中设定的本端地址undotunnellocal设置安全策略的对端地址tunnelremoteip-address删除安全策略中设置的对端地址undotunnelremote[ip-address]对于manual方式的安全策略,必须正确设置本端地址和对端地址才能成功地建立一条安全隧道,而isakmp方式的安全策略则不需要配置本端和对端地址,通过安全联盟自动协商可以获得.
(5)配置安全联盟的SPI此配置任务仅用于manual方式的安全策略.
用下列命令手工配置安全联盟的SPI,实现手工创建安全联盟(对于isakmp方式的安全策略,不需要手工配置,IKE将自动协商安全联盟的SPI并创建安全联盟).
请在安全策略视图下进行下列配置.
表4-9配置安全联盟的SPI操作命令配置安全联盟的SPIsaspi{inbound|outbound}{ah|esp}spi-number删除安全联盟的SPIundosaspi{inbound|outbound}{ah|esp}在为系统配置安全联盟时,必须分别设置inbound和outbound两个方向的安全联盟的参数.
在安全隧道的两端设置的安全联盟参数必须是完全匹配的.
本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样.
(6)配置安全联盟使用的密钥此配置任务仅用于manual方式的安全策略,用如下命令手工输入安全联盟的密钥(对于采用isakmp协商方式的安全策略,无需手工配置密钥,IKE将自动协商安全联盟的密钥).
请在安全策略视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-13表4-10配置安全联盟使用的密钥操作命令配置协议的验证密钥(以16进制方式输入)saauthentication-hex{inbound|outbound}{ah|esp}hex-key配置协议的密钥(以字符串方式输入)sastring-key{inbound|outbound}{ah|esp}string-key配置ESP协议的加密密钥(以16进制方式输入)saencryption-hex{inbound|outbound}esphex-key删除设置的安全联盟的参数undosastring-key{inbound|outbound}{ah|esp}undosaauthentication-hex{inbound|outbound}{ah|esp}undoencryption-hex{inbound|outbound}esp在安全隧道的两端设置的安全联盟参数必须是完全匹配的.
本端的入方向安全联盟的SPI及密钥必须和对端的出方向安全联盟的SPI及密钥一样;本端的出方向安全联盟的SPI及密钥必须和对端的入方向安全联盟的SPI及密钥一样.
如果分别以两种方式输入了密钥,则最后设定的密钥有效.
在安全隧道的两端,应当以相同的方式输入密钥.
如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道.
2.
用IKE创建安全策略IKE创建安全策略的配置包括:z用IKE创建安全策略z配置安全策略中引用的安全提议z配置安全策略引用的访问控制列表z配置安全策略引用的IKE对等体z配置安全联盟的生存时间(可选)z配置协商时使用的PFS特性(可选)z配置IPSecDPD(可选)(1)用IKE创建安全策略请在系统视图下进行下列配置.
表4-11创建安全策略操作命令用IKE创建安全策略,进入安全策略视图ipsecpolicypolicy-nameseq-numberisakmp用IKE并采用策略模板动态创建安全策略ipsecpolicypolicy-nameseq-numberisakmp[templatetemplate-name]H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-14操作命令修改通过IKE协商建立的安全策略ipsecpolicypolicy-nameseq-numberisakmp删除安全策略undoipsecpolicypolicy-name[seq-number]若采用策略模板动态创建安全策略,则必须预先定义策略模板,策略模板的定义请参见4.
2.
4配置安全策略模板.
(2)配置在安全策略中引用安全提议安全策略通过引用安全提议来确定采用的安全协议、算法和报文封装形式.
在引用一个安全提议之前,这个安全提议必须已经建立.
请在安全策略视图下进行下列配置.
表4-12在安全策略中应用安全提议操作命令设置安全策略所引用的安全提议proposalproposal-name1[proposal-name2.
.
.
proposal-name6]取消安全策略引用的安全提议undoproposal[proposal-name]通过手工(manual)方式建立安全联盟,一条安全策略只能引用一个安全提议,并且如果已经设置了安全提议,必须先取消原先的安全提议才能设置新的安全提议.
在安全隧道的两端设置的安全策略所引用的安全提议必须设置成采用同样的安全协议、算法和报文封装形式.
(3)配置在安全策略中引用的访问控制列表安全策略引用访问控制列表,IPSec根据该访问控制列表中的规则来确定哪些报文需要安全保护,哪些报文不需要安全保护:访问控制列表匹配(permit)的报文被保护,访问控制列表拒绝(deny)的报文不被保护.
请在安全策略视图下进行下列配置.
表4-13设置安全策略引用的访问控制列表操作命令设置安全策略引用的访问控制列表securityaclacl-number取消安全策略引用的访问控制列表undosecurityacl一条安全策略只能引用一条访问控制列表,如果设置安全策略引用了多于一个访问控制列表,最后配置的那条访问控制列表才有效.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-15通过IKE(isakmp)协商建立安全联盟,一条安全策略最多可以引用六个安全提议,IKE协商将在安全隧道的两端搜索能够完全匹配的安全提议.
如果IKE在两端找不到完全匹配的安全提议,则安全联盟不能建立,需要被保护的报文将被丢弃.
(4)配置在安全策略中引用IKE对等体对于IKE协商方式,无需像手工方式那样配置对等体、SPI和密钥等参数,IKE将自动协商它们,因而仅需要将安全策略和IKEPeer关联即可.
在引用一个IKE对等体之前,该IKE对等体必须已经建立.
请在安全策略视图下进行下列配置.
表4-14设置安全策略引用的访问控制列表操作命令在安全策略中引用IKE对等体.
ike-peerpeer-name取消在安全策略中引用IKE对等体.
undoike-peer[peer-name]说明:本章仅介绍了IPSec对IKEPeer的引用,实际在IKEPeer视图下还需要进行一些IKE相关参数的设置,包括IKE的协商模式、ID类型、NAT穿越、共享密钥、对端地址和对端名称等.
有关IKEPeer的配置,请参考下一章的内容.
(5)配置安全联盟的生存周期(可选)(a)配置全局的安全联盟生存周期所有在安全策略视图下没有单独配置生存周期的安全联盟,都采用全局生存周期.
IKE为IPSec协商建立安全联盟时,对于IKE第1阶段,安全联盟的生存周期由发起方决定;对于IKE第2阶段,采用本地设置的和对端提议的生存周期中较小的一个.
有两种类型的生存周期:"基于时间"的生存周期和"基于流量"的生存周期.
无论哪一种类型的生存周期先到期,安全联盟都会失效.
安全联盟快要失效前,IKE将为IPSec协商建立新的安全联盟,这样在旧的安全联盟失效时新的安全联盟就已经准备好.
请在系统视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-16表4-15配置全局的安全联盟生存周期操作命令设置全局的安全联盟(SA)生存周期ipsecsaglobal-duration{traffic-basedkilobytes|time-basedseconds}恢复全局的安全联盟(SA)生存周期为缺省值undoipsecsaglobal-duration{traffic-based|time-based}改变全局生存周期,不会影响单独配置了自己的生存周期的安全策略,也不会对已经建立的安全联盟产生影响,但是在以后的IKE协商中会用于建立新的安全联盟.
生存周期只对通过isakmp方式建立的安全联盟有效,对通过manual方式建立的安全联盟没有生存周期的限制,即手工建立的安全联盟永远不会失效.
(b)配置安全联盟的生存周期为安全策略设置单独的安全联盟生存周期,如果没有单独设置生存周期,则采用设定的全局生存周期.
IKE为IPSec协商建立安全联盟时,对于IKE第1阶段,安全联盟的生存周期由发起方决定;对于IKE第2阶段,采用本地设置的和对端提议的生存周期中较小的一个.
请在安全策略视图下进行下列配置.
表4-16配置安全联盟生存周期操作命令设置安全策略安全联盟的生存周期saduration{traffic-basedkilobytes|time-basedseconds}恢复使用设定的全局生存周期undosaduration{traffic-based|time-based}改变生存周期,不会影响已经建立的安全联盟,但是在以后的IKE协商中会用于建立新的安全联盟.
(6)配置协商时使用的PFS特性(可选)PFS(PerfectForwardSecrecy,完善的前向安全性)是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系.
此特性是通过在IKE阶段2的协商中增加密钥交换来实现的.
请在安全策略视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-17表4-17设置协商时使用的PFS特性操作命令设置协商时使用的PFS特性pfs{dh-group1|dh-group2|dh-group5|dh-group14}设置在协商时不使用PFS特性undopfsIKE在使用此安全策略发起一个协商时,进行一个PFS交换.
如果本端指定了PFS,对端在发起协商时必须是PFS交换.
本端和对端指定的DH组必须一致,否则协商会失败.
group1、group2、group5、group14能够依次提供更高的安全性,但是需要更长的计算时间.
缺省情况下,不使用PFS特性.
(7)配置IPSecDPD(可选)z创建DPD结构请在系统视图下进行下面配置.
表4-18创建DPD结构并进入DPD结构视图操作命令创建DPD结构并进入DPD结构视图ikedpddpd-name删除一个DPD结构undoikedpddpd-nameDPD数据结构(简称为DPD结构)用于配置DPD查询参数,包括DPD查询时间间隔及等待DPD应答报文超时时间间隔.
该数据结构可以被多个IKEPeer引用,这样用户不必针对接口一一进行重复配置.
如果DPD结构已经被IKEPeer引用,则不能删除.
z配置定时器请在DPD结构视图下进行下面配置.
表4-19配置定时器操作命令配置触发DPD查询的时间间隔interval-timeseconds恢复触发DPD查询的时间间隔的缺省值undointerval-time配置等待DPD应答报文的超时时间time-outseconds恢复等待DPD应答报文超时时间为缺省值undotime-out缺省情况下,DPD查询的时间间隔为10秒,等待DPD应答报文的超时时间为5秒.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-18z为IKEPeer指定DPD结构请在IKEPeer视图下进行下面配置.
表4-20为IKEPeer指定DPD结构操作命令为IKEPeer指定DPD结构dpddpd-name取消IKEPeer的DPD结构undodpd4.
2.
4配置安全策略模板在采用IKE方式创建安全策略时,除直接在安全策略视图下配置安全策略外,还可以通过引用安全策略模板来创建安全策略.
在这种情况下,我们应先在安全策略模板中配置好所有的安全策略.
安全策略模板的配置与普通的安全策略配置相似,首先创建一个策略模板,然后配置模板的参数.
请在系统视图下进行下列配置.
表4-21创建安全策略模板操作命令创建/修改IPSec安全策略模板ipsecpolicy-templatetemplate-nameseq-number删除安全策略模板undoipsecpolicy-templatepolicy-template-name[seq-number]执行上面的创建命令,会进入IPSec策略模板视图,在此视图下,可以配置策略模板的参数.
说明:安全策略模板可配置的参数与isakmp方式的IPSec安全策略相同,只是很多参数是可选的.
必须配置的参数只有IPSec安全提议,而隧道对端地址、保护的数据流、PFS特性可以不配置.
但需要注意:如果配置了这些参数中的一个或几个,则在协商时这些参数必须匹配.
在策略模板配置完成后,还需要使用如下命令引用所定义的策略模板:H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-19表4-22引用安全策略模板操作命令引用IPSec安全策略模板ipsecpolicypolicy-nameseq-numberisakmptemplatetemplate-name当某一个安全策略引用了安全策略模板后,就不能够再进入其安全策略视图下配置或修改安全策略了,只能进入安全策略模板视图下配置或修改.
注意:不能用应用策略模板的安全策略来发起安全联盟的协商,但可以响应协商.
4.
2.
5在接口上应用安全策略组为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密路由器配合进行报文的加密处理.
当安全策略组被从接口上删除后,此接口便不再具有IPSec的安全保护功能.
请在接口视图下进行下列配置.
表4-23应用安全策略组操作命令应用安全策略组ipsecpolicypolicy-name取消应用的安全策略组undoipsecpolicy[policy-name]一个接口只能应用一个安全策略组,一个安全策略组可以应用到多个接口上.
但手工方式配置的安全策略只能应用到一个接口.
当从一个接口发送报文时,将按照从小到大的顺序号查找安全策略组中每一条安全策略.
如果报文匹配了一条安全策略引用的访问控制列表,则使用这条安全策略对报文进行处理;如果报文没有匹配安全策略引用的访问控制列表,则继续查找下一条安全策略;如果报文对所有安全策略引用的访问控制列表都不匹配,则报文直接被发送(IPSec不对报文加以保护).
路由器实现的IPSec安全策略除了可以应用到串口、以太网口等实际物理接口上之外,还能够应用到Tunnel、VirtualTemplate等虚接口上.
这样就可以根据实际组网要求,在如GRE、L2TP等隧道上应用IPSec.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-204.
2.
6配置取消对nextpayload域的检查Nextpayload是指在IKE协商报文(由几个payload组装而成)的最后一个payload的通用头中NextPayload域.
按协议规定该域必须为0,但某些公司的设备会将该域赋其它值,为增强设备的互通性,可以通过以下命令取消IPSec协商过程对该域的检查.
表4-24配置取消对nextpayload域的检查操作命令配置在IPSec协商过程中取消对最后一个payload的nextpayload域的检查ikenext-payloadcheckdisabled恢复缺省设置undoikenext-payloadcheckdisabled缺省情况下,检查nextpayload域.
4.
3IPSec显示与调试4.
3.
1Comware主体软件IPSec的显示与调试1.
IPSec显示与调试IPSec提供以下命令显示安全联盟、安全联盟生存周期、安全提议、安全策略的信息以及IPSec处理的报文的统计信息.
display命令可在所有视图下进行操作,debugging命令只能在用户视图下操作.
表4-25IPSec显示与调试操作命令显示安全联盟的相关信息displayipsecsa[brief|remoteip-address|policypolicy-name[seq-number]|duration]显示IPSec的隧道信息displayipsectunnel显示IPSec处理报文的统计信息displayipsecstatistics显示安全提议的信息displayipsecproposal[proposal-name]显示安全策略的信息displayipsecpolicy[brief|namepolicy-name[seq-number]]显示安全策略模板的信息displayipsecpolicy-template[brief|namepolicy-name[seq-number]]显示DPD的配置信息displayikedpd[dpd-name]打开IPSec的调试功能debuggingipsec{all|sa|packet[policypolicy-name[seq-number]|parametersip-addressprotocolspi-number]|misc}H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-21操作命令禁止IPSec的调试功能undodebuggingipsec{all|sa|packet[policypolicy-name[seq-number]|parametersip-addressprotocolspi-number]|misc}打开DPD的调试功能debuggingikedpd禁止DPD的调试功能undodebuggingikedpd2.
清除IPSec的报文统计信息此配置任务清除IPSec的报文统计信息,所有的统计信息都被设置成0.
请在用户视图下进行下列操作.
表4-26清除IPSec的报文统计信息操作命令清除IPSec的报文统计信息resetipsecstatistics3.
删除安全联盟此配置任务删除已经建立的安全联盟(无论是手工建立的还是通过IKE协商建立的).
如果未指定参数,则删除所有的安全联盟.
请在用户视图下进行下列操作.
表4-27删除安全联盟操作命令删除安全联盟resetipsecsa[remoteip-address|policypolicy-name[seq-number]|parametersip-addressprotocolspi-number]对于通过IKE协商建立的安全联盟,被删除后如果有报文重新触发IKE协商,IKE将重新协商建立安全联盟.
对于手工建立的安全联盟,被删除后系统会根据手工设置的参数立即创建新的安全联盟.
如果指定参数parameters,由于安全联盟是成对出现的,删除了一个方向安全联盟,另一个方向安全联盟也随之被删除.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-224.
4IPSec典型配置案例4.
4.
1采用manual方式建立安全联盟的配置1.
组网需求在RouterA和RouterB之间建立一个安全隧道,对PCA代表的子网(10.
1.
1.
x)与PCB代表的子网(10.
1.
2.
x)之间的数据流进行安全保护.
安全协议采用ESP协议,加密算法采用DES,验证算法采用SHA1-HMAC-96.
2.
组网图10.
1.
1.
1RouterAInternetGE3/0202.
38.
162.
1GE3/0202.
38.
163.
1RouterB10.
1.
2.
1PCA10.
1.
1.
2PCB10.
1.
2.
2图4-2IPSec配置组网图3.
配置步骤(1)配置RouterA#配置一个访问控制列表,定义由子网10.
1.
1.
x去子网10.
1.
2.
x的数据流.
[H3C]aclnumber3101[H3C-acl-adv-3101]rulepermitipsource10.
1.
1.
00.
0.
0.
255destination10.
1.
2.
00.
0.
0.
255[H3C-acl-adv-3101]ruledenyipsourceanydestinationany#配置到PCB的静态路由.
[H3C]iproute-static10.
1.
2.
0255.
255.
255.
0202.
38.
162.
1#创建名为tran1的安全提议.
[H3C]ipsecproposaltran1#报文封装形式采用隧道视图.
[H3C-ipsec-proposal-tran1]encapsulation-modetunnel#安全协议采用ESP协议.
[H3C-ipsec-proposal-tran1]transformesp#选择算法.
[H3C-ipsec-proposal-tran1]espencryption-algorithmdesH3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-23[H3C-ipsec-proposal-tran1]espauthentication-algorithmsha1#退回到系统视图.
[H3C-ipsec-proposal-tran1]quit#创建一条安全策略,协商方式为manual.
[H3C]ipsecpolicymap110manual#引用访问控制列表.
[H3C-ipsec-policy-manual-map1-10]securityacl3101#引用安全提议.
[H3C-ipsec-policy-manual-map1-10]proposaltran1#设置对端地址.
[H3C-ipsec-policy-manual-map1-10]tunnelremote202.
38.
162.
1#设置本端地址.
[H3C-ipsec-policy-manual-map1-10]tunnellocal202.
38.
163.
1#设置SPI.
[H3C-ipsec-policy-manual-map1-10]saspioutboundesp12345[H3C-ipsec-policy-manual-map1-10]saspiinboundesp54321#设置密钥.
[H3C-ipsec-policy-manual-map1-10]sastring-keyoutboundespabcdefg[H3C-ipsec-policy-manual-map1-10]sastring-keyinboundespgfedcba[H3C-isec-policy-manual-map1-10]quit#配置GigabitEthernet3/0.
[H3C]interfacegigabitethernet3/0[H3C-GigabitEthernet3/0]ipaddress202.
38.
163.
1255.
0.
0.
0#应用安全策略组.
[H3C-GigabitEthernet3/0]ipsecpolicymap1(2)配置RouterB#配置一个访问控制列表,定义由子网10.
1.
2.
x去子网10.
1.
1.
x的数据流.
[H3C]aclnumber3101[H3C-acl-adv-3101]rulepermitipsource10.
1.
2.
00.
0.
0.
255destination10.
1.
1.
00.
0.
0.
255[H3C]ruledenyipsourceanydestinationany#配置到PCA的静态路由.
[H3C]iproute-static10.
1.
1.
0255.
255.
255.
0202.
38.
163.
1#创建名为tran1的安全提议.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-24[H3C]ipsecproposaltran1#报文封装形式采用隧道模式.
[H3C-ipsec-proposal-tran1]encapsulation-modetunnel#安全协议采用ESP协议.
[H3C-ipsec-proposal-tran1]transformesp#选择算法.
[H3C-ipsec-proposal-tran1]espencryption-algorithmdes[H3C-ipsec-proposal-tran1]espauthentication-algorithmsha1#退回到系统视图.
[H3C-ipsec-proposal-tran1]quit#创建一条安全策略,协商方式为manual.
[H3C]ipsecpolicyuse110manual#引用访问控制列表.
[H3C-ipsec-policyl-manual-use1-10]securityacl3101#引用安全提议.
[H3C-ipsec-policyl-manual-use1-10]proposaltran1#设置对端地址.
[H3C-ipsec-policyl-manual-use1-10]tunnelremote202.
38.
163.
1#设置本端地址.
[H3C-ipsec-policyl-manual-use1-10]tunnellocal202.
38.
162.
1#设置SPI.
[H3C-ipsec-policyl-manual-use1-10]saspioutboundesp54321[H3C-ipsec-policyl-manual-use1-10]saspiinboundesp12345#设置密钥.
[H3C-ipsec-policyl-manual-use1-10]sastring-keyoutboundespgfedcba[H3C-ipsec-policyl-manual-use1-10]sastring-keyinboundespabcdefg[H3C-ipsec-policyl-manual-use1-10]quit#配置GigabitEthernet3/0.
[H3C]interfacegigabitethernet3/0#配置的IP地址.
[H3C-GigabitEthernet3/0]ipaddress202.
38.
162.
1255.
0.
0.
0#应用安全策略组.
[H3C-GigabitEthernet3/0]ipsecpolicyuse1H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-25以上配置完成后,RouterA和RouterB之间的安全隧道就建立好了,子网10.
1.
1.
x与子网10.
1.
2.
x之间的数据流将被加密传输.
4.
4.
2采用isakmp方式建立安全联盟的配置1.
组网需求如上例图所示,在RouterA和RouterB之间建立一个安全隧道,对PCA代表的子网(10.
1.
1.
x)与PCB代表的子网(10.
1.
2.
x)之间的数据流进行安全保护.
安全协议采用ESP协议,加密算法采用DES,验证算法采用SHA1-HMAC-96.
2.
组网图见图4-2.
3.
配置步骤(1)配置RouterA#配置一个访问控制列表,定义由子网10.
1.
1.
x去子网10.
1.
2.
x的数据流.
[H3C]aclnumber3101[H3C-acl-adv-3101]rulepermitipsource10.
1.
1.
00.
0.
0.
255destination10.
1.
2.
00.
0.
0.
255[H3C-acl-adv-3101]ruledenyipsourceanydestinationany#配置到PCB的静态路由.
[H3C]iproute-static10.
1.
2.
0255.
255.
255.
0202.
38.
162.
1#创建名为tran1的安全提议.
[H3C]ipsecproposaltran1#报文封装形式采用隧道模式.
[H3C-ipsec-proposal-tran1]encapsulation-modetunnel#安全协议采用ESP协议.
[H3C-ipsec-proposal-tran1]transformesp#选择算法.
[H3C-ipsec-proposal-tran1]espencryption-algorithmdes[H3C-ipsec-proposal-tran1]espauthentication-algorithmsha1#退回到系统视图.
[H3C-ipsec-proposal-tran1]quit#配置IKE对等体.
[H3C]ikepeerpeer[H3C-ike-peer-peer]pre-shared-keyabcde[H3C-ike-peer-peer]remote-address202.
38.
162.
1H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-26#创建一条安全策略,协商方式为isakmp.
[H3C]ipsecpolicymap110isakmp#引用安全提议.
[H3C-ipsec-policy-isakmp-map1-10]proposaltran1#引用访问控制列表.
[H3C-ipsec-policy-isakmp-map1-10]securityacl3101#引用IKE对等体.
[H3C-ipsec-policy-isakmp-map1-10]ike-peerpeer#退回到系统视图.
[H3C-ipsec-policy-isakmp-map1-10]quit#进入配置视图.
[H3C]interfacegigabitethernet3/0#配置的IP地址.
[H3C-GigabitEthernet3/0]ipaddress202.
38.
163.
1255.
0.
0.
0#应用安全策略组.
[H3C-GigabitEthernet3/0]ipsecpolicymap1#退回到系统视图.
[H3C-GigabitEthernet3/0]quit(2)配置RouterB:#配置一个访问控制列表,定义由子网10.
1.
2.
x去子网10.
1.
1.
x的数据流.
[H3C]aclnumber3101[H3C-acl-adv-3101]rulepermitipsource10.
1.
2.
00.
0.
0.
255destination10.
1.
1.
00.
0.
0.
255[H3C-acl-adv-3101]ruledenyipsourceanydestinationany#配置到PCA的静态路由.
[H3C]iproute-static10.
1.
1.
0255.
255.
255.
0202.
38.
163.
1#创建名为tran1的安全提议.
[H3C]ipsecproposaltran1#报文封装形式采用隧道模式.
[H3C-ipsec-proposal-tran1]encapsulation-modetunnel#安全协议采用ESP协议.
[H3C-ipsec-proposal-tran1]transformesp#选择算法.
[H3C-ipsec-proposal-tran1]espencryption-algorithmdesH3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-27[H3C-ipsec-proposal-tran1]espauthentication-algorithmsha1#退回到系统视图.
[H3C-ipsec-proposal-tran1]quit#配置IKE对等体.
[H3C]ikepeerpeer[H3C-ike-peer-peer]pre-shared-keyabcde[H3C-ike-peer-peer]remote-address202.
38.
163.
1#创建一条安全策略,协商方式为isakmp.
[H3C]ipsecpolicyuse110isakmp#引用访问控制列表.
[H3C-ipsec-policy-isakmp-use1-10]securityacl3101#引用安全提议.
[H3C-ipsec-policy-isakmp-use1-10]proposaltran1#引用IKE对等体.
[H3C-ipsec-policy-isakmp-map1-10]ike-peerpeer#退回到系统视图.
[H3C-ipsec-policy-isakmp-use1-10]quit#进入配置视图.
[H3C]interfacegigabitethernet3/0#配置的IP地址.
[H3C-GigabitEthernet3/0]ipaddress202.
38.
162.
1255.
0.
0.
0#应用安全策略组.
[H3C-GigabitEthernet3/0]ipsecpolicyuse1#退回到系统视图.
[H3C-GigabitEthernet3/0]quit以上配置完成后,RouterA和RouterB之间如果有子网10.
1.
1.
x与子网10.
1.
2.
x之间的报文通过,将触发IKE进行协商建立安全联盟.
IKE协商成功并创建了安全联盟后,子网10.
1.
1.
x与子网10.
1.
2.
x之间的数据流将被加密传输.
4.
4.
3路由器与VRRP备份组虚地址之间建立SA配置举例1.
组网需求总公司把RouterA和RouterB组成的VRRP备份组作为自己的缺省网关.
RouterC与VRRP备份组的虚地址之间建立IPSecSA,保护总公司与分公司之间的数据流.
RouterD、RouterE为运营商的接入路由器,这里不作重点说明.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-282.
组网图Internet主机B12.
0.
0.
1GE2/0:11.
0.
0.
1GE2/0:11.
0.
0.
3VRRPID2:11.
0.
0.
511.
0.
0.
7主机ARouterARouterBRouterCGE1/0:10.
0.
0.
1GE1/0:10.
0.
0.
3VRRPID1:10.
0.
0.
5GE1/0:13.
0.
0.
1GE2/0:12.
0.
0.
2总公司分公司GE2/0:10.
0.
0.
4RouterERouterDGE1/0:13.
0.
0.
4图4-3路由器与VRRP备份组虚地址之间建立SA配置举例3.
配置步骤(1)配置RouterA#配置RouterA为VRRP备份组的Master.
system[H3C]vrrpping-enable[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]ipaddress10.
0.
0.
1255.
255.
255.
0[H3C-GigabitEthernet1/0]vrrpvrid1virtual-ip10.
0.
0.
5[H3C-GigabitEthernet1/0]vrrpvrid1priority120[H3C-GigabitEthernet1/0]vrrpvrid1preempt-modetimerdelay5[H3C-GigabitEthernet1/0]interfacegigabitethernet2/0[H3C-GigabitEthernet2/0]ipaddress11.
0.
0.
1255.
255.
255.
0[H3C-GigabitEthernet2/0]vrrpvrid2virtual-ip11.
0.
0.
5[H3C-GigabitEthernet2/0]vrrpvrid2priority120[H3C-GigabitEthernet2/0]vrrpvrid2preempt-modetimerdelay5[H3C-GigabitEthernet2/0]quitH3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-29#配置IPSec保护的数据流.
[H3C]aclnumber3101[H3C-acl-adv-3101]rule0permitipsource11.
0.
0.
00.
0.
0.
255destination12.
0.
0.
00.
0.
0.
255[H3C-acl-adv-3101]ruledenyipsourceanydestinationany[H3C-acl-adv-3101]quit#配置到主机B的静态路由.
[H3C]iproute-static0.
0.
0.
00.
0.
0.
010.
0.
0.
4preference60#配置IPSecDPD.
[H3C]ikedpddpd1[H3C-ike-dpd-dpd1]interval-time10[H3C-ike-dpd-dpd1]time-out5[H3C-ike-dpd-dpd1]quit#创建名为tran1的安全提议(内容略).
[H3C]ipsecproposaltran1#配置IKE对等体.
[H3C]ikepeerpeer[H3C-ike-peer-peer]pre-shared-keyabcde[H3C-ike-peer-peer]remote-address13.
0.
0.
1[H3C-ike-peer-peer]local-address10.
0.
0.
5[H3C-ike-peer-peer]dpddpd1[H3C-ike-peer-peer]quit#创建一条安全策略,协商方式为isakmp.
[H3C]ipsecpolicymap110isakmp[H3C-ipsec-policy-isakmp-map1-10]proposaltran1[H3C-ipsec-policy-isakmp-map1-10]securityacl3101[H3C-ipsec-policy-isakmp-map1-10]ike-peerpeer[H3C-ipsec-policy-isakmp-map1-10]quit#在接口上应用安全策略组.
[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]ipsecpolicymap1[H3C-GigabitEthernet1/0]quit(2)配置RouterB#配置RouterB为VRRP备份组的Slave(缺省优先级为100,低于RouterA的优先级).
system[H3C]vrrpping-enableH3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-30[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]ipaddress10.
0.
0.
3255.
255.
255.
0[H3C-GigabitEthernet1/0]vrrpvrid1virtual-ip10.
0.
0.
5[H3C-GigabitEthernet1/0]interfacegigabitethernet2/0[H3C-GigabitEthernet2/0]ipaddress11.
0.
0.
3255.
255.
255.
0[H3C-GigabitEthernet2/0]vrrpvrid2virtual-ip11.
0.
0.
5[H3C-GigabitEthernet2/0]quit#配置IPSec保护的数据流.
[H3C]aclnumber3101[H3C-acl-adv-3101]rule0permitipsource11.
0.
0.
00.
0.
0.
255destination12.
0.
0.
00.
0.
0.
255[H3C-acl-adv-3101]ruledenyipsourceanydestinationany[H3C-acl-adv-3101]quit#配置到主机B的静态路由.
[H3C]iproute-static0.
0.
0.
00.
0.
0.
010.
0.
0.
4preference60#配置IPSecDPD.
[H3C]ikedpddpd1[H3C-ike-dpd-dpd1]interval-time10[H3C-ike-dpd-dpd1]time-out5[H3C-ike-dpd-dpd1]quit#创建名为tran1的安全提议(内容略).
[H3C]ipsecproposaltran1#配置IKE对等体.
[H3C]ikepeerpeer[H3C-ike-peer-peer]pre-shared-keyabcde[H3C-ike-peer-peer]remote-address13.
0.
0.
1[H3C-ike-peer-peer]local-address10.
0.
0.
5[H3C-ike-peer-peer]dpddpd1[H3C-ike-peer-peer]quit#创建一条安全策略,协商方式为isakmp.
[H3C]ipsecpolicymap110isakmp[H3C-ipsec-policy-isakmp-map1-10]proposaltran1[H3C-ipsec-policy-isakmp-map1-10]securityacl3101[H3C-ipsec-policy-isakmp-map1-10]ike-peerpeer[H3C-ipsec-policy-isakmp-map1-10]quit#在接口上应用安全策略组.
[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]ipsecpolicymap1H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-31[H3C-GigabitEthernet1/0]quit(3)配置RouterC#配置IPSec保护的数据流.
[H3C]aclnumber3101[H3C-acl-adv-3101]rule0permitipsource12.
0.
0.
00.
0.
0.
255destination11.
0.
0.
00.
0.
0.
255[H3C-acl-adv-3101]ruledenyipsourceanydestinationany[H3C-acl-adv-3101]quit#配置到主机A的静态路由.
[H3C]iproute-static0.
0.
0.
00.
0.
0.
013.
0.
0.
4preference60#配置IPSecDPD.
[H3C]ikedpddpd1[H3C-ike-dpd-dpd1]interval-time10[H3C-ike-dpd-dpd1]time-out5[H3C-ike-dpd-dpd1]quit#创建名为tran1的安全提议(内容略).
[H3C]ipsecproposaltran1#配置IKE对等体.
[H3C]ikepeerpeer[H3C-ike-peer-peer]pre-shared-keyabcde[H3C-ike-peer-peer]remote-address10.
0.
0.
5[H3C-ike-peer-peer]local-address13.
0.
0.
1[H3C-ike-peer-peer]dpddpd1[H3C-ike-peer-peer]quit#创建一条安全策略,协商方式为isakmp.
[H3C]ipsecpolicymap110isakmp[H3C-ipsec-policy-isakmp-map1-10]proposaltran1[H3C-ipsec-policy-isakmp-map1-10]securityacl3101[H3C-ipsec-policy-isakmp-map1-10]ike-peerpeer[H3C-ipsec-policy-isakmp-map1-10]quit#在接口上应用安全策略组.
[H3C]interfacegigabitethernet1/0[H3C-GigabitEthernet1/0]ipaddress13.
0.
0.
1255.
0.
0.
0[H3C-GigabitEthernet1/0]ipsecpolicymap1[H3C-GigabitEthernet1/0]quit#配置以太网口.
[H3C]interfacegigabitethernets2/0H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-32[H3C-GigabitEthernet2/0]ipaddress12.
0.
0.
2255.
255.
255.
0在主机B上ping–c50011.
0.
0.
7(PCA),然后在RouterA和RouterC上执行displayikesa、displayipsecsa命令,显示已经建立了安全联盟.
然后在RouterA的GigabitEthernet1/0上执行shutdown命令,在RouterC上通过执行debuggingikedpd命令,发现连续3次发送DPD查询报文,并连续3次超时没有收到响应报文,最后显示删除该Peer下所有SA(此时VRRP备份组正在主备切换),十几秒后,安全隧道重新恢复.
调试信息如下:debuggingikedpd(连续三次没有收到对端响应,删除SA)H3CIKE/8/DEBUG:REQUEST(senddpdrequest):sendamessage(seqno:-12903966)H3CIKE/8/DEBUG:REQUEST:waitforresponsetimeoutH3CIKE/8/DEBUG:REQUEST(senddpdrequest):sendamessage(seqno:-1917909230H3CIKE/8/DEBUG:REQUEST:waitforresponsetimeoutH3CIKE/8/DEBUG:REQUEST(senddpdrequest):sendamessage(seqno:-1183268982)H3CIKE/8/DEBUG:REQUEST:waitforresponsetimeoutH3CIKE/8/DEBUG:REQUEST:therearethreefailandallSAsassociatedweredeleted(收到对端响应,对端主备切换已经完成)H3CIKE/8/DEBUG:REQUEST(senddpdrequest):sendamessage(seqno:1382148220)H3CIKE/8/DEBUG:REQUEST(recvdpdresponse):receivedamessage(seqno:1382148220)H3CIKE/8/DEBUG:RESPONSE(recvdpdrequest):receivedamessage(seqno:1382148220)H3CIKE/8/DEBUG:RESPONSE(senddpdresponse):sendamessage(seqno:1382148220)4.
5IPSec排错故障之一:初次在接口上应用IPSec策略,收发端可正常加解密数据流;关闭掉IPSec功能后,收发端仍可正常通信;再次应用IPSec策略后,报文不能进行IPSec处理,无法PING通对端.
H3CMSR50-06路由器操作手册(VPN)第4章IPSec配置4-33故障排除:此问题一般出现在通信发起端直接在安全策略视图下配置安全策略,而被连接端通过引用安全策略模板来创建安全策略的情况下.
当第一次使用IPSec的时候,两端可以通是正常的.
但是当第二次不使用IPSec功能时,就会在通信被连接端建立一个快转表项.
当第三次又使用IPSec的时候,由于这个快转表项的存在,从而导致报文不能进入IPSec处理.
因此,当第三次使用IPSec之前,通信两端使用resetipfast-forwardingcache命令清除一下快速转发缓冲区中的内容,就可以恢复正常通信了.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-1第5章IKE配置5.
1IKE协议简介5.
1.
1IKE协议概述在实施IPSec的过程中,可以使用Internet密钥交换IKE(InternetKeyExchange)协议来建立安全联盟,该协议建立在由Internet安全联盟和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)定义的框架上.
IKE为IPSec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPSec的使用和管理.
网络安全包括两层含义:其一是内部网的安全,其二是在公共网络中进行数据交换的安全.
实现前者的手段有防火墙、地址转换(NAT)等.
后者如正在兴起的IPSec(IPSecurity),IPSec提供了在IP层对报文实施加密的保护手段.
IPSec的安全联盟可以通过手工配置的方式建立,但是当网络中结点增多时,手工配置将非常困难,而且难以保证安全性.
这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程.
IKE具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟.
IKE的安全机制包括:zDH(Diffie-Hellman)交换及密钥分发.
Diffie-Hellman算法是一种公共密钥算法.
通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥.
加密的前提是交换加密数据的双方必须要有共享的密钥.
IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥.
即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥.
z完善的前向安全性(PerfectForwardSecrecy,PFS).
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系.
对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的.
z身份验证.
身份验证确认通信双方的身份.
对于pre-sharedkey验证方法,验证字用来作为一个输入产生密钥,验证字不同是不可能在双方产生相同的密钥的.
验证字是验证双方身份的关键.
z身份保护.
身份数据在密钥产生之后加密传送,实现了对身份数据的保护.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-2IKE使用了两个阶段为IPSec进行密钥协商并建立安全联盟:第一阶段,通信各方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,即ISAKMPSA;第二阶段,用在第一阶段建立的安全通道为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSecSA.
IPSecSA用于最终的IP数据安全传送.
从下图我们可以看出IKE和IPSec的关系.
加密的IP报文TCP/UDPIPSecTCP/UDPIPSecIPIKEIKESASASA协商RouterARouterB图5-1IKE和IPSec的关系图1.
IKE野蛮模式为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的,用户端设备的IP地址为动态获取的情况,在IKE阶段的协商模式中增加了IKE野蛮模式,它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字,并最终完成协商.
IKE野蛮模式相对于主模式来说更加灵活,能够支持协商发起端为动态IP地址的情况.
2.
NAT穿越在IPSec/IKE组建的VPN隧道中,若存在NAT网关设备,且NAT网关设备对VPN业务数据流进行了NAT转换的话,则必须配置IPSec/IKE的NAT穿越功能.
该功能删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之后的IPSec数据传输中使用UDP封装(即将IPSec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPSec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPSec报文将不作修改),从而保证了IPSec报文的完整性(IPSec数据加密解密验证过程中要求报文原封不动地被传送到接收端).
目前仅在野蛮模式下支持NAT穿越,主模式不支持.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-3以上两个特性在ADSL+IPSec的组网方式中一般结合使用,解决了在企业网宽带接入方式下IP地址不固定、公网中需要穿越NAT等问题,为企业网以ADSL宽带接入替代原有的专线方式提供了安全的解决方案.
5.
1.
2IKE配置前准备工作进行IKE配置之前,用户需要确定以下几个因素,以便配置过程的顺利进行:z确定IKE交换过程中算法的强度,即确定安全保护的强度(包括身份验证方法、加密算法、验证算法、DH组):不同的算法的强度不同,强度越高的算法,受保护数据越难被破解,但消耗的计算资源越多.
一般来说,密钥越长的算法强度越高.
z确定通信双方预先约定的身份验证字.
5.
2IKE的配置5.
2.
1IKE主要配置(1)配置本端路由器的名称(2)定义IKE安全提议z创建IKE安全提议z选择加密算法z选择验证方法z选择验证算法z选择Diffie-Hellman组标识z配置ISAKMPSA生存周期(可选)(3)配置IKE对等体z创建IKE对等体z配置IKE协商模式z配置身份验证字z配置本端路由器的ID类型z配置IKE协商过程中使用的IP地址z配置NAT穿越功能z配置IKE对等体的子网类型(4)配置Keepalive定时器参数z配置发送Keepalive报文的时间间隔z配置等待Keepalive报文的超时时间H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-45.
2.
2配置本端路由器的名称当IKE协商的发起端使用网关名字进行协商时(即配置了id-typename),本端需要配置命令ikelocal-name.
请在系统视图下进行下列配置.
表5-1配置本端路由器的名称操作命令配置本端路由器的名称ikelocal-nameid恢复本端路由器设备的缺省名称undoikelocal-name5.
2.
3定义IKE安全提议1.
创建IKE安全提议IKE提议定义了一套属性数据来描述IKE协商怎样进行安全通信.
配置IKE提议包括创建IKE提议、选择加密算法、选择验证方法、选择验证算法、选择Diffie-Hellman组标识和设置安全联盟生存周期.
对于主模式,用户可以按照优先级创建多条IKE提议,但是协商双方必须至少有一条匹配的IKE提议才能协商成功.
对于野蛮模式,发起方只会选择优先级最高的安全提议与对方进行协商,如果响应方有匹配的安全提议,则协商成功,否则协商将失败,即发起方不会再使用其它低优先级的安全提议发起协商.
此配置任务定义一个IKE提议.
配置的IKE提议将被用来建立安全通道.
请在系统视图下进行下列配置.
表5-2创建IKE提议操作命令创建IKE安全提议ikeproposalproposal-number删除IKE安全提议undoikeproposalproposal-number执行ikeproposal命令会进入IKE提议视图.
在IKE提议视图下可以配置加密算法、验证算法、组标识、生存周期和验证方法.
proposal-number为IKE提议序号,取值为1~100.
该序号同时表示优先级,数值越小,优先级越高.
可以为进行IKE协商的每一端配置多条提议,在协商时将从优先级最高的提议开始匹配一条双方都相同的提议,匹配的原则是:协商双方具有相同的加密算法、验证算法、验证方法和DH组标识.
系统提供一条缺省的IKE提议,具有最低的优先级,此缺省提议具有缺省的加密算法、验证算法、组标识、生存周期和验证方法.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-5IKE提议需要定义的参数见下文.
2.
选择加密算法此配置任务指定一个IKE提议使用的加密算法.
请在IKE提议视图下进行下列配置.
表5-3选择加密算法操作命令选择加密算法encryption-algorithm{des-cbc|3des-cbc|aes-cbc}设置加密算法为缺省值undoencryption-algorithm缺省情况下使用CBC模式的56-bitDES加密算法.
3.
选择验证方法当前IKE认证算法只有两种选择:预共享密钥(pre-share-key)和PKI(rsa-signature)方法.
请在IKE提议视图下进行下列配置.
表5-4选择验证方法操作命令选择验证方法authentication-method{pre-share|rsa-signature}设置验证方法为缺省值undoauthentication-method说明:关于PKI的配置,请参考本手册中的"PKI配置".
4.
选择验证算法此配置任务指定一个IKE提议使用的验证算法.
请在IKE提议视图下进行下列配置.
表5-5选择验证算法操作命令选择验证算法authentication-algorithm{md5|sha}设置验证算法为缺省值undoauthentication-algorithm缺省情况下,使用SHA-1验证算法.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-65.
选择Diffie-Hellman组标识此配置任务指定一个IKE提议使用的Diffie-Hellman组标识.
请在IKE提议视图下进行下列配置.
表5-6选择DH组标识操作命令选择Diffie-Hellman组标识dh{group1|group2|group5|group14}设置Diffie-Hellman组标识为缺省值undodh缺省情况下指定为group1,即768-bit的Diffie-Hellman组.
6.
配置ISAKMPSA生存周期此配置任务指定一个IKE提议使用的ISAKMPSA生存周期.
请在IKE提议视图下进行下列配置.
表5-7设置ISAKMPSA生存周期操作命令设置ISAKMPSA生存周期sadurationseconds设置生存周期为缺省值undosaduration如果duration时间超时,ISAKMPSA将自动更新.
生存周期可以设定为60到604800秒之间的一个值.
因为IKE协商需要进行DH计算,在低端路由器上需要经过较长的时间,为使ISAKMPSA的更新不影响安全通信,建议设置duration大于10分钟.
SA在设定的生存周期超时前会提前协商另一个SA来替换旧的SA.
在新的SA还没有协商完之前,依然使用旧的SA;在新的SA建立后,将立即使用新的SA,而旧的SA在生存周期超时时被自动清除.
缺省情况下,ISAKMPSA生存周期为86400秒(一天).
5.
2.
4配置IKE对等体1.
创建IKE对等体请在系统视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-7表5-8配置ike对等体操作命令配置一个IKE对等体并进入ikepeer视图ikepeerpeer-name删除一个IKE对等体undoikepeerpeer-name2.
配置IKE协商模式请在ike-peer视图下进行下列配置.
表5-9配置协商模式操作命令配置IKE阶段的协商模式.
exchange-mode{aggressive|main}恢复IKE阶段缺省的协商模式.
undoexchange-mode缺省情况下使用主模式.
说明:当安全隧道一端的IP地址为动态获取时,必须将IKE阶段的协商模式配置为野蛮模式.
3.
配置身份验证字请在ike-peer视图下进行下列配置.
表5-10配置身份验证字操作命令配置IKE阶段协商所使用的身份验证字pre-shared-keykey取消IKE阶段协商所使用的身份验证字undopre-shared-key4.
配置IKE协商过程中使用的ID类型请在ike-peer视图下进行下列配置.
表5-11配置IKE协商过程中使用的ID类型操作命令选择IKE阶段的协商过程中使用ID的类型id-type{ip|name}恢复IKE阶段的协商过程中使用的ID类型的缺省设置undoid-typeH3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-8缺省情况下使用IP地址作为IKE协商过程中使用的ID类型.
在主模式方式下只能使用IP地址作为IKE协商过程中使用的ID.
在野蛮模式下,可以选择IP地址或者名称来作为IKE协商过程中使用的ID.
5.
指定对端路由器设备的ID当IKE协商的发起端使用网关名字进行协商时(即配置了id-typename),发起端会发送自己的名称给对端来标识自己的身份,而对端使用remote-namename来验证发起端,故此时name应与发起端网关上使用ikelocal-name命令所配的名字保持一致.
请在ike-peer视图下进行下列配置.
表5-12指定对端设备的名称操作命令指定对端设备的名称remote-namename删除对端设备的名称undoremote-name6.
配置本端及对端设备的IP地址当IKE协商的发起端使用地址进行协商时(即配置了id-typeip),发起端会发送自己的IP地址给对端来标识自己的身份,而对端使用remote-addressip-address来验证发起端,故此时ip-address应与发起端上local-address命令所配的IP地址保持一致.
请在ike-peer视图下进行下列配置.
表5-13配置路由器和对端设备的IP地址操作命令配置本端路由器的IP地址local-addressip-address删除本端路由器的IP地址undolocal-address配置对端设备的IP地址remote-addresslow-ip-address[high-ip-address]删除对端设备的IP地址undoremote-address一般情况下命令local-address不需要配置,只有当用户需要指定特殊的本端网关地址时(如指定loopback接口地址)才需要配置这条命令.
7.
配置NAT穿越功能在IPSec/IKE组建的VPN隧道中,若存在NAT路由器设备,则必须配置IPSec/IKE的NAT穿越功能.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-9请在ike-peer视图下进行下列配置.
表5-14配置IKE/IPSec的NAT穿越功能操作命令配置IKE/IPSec的NAT穿越功能nat-traversal取消IKE/IPSec的NAT穿越功能undonat-traversal为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在隧道两端配置NAT穿越,保证隧道能够正常协商建立.
8.
配置子网类型这两条命令仅在与NETSCREEN的设备互通时使用.
请在ike-peer视图下进行下列配置.
表5-15配置IKE对等体的子网类型操作命令配置本端网关的子网类型local{multi-subnet|single-subnet}恢复缺省的子网类型undolocal配置对端网关的子网类型peer{multi-subnet|single-subnet}恢复缺省的子网类型undopeer缺省情况下,本端和对端的子网类型为single-subnet.
5.
2.
5配置Keepalive定时器1.
配置发送Keepalive报文的时间间隔配置通过ISAKMPSA向对端发送Keepalive报文的时间间隔.
请在系统视图下进行下列配置.
表5-16设置发送Keepalive报文的时间间隔操作命令设置ISAKMPSA向对端发送Keepalive报文的时间间隔ikesakeepalive-timerintervalseconds设置使该功能失效undoikesakeepalive-timerintervalIKE通过此报文维护该条ISAKMPSA的链路状态.
一般在对端使用命令ikesakeepalive-timertimeout配置了超时时间时,必须在本端配置此Keepalive报文发H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-10送时间间隔.
当对端在配置的超时时间内未收到此Keepalive报文时,如果该ISAKMPSA带有TIMEOUT标记,则删除该ISAKMPSA以及由其协商的IPSecSA;否则,将其标记为TIMEOUT.
所以在配置时需使配置的超时时间比Keepalive报文发送时间长.
缺省情况下,此功能无效.
2.
配置等待Keepalive报文的超时时间配置一个ISAKMPSA等待Keepalive报文的超时时间.
请在系统视图下进行下列配置.
表5-17设置等待Keepalive报文的超时时间操作命令设置ISAKMPSA等待Keepalive报文的超时时间ikesakeepalive-timertimeoutseconds设置使该功能失效undoikesakeepalive-timertimeoutIKE通过此报文维护该条ISAKMPSA的链路状态.
如果在配置的超时时间内未收到对端的Keepalive报文,如果该ISAKMPSA带有TIMEOUT标记,则删除该ISAKMPSA以及由其协商的IPSecSA;否则,将其标记为TIMEOUT.
所以在配置时需使配置的超时时间比Keepalive报文发送时间长.
在网络上一般不会出现超过连续三次的报文丢失,所以配置超时时间时可以采用对端配置的Keepalive报文发送时间间隔的三倍.
缺省情况下,此功能无效.
3.
配置发送NATKeepalive报文的时间间隔配置IKE对等体发送NATKeepalive报文的时间间隔.
表5-18配置发送NATKeepalive报文的时间间隔操作命令配置IKE对等体发送NATKeepalive报文的时间间隔ikesanat-keepalive-timerintervalseconds恢复发送NATKeepalive报文的时间间隔为缺省值undoikesanat-keepalive-timerinterval缺省情况下,发送NATKeepalive报文的时间间隔为20秒.
NATKeepalive报文是一个使用UDP封装的未加密的报文.
通过发送NATKeepalive报文,在NAT网关设备上可以保持IKE对等体之间的NAT动态映射有效.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-11NATKeepalive报文并不用来检测对等体的状态.
当配置此命令时,需要确保配置的时间小于NAT转换的超时时间.
5.
3IKE显示与调试IKE提供以下命令显示当前所有安全联盟的状态和每个IKE提议配置的参数.
display命令可在所有视图下进行下列操作,debugging和reset命令只能在用户视图下操作.
表5-19IKE显示与调试操作命令显示当前已建立的安全通道displayikesa[verbose[connection-idid|remote-addressip-address]]显示每个IKE提议配置的参数displayikeproposal显示IKE对等体的配置信息displayikepeer[peer-name]删除安全隧道resetikesa[connection-id]打开IKE的调试信息debuggingike{all|error|exchange|message|misc|transport}关闭IKE的调试信息undodebuggingike{all|error|exchange|message|misc|transport}在删除指定的安全通道时,需要指定SA的connection-id,通过命令displayikesa可以显示目前的安全联盟的connection-id信息.
针对同一个安全通道(即相同的对端),分别有阶段1的信息和阶段2的信息.
删除本地的安全联盟时,如果阶段1的ISAKMPSA还存在,将在此安全联盟的保护下向对端发送删除消息,通知对方清除安全联盟数据库.
如果未指定connection-id,所有的阶段1的SA都会被删除.
安全通道与安全联盟是完全不同的两个概念,安全通道是一个两端可以互通的通道,而IPSecSA则是一个单向的连接,所以安全通道是由一对或几对安全联盟组成的.
5.
4IKE典型配置案例5.
4.
1IKE典型配置组网应用1.
组网需求z主机1与2之间进行安全通信,在路由器A与B之间使用IKE自动协商建立安全通道.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-12z在路由器A上配置一条IKE提议,其优先级为10,网关B使用缺省的IKE提议.
z为使用pre-sharedkey验证方法的提议配置验证字.
2.
组网图EthernetEthernetHost1GE3/0202.
38.
160.
1Host2InternetRouterAGE3/0171.
69.
224.
33202.
39.
1.
0172.
70.
2.
0图5-2IKE配置举例组网图3.
配置步骤(1)配置路由器A#配置IKE对等体.
[H3C]ikepeerpeer[H3C-ike-peer-peer]pre-shared-keyabcde[H3C-ike-peer-peer]remote-address171.
69.
224.
33#配置一条IKE提议10.
[H3C]ikeproposal10#指定IKE提议使用的验证算法为MD5.
[H3C-ike-proposal-10]authentication-algorithmmd5#使用pre-sharedkey验证方法.
[H3C-ike-proposal-10]authentication-methodpre-share#设置ISAKMPSA生存周期5000秒.
[H3C-ike-proposal-10]saduration5000(2)配置路由器B#配置IKE对等体.
[H3C]ikepeerpeer[H3C-ike-peer-peer]pre-shared-keyabcde[H3C-ike-peer-peer]remoteaddress202.
38.
160.
1H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-13以上配置可以保证网关A和B之间进行IKE协商.
由于网关A配置的提议是proposal10,使用authentication-algorithmmd5,但网关B上只有一条缺省的IKE提议,默认是authentication-algorithmsha.
在进行提议匹配的时候,从优先级最高的提议开始,因为网关B上没有和网关A上提议10相匹配的提议,所以双方能够匹配的只有缺省的IKE提议.
另外,在进行提议匹配的时候,duration是不用进行匹配的,生存周期由IKE协商发起方决定.
关于IPSec的相应配置请参考IPSec配置举例.
5.
4.
2IKE野蛮模式及NAT穿越的组网应用1.
组网需求zRouterA的GigabitEthernet1/0口为公网固定IP地址,RouterB为动态获取IP地址.
z由于RouterB要通过运营商的NAT设备才能上公网,所以分公司要和总部建立起IPSEC连接必须具备IKE野蛮模式及NAT穿越功能.
z为了保证信息安全采用IPSec/IKE方式创建安全隧道.
2.
组网图InternetRouterBRouterA分公司总公司GE1/0GE1/0图5-3IKE野蛮模式及NAT穿越的典型配置案例3.
配置步骤(1)配置RouterA#配置本端路由器设备的名字.
[H3C]ikelocal-nameRouterA#配置acl.
[H3Caclnumber3101match-orderauto[H3C-acl-adv-3101]rulepermitipsourceanydestinationany#配置IKE对等体peer.
[H3C]ikepeerpeer[H3C-ike-peer-peer]exchange-modeaggressive[H3C-ike-peer-peer]pre-shared-keyabc[H3C-ike-peer-peer]id-typename[H3C-ike-peer-peer]remote-nameRouterBH3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-14[H3C-ike-peer-peer]nattraversal#创建IPSec安全提议prop.
[H3C]ipsecproposalprop[H3C-ipsec-proposal-prop]encapsulation-modetunnel[H3C-ipsec-proposal-prop]transformesp[H3C-ipsec-proposal-prop]espencryption-algorithmdes[H3C-ipsec-proposal-prop]espauthentication-algorithmsha1#创建安全策略policy并指定通过IKE协商建立安全联盟.
[H3C]ipsecpolicypolicy10isakmpH3C#配置安全策略policy引用ike对等体peer.
[H3C-ipsec-policy-isakmp-policy-10]ike-peerpeer#配置安全策略policy引用访问控制列表3101.
[H3C-ipsec-policy-isakmp-policy-10]securityacl3101#配置安全策略policy引用IPSec安全提议prop.
[H3C-ipsec-policy-isakmp-policy-10]proposalprop#进入GigabitEthernet1/0并配置IP地址.
[H3C]interfacegigabitsethernet1/0[H3C-GigabitEthernet1/0]ipaddress100.
0.
0.
1255.
255.
0.
0#配置GigabitEthernet1/0引用安全策略组policy.
[H3C-GigabitEthernet1/0]ipsecpolicypolicy(2)配置RouterB#配置本端路由器设备的名字.
[H3C]ikelocal-nameRouterB#配置acl.
[H3C]aclnumber3101match-orderauto[H3C-acl-adv-3101]rulepermitipsourceanydestinationany#配置IKE对等体peer.
[H3C]ikepeerpeer[H3C-ike-peer-peer]exchange-modeaggressive[H3C-ike-peer-peer]pre-shared-keyabc[H3C-ike-peer-peer]id-typename[H3C-ike-peer-peer]remote-namerouterA[H3C-ike-peer-peer]remote-address100.
0.
0.
1[H3C-ike-peer-peer]nattraversal#创建IPSec安全提议prop.
H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-15[H3C]ipsecproposalprop[H3C-ipsec-proposal-prop]encapsulation-modetunnel[H3C-ipsec-proposal-prop]transformesp[H3C-ipsec-proposal-prop]espencryption-algorithmdes[H3C-ipsec-proposal-prop]espauthentication-algorithmsha1#创建安全策略policy并指定通过IKE协商建立安全联盟.
[H3C]ipsecpolicypolicy10isakmp#配置安全策略policy引用ike对等体peer.
[H3C-ipsec-policy-isakmp-policy-10]ike-peerpeer#配置安全策略policy引用访问控制列表3101.
[H3C-ipsec-policy-isakmp-policy-10]securityacl3101#配置安全策略policy引用IPSec安全提议prop.
[H3C-ipsec-policy-isakmp-policy-10]proposalprop#进入GigabitEthernet1/0并配置接口动态协商IP地址.
[H3C-GigabitEthernet1/0]pppoe-clientdial-bundle-number1#配置拨号接口.
[H3C]dialer-rule1ippermit[H3C]interfacedialer1[H3C-Dialer1]link-protocolppp[H3C-Dialer1]ppppaplocal-useraaapasswordsimpleaaa[H3C-Dialer1]mtu1450[H3C-Dialer1]ipaddressppp-negotiate[H3C-Dialer1]dialeruser12[H3C-Dialer1]dialer-group1[H3C-Dialer1]dialerbundle1#配置Dialer1引用安全策略组policy.
[H3C-Dialer1]ipsecpolicypolicy5.
5IKE故障诊断与排错配置参数建立IPSec安全通道时,可以打开IKE的Error调试开关,帮助我们查找配置问题.
其命令是:debuggingikeerror故障之一:非法用户身份信息H3CMSR50-06路由器操作手册(VPN)第5章IKE配置5-16故障排除:用户身份信息是发起IPSec通信的用户用来标识自己的数据.
在实际应用中我们可以通过用户身份标识实现对不同的数据流建立不同的安全通道进行保护.
目前我们是通过用户的IP地址来标识用户.
可以看到调试信息:gotNOTIFYoftypeINVALID_ID_INFORMATION或者dropmessagefromA.
B.
C.
DduetonotificationtypeINVALID_ID_INFORMATION检查协商两端接口上配置的安全策略中的ACL内容是否相容.
建议用户将两端的ACL配置成互为镜像的.
ACL镜像的含义请参考IPSec配置中"配置访问控制列表"内容.
故障之二:提议不匹配故障排除:可以看到调试信息:gotNOTIFYoftypeNO_PROPOSAL_CHOSEN或者:dropmessagefromA.
B.
C.
DduetonotificationtypeNO_PROPOSAL_CHOSEN协商双方没有可以匹配的提议.
对于阶段1,检查IKEproposal是否有与对方匹配的.
对于阶段2协商,检查双方接口上应用的IPSec安全策略的参数是否匹配,引用的IPSec安全提议的协议、加密算法和验证算法是否有匹配的.
故障之三:无法建立安全通道故障排除:实际应用中有时会发现在不稳定的网络状态下,安全通道无法建立或者存在安全通道却无法通信,而且检查双方的ACL的配置正确,也有匹配的提议.
这种情况一般是安全通道建立好以后,有一方的路由器重启造成的.
解决办法:z使用displayikesa命令检查双方是否都已建立阶段1的SA.
z使用displayipsecsapolicy命令查看接口上的安全策略是否已建立了IPSecSA.
z根据以上两步的结果查看,如果有一方存在的SA在另一方不存在的情况,使用resetikesa命令清除错误存在的SA,重新发起协商.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-1第6章动态VPN6.
1DVPN简介6.
1.
1概述DVPN(DynamicVirtualPrivateNetwork)动态虚拟私有网络技术,通过动态获取对端的信息建立VPN连接.
DVPN提出了NBMA类型的隧道机制,使用Tunnel逻辑接口作为DVPN隧道的端点,完成DVPN报文的封装和发送,同时通过Tunnel接口完成私网路由的动态学习.
DVPN采用了Client和Server的方式解决了传统VPN的缺陷,Client通过在Server注册,将Client自己的信息在Sever上进行保存,这样Client可以通过Server的重定向功能得到其它Client的信息,从而可以在Client之间建立独立的Session(会话,进行数据传输的通道).
当多个DVPN接入设备通过向共同的Server进行注册,构建一个DVPN域,就实现了各个DVPN接入设备后面的网络的VPN互联.
6.
1.
2DVPN基本概念介绍1.
DVPN域所有通过DVPN实现互连的私有网络以及网络中的路由器、路由器设备共同构成DVPN域.
2.
DVPN接入设备在网络中用来构建DVPN动态虚拟私有网络的路由器、路由器设备,所有支持DVPN特性的路由器、路由器都可以作为DVPN接入设备.
3.
Server设备DVPN域中,承担Server功能的DVPN接入设备.
所有的其他DVPN接入设备必须在Server上进行注册后才能接入DVPN域中.
4.
Client设备DVPN域中作为Client的DVPN接入设备.
Client设备必须在指定的Server设备上完成注册才能接入DVPN域.
5.
DVPNID一个DVPN域的唯一标识.
在同一台DVPN接入设备上,不同的DVPN域的ID不同.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-26.
MapClient设备在Server设备上进行注册时,在Client和Server之间将建立一个注册通道,称为Map.
Map在Client设备完成注册后仍然存在,直到Client设备退出DVPN域或退出网络.
7.
SessionDVPN网络数据通讯隧道.
所有的数据报文都通过会话隧道进行传递.
在DVPN域中的两个接入设备之间可以建立一个Session,实现私有网络的直接互联.
8.
Redirect报文重定向机制.
当两个Client之间还没有建立Session时,他们的数据通讯需要通过Server进行转发.
Server在转发时将判断这两个Client之间是否可以建立独立的Session,如果可以,Server将发送重定向报文给发起数据通信的源Client,重定向报文中包含了目的Client的信息.
9.
主动端和被动端Session会话中,Session两端会协商确定一个主动端和一个被动端,Client和Server之间的Session会话,Client端为Session的主动端,Server为Session的被动端;Client之间的Session会话,发起会话建立请求的Client为主动端,另一个为Session的被动端.
6.
1.
3基本工作原理DVPN在各个接入设备之间运行DVPN私有协议,Server设备记录着所有已经注册成功的Client的信息,Client设备记录所有已经建立数据通道的Session信息.
表项内容包括:目标设备的私网地址(Tunnel接口地址),目标设备的公网地址(WAN接口的公网IP地址),目标设备的UDP端口号(采用UDP协议时),还有会话通路状态标识等.
下面对Server与Client之间的交互过程作以简单说明:1.
注册阶段当Client端配置好接口属性,指定了Server地址,并且接口状态UP后,将向Server端发起注册协商,注册协商过程要完成算法协商、密钥协商、身份验证(可选)、信息注册、策略的发布等.
注册协商过程,Client设备和Server设备之间会创建一个Map,所有的注册协商通过Map完成.
在整个Client生命周期中,Client和Server各自存在一个对应的Map.
只有Client退出DVPN域,Map才会被删除.
如果Client端删除注册使用的Map,Client会释放所有的资源(包括所有的Session通道),回到初始化状态.
具体的注册过程可以参见下面的流程图,在注册过程中如果出现错误,注册过程会停止,并且返回到初始状态.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-3ClientServer(1)(2)(3)(5)(7)(4)(6)(8)图6-1DVPN注册过程(1)Client向Server发送算法协商请求消息;(2)Server向Client发送算法协商回应报文;(3)Client向Server发送密钥协商的请求消息和对Server的认证请求消息;(4)Server向Client发送密钥协商的回应消息和对Client的认证消息,以及回应Client的认证请求消息;(5)Client向Server发送自己的身份认证消息;(6)Server向Client发送身份认证的结果信息;(7)Client向Server发送注册请求信息,主要包含Client的所有信息;(8)Server回应Client的注册请求信息,主要包含所有的数据加密策略,密钥信息,以及VPNID信息等.
2.
会话建立阶段Client注册成功后,会立即和Server建立会话Session,通过会话完成实际数据的DVPN转发.
若Server端接收到的目的地址并非发往本地私网地址的数据报文,而是发往VPN网络中的另一个节点的报文,则Server转发该数据报文,同时向该数据报文的源节点发送下一跳重定向通告(Redirect),通知源Client所要到达目的地之的下一跳的相关信息.
此时收到重定向报文的Client立即向对端Client发送会话建立请求,经过会话协商,在两个Client之间建立独立的Session会话通道(同时协商该Session的IPSecSA).
这两个Client之间的数据可以直接通过该Session会话通道进行数据转发,而不需要通过Server进行转发了.
当删除Session时,会判断该Session是否为注册Map创建的Session,如果没有对应的Map则直接删除Session,否则需要删除Session对应的Map.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-46.
1.
4基本网络结构DVPN采用Client/Server模式,对于同一个DVPN域的N个接入设备中,必须设置一个为Server工作方式(使用固定的公网IP地址),其他设置为Client方式,并在每一个Client端手工配置Server的信息.
当每个Client到Server注册成功之后,Client和Server之间就自动地建立了Session隧道(会话).
在网络运行中,Server可以根据需要向Client发送Redirect(重定向)报文.
Client在接收到重定向报文后,从中得到其他Client的信息,在Client之间建立Session隧道,实现DVPN域中的全连接.
建立隧道的方式采用UDPDVPN封装格式,对DVPN控制报文、需要转发的数据报文,使用UDP进行封装.
所以UDPDVPN可以自由地穿过NAT网关建立DVPN隧道,满足Client为私有IP地址时的需求.
InternetClientSessionSessionSessionServerClient图6-2动态VPN基本网络结构6.
1.
5传统VPN与DVPN的比较1.
传统VPN存在的弊端在现有的VPN组网方案中,三层VPN(VirtualPrivateNetwork)一般采用GRE或MPLS/BGPVPN两种方式.
两种VPN虽然存在各自的优点,但是在实际的应用中都存在以下弊端:z组网及配置复杂.
三层VPN技术都采用的是点到点的隧道方案,当接入点数量为N,且需要建立一个全联通的VPN网络时,整个网络需要手工配置N*(N-1)/2个点到点的VPN隧道连接.
z可维护性及可扩展性差.
对于一个已经组建好的VPN网络,若需要增加节点或修改某个节点的配置,那么其他所有节点都必须针对这个节点修改本地配置,维护成本较高.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-5zGRE还存在无法穿透NAT网关的缺陷.
GRE方式建立VPN隧道,如果出口有NAPT网关,那么就必须要一个公网地址直接对应一个内部地址来解决,需要大量的公网IP地址,这导致了GRE不能够应用于NAT网关内部.
IPSec构建的VPN在原来的版本也是没有办法穿越NAT网关,目前通过将IPSec报文封装在UDP报文中进行发送,实现了NAT网关的穿越.
zGRE无法适用于动态IP的情况.
GRE方式建立VPN隧道依赖于固定的IP地址,根本无法为拨号用户建立VPN.
zL2TP和GRE没有能够提供对传输的数据的加密保护,IPSec对通过IPSecVPN进行转发的数据提供了最安全的保护.
zIPSec在动态路由的支持存在一定的缺陷,IPSec的VPN隧道是基于数据流的,而不像GRE和L2TP基于接口建立VPN.
在实现两个私有网络互联以后,两个私有网络之间没有办法实现路由的学习,这样给网络的动态规划带来了一定的问题.
2.
DVPN的特点DVPN不但继承了传统VPN的各种优点,更大程度上解决了传统VPN目前还没有解决的问题.
配置简单、网络规划简单、功能强大,比传统的VPN更加符合目前以及未来的网络应用.
其特点如下:z配置简单.
一个DVPN接入设备可以通过一个Tunnel逻辑接口和多个DVPN接入设备建立会话通道,而不用为每一个通道配置一个逻辑的接口作为隧道的端点,大大的简化了配置的复杂度,提高了网络的可维护性和易扩充性.
如果需要在已有的DVPN域中加入一个新的私有网络,只需要在DVPN的Client接入设备上配置需要加入的DVPN域的Server信息,新的DVPNClient就可以成功的添加到DVPN域中.
z自由穿越NAT网关技术.
采用UDP方式的DVPN.
由于使用了UDP报文进行封装,可以自由穿越NAT网关.
解决内网DVPN接入设备和公网DVPN接入设备之间的VPN连接,使NAT网关内部的私有网络和NAT网关外部的私有网络共同构建一个虚拟私有网络.
z支持依赖动态IP地址构建VPN.
当在一个DVPN域内部构建隧道时,只需要指定相应的Server的IP地址,并不关心自己当前使用的IP地址是多少,更加适应如普通拨号、xDSL拨号等使用动态IP地址的组网应用.
z支持自动建立隧道技术.
DVPN中的Server维护着一个DVPN域中所有接入设备的信息,DVPN域中的Client可以通过Server的重定向功能自动获得需要进行通信的其它Client的信息,并最终在两个Client之间自动建立会话隧道H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-6(Session).
作为Client的DVPN接入设备只需配置自己的相关信息和Server的信息,不需要知道其他Client的信息,极大地减少了网络的维护管理工作.
z注册过程加密技术.
在Client向Server进行注册的过程中,需要先完成算法套件以及各种密钥的协商.
使用协商出来的算法对注册过程中的关键信息(例如用户名、密码等)进行加密保护,还可以对注册的报文进行合法性检测,保证关键注册信息的安全性.
z身份认证技术.
在Client向Server进行注册的过程中,Client可以根据配置需要对Server的身份使用pre-shared-key进行验证,保证Client接入一个合法的Server;同时Server可以根据需要使用AAA对需要接入到DVPN域的Client进行身份验证,保证只有通过身份验证的Client才可以接入到DVPN域.
z策略的统一管理技术.
Client在Server端注册成功后,Server会将DVPN域中的策略发布给该Client.
策略主要包括会话协商使用的算法套件、会话的保活时间、会话的空闲超时时间、IPSec使用的加密验证算法、IPSecSA的重协商时间等.
在整个DVPN域中,所有的Session会使用相同的策略.
z会话协商过程中的加密技术.
在Session协商过程中,所有的会话的控制报文都会使用Server发布的算法套件进行IPSec加密保护.
即在建立Session的会话协商过程中,根据Server发布数据的加密验证算法,为Session的数据通信协商IPSecSA.
协商过程使用DH(Diffie-Hellman)进行SA的密钥协商.
对于需要通过该Session进行转发的数据,如果需要加密处理,则通过IPSec使用Session协商出来的IPSecSA对报文进行加密处理后,通过DVPN进行转发,实现了转发数据报文的安全性.
Session的IPSecSA支持重协商功能,可以根据需要指定进行IPSecSA重协商的时间,进一步保证数据的安全性.
z支持多个VPN域.
DVPN允许用户在一台DVPN设备上支持多个VPN域.
即一台路由器不仅可以属于VPNA,也可以属于VPNB;同一设备可以在VPNA中作为Client设备,同时还在VPNB中作为Server设备使用.
在同一台DVPN设备上最多可以支持200个DVPN域,可以同时作为200个DVPN域的Server设备.
大大提高了组网的灵活性,也可以更加充分的使用网络设备资源,减少了用户的投资.
在实际的组网中为了保证各个DVPN域之间的隔离,如果在同一台DVPN设备上支持多个DVPN域,需要通过私网路由来实现不同DVPN域的隔离.
z动态路由的支持.
DVPN可以对需要通过Tunnel接口发送的路由报文,通过所有的Session会话进行广播,从而实现整个DVPN域内的路由自动学习.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-7实际应用中,DVPN配合动态路由协议,可以简化对需要接入到DVPN域的各个私有网络的规划,简化整个网络的配置,提高网络的维护性和自动化.
6.
2DVPN的配置DVPN的配置包括两方面,一是配置Client,二是配置Server.
1.
Client端的配置Client端的配置包括基本配置、Tunnel接口属性配置和dvpn-class配置.
(1)基本配置z使能/禁止DVPN功能z配置Client注册的时间间隔z配置Client注册次数z配置Client的dumb时间(2)配置Tunnel接口属性z配置Tunnel接口的报文封装格式UDPDVPNz配置Tunnel接口的接口类型(设置为Client)z配置Tunnel接口的源端(源地址或者源接口)z配置Tunnel接口使用的dvpn-classz配置Tunnel接口所属的DVPN域z配置Client向Server注册时的类型(可选)z配置IPSec加密的数据流(3)dvpn-class配置步骤dvpn-class视图下的命令用来配置Client设备需要接入的Server信息参数、以及注册过程中协商使用的信息.
配置的内容包括:z创建并进入dvpn-class视图z配置指定Server的公网IP地址z配置指定Server的私网IP地址(可选)z配置注册过程使用的算法套件(可选,默认为des-md5-dh1)z配置Client对Server的身份验证方法(可选,默认NONE)z配置Client对Server验证使用的pre-shared-key(可选,验证Server时需要配置)z配置Client注册使用的用户信息(可选,如果Server需要对Client进行身份认证,需要配置用户信息)H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-82.
Server端的配置Server端配置包括基本配置、配置Tunnel接口属性和配置DVPN的策略套件.
DVPN的策略套件是在dvpn-policy视图下配置的.
具体配置步骤如下:(1)基本配置z使能/禁止DVPN功能z配置Map的老化时间z配置对Client的验证方式z配置Server的pre-shared-key(2)配置Tunnel接口属性z配置Tunnel接口的报文封装格式UDPDVPNz配置Tunnel接口的接口类型(设置为Server)z配置Tunnel接口所属的DVPN域z配置Tunnel接口的源端(源地址或者源接口)z配置DVPN域的统一策略(可选)z配置IPSec加密的数据流(3)配置DVPN策略套件z创建并进入dvpn-policy视图z配置Server对Client的验证方式(可选,默认NONE)z配置指定Session的算法套件(可选,默认为des-md5-dh1)z配置指定Session的空闲超时时间(可选,默认300秒)z配置指定Session的Keepalive时间(可选,默认10秒)z配置指定Session建立请求的时间间隔(可选,默认10秒)z配置IPSec的算法套件(可选,默认为des-md5-dh1)z配置指定IPSecSA的重协商时间(可选,默认3600秒)由于Client端和Server端有许多重复的配置,所以下面将从全局配置、Tunnel接口配置、dvpn-class配置、以及dvpn-policy四个方面进行介绍配置步骤.
6.
2.
1基本配置1.
使能/禁止DVPN功能通过该命令控制设备是否支持DVPN功能.
如果Server禁止DVPN功能,已经建立的DVPN会话会等待超时以后进行删除,而不会立即删除.
请在Client和Server端的系统视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-9表6-1使能/禁止DVPN配置操作命令使能DVPN功能dvpnserviceenable禁止DVPN功能undodvpnserviceenable缺省情况下,系统使能DVPN功能.
2.
配置Server的pre-shared-key通过该命令可以在Server上配置身份验证信息(即pre-shared-key).
在Client需要对Server进行身份验证时,Client需要指定需要接入的Server的pre-shared-key,而且和Server的pre-shared-key必须一致.
请在Server端的系统视图下进行下列配置.
表6-2配置Server的pre-shared-key操作命令配置Server的pre-shared-keydvpnserverpre-shared-keykey删除Server的pre-shared-keyundodvpnserverpre-shared-key缺省情况下,系统没有配置pre-shared-key.
3.
配置对Client的验证方式服务器支持对需要接入DVPN的客户端进行身份验证,目前支持的验证方式有PAP、CHAP、NONE.
通过该命令可以在Server端指定对Client进行身份验证的方式,当Client进行DVPN接入时,如果没有配置相应的策略,则会使用该命令指定的验证方式对Client进行身份验证.
请在Server端的系统视图下进行下列配置.
表6-3配置对client的验证方式操作命令配置对Client的身份认证方式dvpnserverauthentication-clientmethod{none|{chap|pap}[domainisp-name]}缺省情况下,不对Client进行身份验证.
4.
配置Map的老化时间对于注册不成功的Map,可以通过在Server端配置Map的老化时间进行删除.
如果Client已经注册成功,Map会和创建的Session同时存在.
请在系统视图下进行下列配置.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-10表6-4配置Map的老化时间操作命令配置Map的老化时间dvpnservermapage-timetime恢复Map的老化时间为默认值undodvpnservermapage-time缺省情况下,Map的老化时间为30秒.
5.
配置Client注册的时间间隔Client在向Server进行注册时,可以连续多次向Server发起注册,如果一次注册失败,则Client经过一定的注册时间间隔后,会再次向Server进行注册.
时间间隔可以在Client端进行配置.
请在Client端的系统视图下进行下列配置.
表6-5配置Client注册的时间间隔操作命令配置Client注册的时间间隔dvpnclientregister-intervaltime-interval恢复Client注册时间间隔为缺省值undodvpnclientregister-interval缺省情况下,Client注册的时间间隔为10秒.
6.
配置Client注册次数Client在向Server进行注册时,如果注册失败可以连续多次向Server发起注册,如果超过最大允许注册次数,则Client会进入dumb状态.
可以通过在Client端配置下面的命令来设置一次注册最大的尝试次数.
请在Client端的系统视图下进行下列配置.
表6-6配置Client注册次数操作命令配置Client注册次数dvpnclientregister-retrytimes恢复Client注册次数为缺省值undodvpnclientregister-retry缺省情况下,Client注册次数为3次.
注意:处于dumb状态的Client不会向Server进行注册.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-117.
配置Client的dumb时间Client在向Server进行注册时,连续多次向Server发起注册,当Client注册失败的次数超过最大允许注册次数时,则Client会进入dumb状态.
处于dumb状态的Client不会向Server进行注册,只有经过了dumb时间,Client才会重新向Server进行注册.
请在Client端的系统视图下进行下列配置.
表6-7配置Client的dumb时间操作命令配置Client的dumb时间dvpnclientregister-dumbtime恢复Client的dumb时间为默认值undodvpnclientregister-dumb缺省情况下,Client的dumb时间为300秒.
6.
2.
2配置Tunnel接口属性1.
配置Tunnel接口的封装格式在配置DVPN其他参数前,请务必在Tunnel接口上封装UDPDVPN.
请在Client和Server端的Tunnel接口视图下进行下列配置.
表6-8设置Tunnel接口报文的封装模式操作命令设置Tunnel接口报文的封装格式tunnel-protocoludpdvpn缺省情况下,封装为GRE方式.
2.
配置Tunnel接口的类型Server端应选择Server,Client端应选择Client.
请在Client端和Server端的Tunnel接口视图下进行下列配置.
表6-9设置Tunnel接口的类型操作命令配置Tunnel接口的类型dvpninterface-type{client|server}恢复Tunnel接口的缺省类型undodvpninterface-type缺省情况下,Tunnel接口为client类型.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-123.
配置DVPN客户端的注册类型本命令仅在Client端使用.
当客户端向服务器进行注册时,客户端可以请求服务器转发由此客户端发送的数据包,并且还可以通告服务器不允许将本客户端的注册信息发布给其他客户端.
请在Client端的Tunnel接口视图下进行下列配置.
表6-10配置DVPN客户端的注册类型操作命令配置DVPN客户端的注册类型dvpnregister-type{forward|undistributed}*取消DVPN客户端所配置的注册类型undodvpnregister-type{forward|undistributed}*缺省情况下,并未配置客户端的注册类型.
4.
配置Tunnel接口所属的DVPN域本命令用来配置Tunnel接口所属的DVPN域的标识,属于同一DVPN域的Tunnel接口应配置相同的dvpn-id.
请在Client端和Server端的Tunnel接口视图下进行下列配置.
表6-11配置Tunnel接口所属的VPN操作命令配置Tunnel接口所属的VPNdvpndvpn-iddvpn-id删除Tunnel接口所属的VPNundodvpndvpn-id缺省情况下,Tunnel接口没有配置DVPN域标识.
5.
配置Tunnel接口的源端Tunnel接口的源端地址或源接口,即发出DVPN报文的接口地址.
Tunnel的源端地址与目的端地址唯一标识了一个通道.
这些配置在Server及Client两端必须配置,且两端地址互为源地址和目的地址.
请在Client和Server端的Tunnel接口视图下进行下列配置.
表6-12设置Tunnel接口的源端地址操作命令设置Tunnel接口的源端地址或源接口source{X.
X.
X.
X|interface-typeinterface-num}删除Tunnel接口的源端地址或源接口undosourceH3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-136.
配置Tunnel接口使用的dvpn-class本命令仅在Client端使用.
在Client端的dvpn-class视图下配置好Server的各种参数属性,然后使用下面命令引用相应的dvpn-class-name.
请在Client端的Tunnel接口视图下进行下列配置.
表6-13配置Tunnel接口使用的dvpn-class操作命令配置Tunnel接口使用的dvpn-class名称dvpnserverdvpn-class-name删除Tunnel接口使用的dvpn-class名称undodvpnserverdvpn-class-name缺省情况下,接口没有应用dvpn-class.
7.
配置Tunnel接口使用的dvpn-policy本命令仅在Server端使用.
在Server端的dvpn-policy视图下配置好策略的各种参数,然后可以使用下面命令将策略应用到DVPN域中.
请在Server端的Tunnel接口视图下进行下列配置.
表6-14配置Tunnel接口的dvpn-policy操作命令配置Tunnel接口的dvpn-policydvpnpolicydvpn-policy-name删除Tunnel接口的dvpn-policyundodvpnpolicydvpn-policy-name缺省情况下,接口没有应用dvpn-policy.
8.
配置IPSec加密的数据流dvpnsecurityacl需要与acl以及rule命令配合使用,当rule命令匹配的关键字为deny时,表示对于rule命令deny掉的数据报文不进行IPSec加密,若rule命令匹配的关键字为permit,对于该配置则无实际意义.
请在Tunnel接口视图下进行下列配置.
表6-15配置IPSec加密数据流操作命令配置IPSec加密的数据流dvpnsecurityaclacl-number删除IPSec加密的数据流undodvpnsecurityacl缺省情况下,对接口的所有数据进行IPSec加密.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-146.
2.
3配置dvpn-class在dvpn-class视图下主要用来配置指定Server的相关信息,主要包括私网IP地址、公网IP地址、用户名等,用于Client在指定Server上进行注册,以下配置在Client端进行配置,应与Server端的实际配置保持一致.
1.
创建并进入dvpn-class视图可以通过下面的命令创建并进入dvpn-class视图,或者删除已经存在的dvpn-class.
如果当前dvpn-class正在被Dvpn使用,则不能直接进行删除.
请在系统视图下进行下列配置.
表6-16创建dvpn-class视图操作命令创建并进入dvpn-class视图dvpnclassdvpn-class-name删除dvpn-class视图undodvpnclassdvpn-class-name缺省情况下,没有配置任何dvpn-class.
2.
配置指定Server的公网IP地址这里的公网IP地址指Server提供的固定的公有IP地址.
请在dvpn-class视图下进行下列配置.
表6-17配置Server端的公网IP地址操作命令配置Server的公网IP地址public-ipip-address删除Server的公网IP地址undopublic-ip缺省情况下,没有指定Server的公网IP地址.
3.
配置指定Server的私网IP地址这里的私网IP地址指Server接入DVPN域的Tunnel接口的IP地址.
请在dvpn-class视图下进行下列配置.
表6-18配置Server端的私网IP地址操作命令配置Server的私网IP地址private-ipip-address删除Server的私网IP地址undoprivate-ipH3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-15缺省情况下,没有指定Server的私网IP地址.
4.
配置注册过程的算法套件DVPN的注册控制报文的报文内容必须进行加密保护,通过注册过程的算法套件确定注册报文的加密算法、验证算法以及密钥协商算法.
请在dvpn-class视图下进行下列配置.
表6-19配置注册过程的算法套件操作命令配置注册过程的算法套件algorithm-suitesuite-number恢复缺省的注册过程的算法套件undoalgorithm-suite缺省情况下,注册过程的算法套件为1,即DES-MD5-GROUP1.
其他的算法套件请参考命令手册的相关内容.
5.
配置Client对Server的验证方式客户端对其需要接入的服务器端可使用pre-shared-key进行身份验证方式.
请在dvpn-class视图下进行下列配置.
表6-20配置Client对Server的验证方式操作命令配置使用pre-shared-key进行身份认证authentication-servermethodpre-share配置不对Server进行身份认证authentication-servermethodnone缺省情况下,Client不对Server进行身份验证.
6.
配置用于验证Server的pre-shared-key该命令用于在Client端配置pre-shared-key,要求和其接入的Server端的pre-shared-key一致,Client才可以在Server上注册成功.
请在dvpn-class视图下进行下列配置.
表6-21配置Server的pre-shared-key操作命令配置用于验证Server的pre-shared-keypre-shared-keykey删除用于验证Server的pre-shared-keyundopre-shared-key缺省情况下,没有配置pre-shared-key.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-167.
配置Client的用户名和密码用户名和密码在Client注册到Server时使用,如果Server需要对接入的Client进行身份认证,则Client必须在dvpn-class配置用户信息.
请在dvpn-class视图下进行下列配置.
表6-22配置Client的用户名和密码操作命令配置Client端的用户名和密码local-userusernamepassword{simple|cipher}password删除Client端的用户名和密码undolocal-user缺省情况下,没有配置用户名和密码.
6.
2.
4配置dvpn-policy在dvpn-policy视图下主要用来配置指定DVPN的策略信息,主要包括会话的算法、数据IPSec的算法、以及各种时间参数等.
Client在Server上注册成功后,Server会对注册成功的Client发送DVPN引用的策略.
注意:如果要修改并应用已经配置好的策略,必须重起路由器或shutdown/undoshutdown隧道接口,否则新的策略不会生效.
1.
创建并进入dvpn-policy视图当dvpn-policy视图已经存在,可以通过下面的命令进入dvpn-policy视图,或者删除已经存在的dvpn-policy.
如果dvpn-policy正在被DVPN使用,则不能直接进行删除.
请在系统视图下进行下列配置.
表6-23创建并进入dvpn-policy视图操作命令创建并进入dvpn-policy视图dvpnpolicydvpn-policy-name删除dvpn-policy视图undodvpnpolicydvpn-policy-name缺省情况下,没有配置任何dvpn-policy.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-172.
配置Server对Client的验证方式服务器支持对需要接入的DVPN客户端进行身份验证,目前支持的验证方式有PAP、CHAP、none.
请在dvpn-policy视图下进行下列配置.
表6-24配置对client的验证方式操作命令配置对Client的身份认证方式authentication-clientmethod{none|{chap|pap}[domainisp-name]}缺省情况下,不对Client进行身份验证.
3.
配置指定Session的加密算法套件DVPN会话协商的控制报文支持DES、3DES、AES加密算法和MD5、SHA1验证算法,以及DH-group1、DH-group2密钥协商算法.
通过下面的命令可以选择会话控制报文使用的算法.
请在dvpn-policy视图下进行下列配置.
表6-25配置会话的加密算法套件操作命令配置会话的加密算法套件sessionalgorithm-suitesuite-number恢复会话的加密算法套件为缺省值undosessionalgorithm-suite缺省情况下,会话控制报文的算法套件为1,即DES加密算法、MD5验证算法和DH-group1密钥协商算法.
4.
配置指定Session的空闲超时时间会话在空闲超时时间内没有接收到任何的数据报文,则会话空闲超时断开.
请在dvpn-policy视图下进行下列配置.
表6-26配置会话的空闲超时时间操作命令配置会话的空闲超时时间sessionidle-timetime-interval恢复会话的空闲超时时间为缺省值undosessionidle-time缺省情况,会话的空闲超时时间为300秒.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-185.
配置指定Session的Keepalive时间会话在建立成功后,会话的主动端会定时的发送keepalive报文探测会话连接是否正常.
当会话连接有数据报文发送时,就不需要发送keepalive报文.
请在dvpn-policy视图下进行下列配置.
表6-27配置会话的保活时间操作命令配置会话的保活时间sessionkeepalive-intervaltime-interval恢复会话的保活时间为缺省值undosessionkeepalive-interval缺省情况,会话的保活时间为10秒.
6.
配置指定Session建立的时间间隔会话在建立过程中,发起会话建立请求的主动端,如果建立不成功,会在会话建立请求时间间隔以后再进行会话建立请求.
如果连续三次发送会话建立请求都没能成功建立会话通道,则认为会话建立失败.
请在dvpn-policy视图下进行下列配置.
表6-28配置会话建立请求时间间隔操作命令配置会话建立请求的时间间隔sessionsetup-intervaltime-interval恢复会话建立请求的时间间隔为缺省值undosessionsetup-interval缺省情况,会话建立请求时间间隔为10秒.
7.
配置IPSec的算法套件DVPN的数据报文使用IPSec进行数据的加密保护,目前IPSec支持DES、3DES、AES加密算法和MD5、SHA1验证算法.
通过下面的命令可以选择IPSecSA处理转发数据使用的算法套件.
请在dvpn-policy视图下进行下列配置.
表6-29配置IPSec的算法套件操作命令配置IPSecSA的算法套件dataalgorithm-suitesuite-number恢复IPSecSA的算法套件为缺省值undodataalgorithm-suite缺省情况下,数据报文的算法套件为1,即DES加密算法、MD5验证算法.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-198.
配置指定IPSecSA的生存周期DVPN策略可以指定数据加密使用的IPSecSA的生存周期.
请在dvpn-policy视图下进行下列配置.
表6-30配置IPSecSA的生存周期操作命令配置IPSecSA的生存周期dataipsec-sadurationtime-basedtime-interval恢复IPSecSA的生存周期为缺省值undodataipsec-sadurationtime-based缺省情况下,IPSecSA的生存周期为3600秒.
6.
2.
5动态VPN的显示和调试完成上述配置后,在所有视图下执行display命令可以查看DVPN配置后的运行情况.
在用户视图下执行reset命令可以清除该运行情况.
在用户视图下执行debugging命令可以对DVPN进行调试.
表6-31动态VPN的显示和调试操作命令DVPN的调试开关[undo]debuggingdvpn{all|error|event{all|register|session|misc}|hexadecimal|packet{all|control|data|ipsec}}显示系统DVPN的全局信息或DVPN域信息displaydvpninfo{dvpn-iddvpn-id|global}显示DVPN的Map信息.
displaydvpnmap{all|dvpn-idvpn-id|public-ippublic-ip}显示DVPN的会话信息displaydvpnsession{all|dvpn-iddvpn-id[private-ipprivate-ip]}显示DVPN的IPSecSA信息displaydvpnipsec-sa{all|dvpn-iddvpn-id[private-ipprivate-ip]}显示DVPN在线用户信息displaydvpnonline-user清除DVPN接入resetdvpnalldvpn-id删除DVPN的mapresetdvpnmappublic-ipport[client-id]删除DVPN的会话resetdvpnsessiondvpn-idprivate-ip清除DVPN的统计信息resetdvpnstatisticsH3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-20说明:如果在修改dvpnpolicy后想应用新的策略,必须重起路由器或shutdown/undoshutdown隧道接口,reset命令不会应用新的policy.
6.
3DVPN典型组网应用6.
3.
1DVPN穿越NAT典型配置组网1.
组网需求如下图所示,总部和两个分支机构分支A和分支B分别建立DVPN连接,其中分支一的私有网络需要通过NAT转换与总部私有网络连接,需要实现DVPN的NAT穿越.
z在注册和会话过程中需要使用缺省的算法套件1,即加密算法为DES、验证算法为MD5,使用DH-group1算法进行密钥协商.
z数据传输采用IPSec进行加密保护,也使用缺省的算法套件1,即加密算法为DES、验证算法为MD5,使用DH-group1算法进行密钥协商.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-212.
组网图GE2/0:10.
0.
1.
1/24Tunnel0:10.
0.
0.
1/24GE1/0:201.
1.
1.
3Tunnel0:10.
0.
0.
3/24GE1/0:201.
1.
1.
1ServerClient2GE2/0:10.
0.
3.
1/24分支A分支B总部GE1/0:201.
1.
1.
2/24Tunnel0:10.
0.
0.
2/24Client1GE2/0:192.
168.
1.
1/24InternetGE1/0:192.
168.
1.
2/24GE2/0:10.
0.
2.
1/24NAT图6-3DVPN和NAT配合使用典型组网图3.
配置步骤(1)配置Server#配置GigabitEthernet1/0接口.
[Server]interfacegigabitethernet1/0[Server-GigabitEthernet1/0]ipaddress201.
1.
1.
1255.
255.
255.
0[Server-GigabitEthernet1/0]quit#配置GigabitEthernet2/0接口.
[Server]interfacegigabitethernet2/0[Server-GigabitEthernet2/0]ipaddress10.
0.
1.
1255.
255.
255.
0[Server-GigabitEthernet2/0]quit#配置Tunnel0接口.
[Server]interfacetunnel0[Server-Tunnel0]tunnel-protocoludpdvpnH3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-22[Server-Tunnel0]dvpninterface-typeserver[Server-Tunnel0]ipaddress10.
0.
0.
1255.
255.
255.
0[Server-Tunnel0]sourcegigabitethernet1/0[Server-Tunnel0]dvpndvpn-id1[Server-Tunnel0]quit#配置路由信息.
[Server]iproute-static10.
0.
2.
0255.
255.
255.
010.
0.
0.
2[Server]iproute-static10.
0.
3.
0255.
255.
255.
010.
0.
0.
3(2)配置NAT设备#配置GigabitEthernet1/0接口.
[Nat]interfacegigabitethernet1/0[Nat-GigabitEthernet1/0]ipaddress201.
1.
1.
2255.
255.
255.
0[Nat-GigabitEthernet1/0]natoutbound3000[Nat-GigabitEthernet1/0]quit#配置GigabitEthernet2/0接口.
[Nat]interfacegigabitethernet2/0[Nat-GigabitEthernet2/0]ipaddress192.
168.
1.
1255.
255.
255.
0[Nat-GigabitEthernet2/0]quit#配置ACL.
[Nat]aclnumber3000[Nat-Acl-Adv-3000]rulepermitip#配置静态路由.
[Nat]iproute-static10.
0.
2.
0255.
255.
255.
0192.
168.
1.
2(3)配置Client1#配置GigabitEthernet1/0接口.
[Client1]interfacegigabitethernet1/0[Client1-GigabitEthernet1/0]ipaddress192.
168.
1.
2255.
255.
255.
0[Client1-GigabitEthernet1/0]quit#配置GigabitEthernet2/0接口.
[Client1]interfacegigabitethernet2/0[Client1-GigabitEthernet2/0]ipaddress10.
0.
2.
1255.
255.
255.
0[Client1-GigabitEthernet2/0]quit#配置dvpn-class.
[Client1]dvpnclasstestserver[Client1-class-testserver]public-ip201.
1.
1.
1[Client1-class-testserver]quit#配置Tunnel0接口属性.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-23[Client1]interfacetunnel0[Client1-Tunnel0]ipaddress10.
0.
0.
2255.
255.
255.
0[Client1-Tunnel0]tunnel-protocoludpdvpn[Client1-Tunnel0]sourcegigabitethernet1/0[Client1-Tunnel0]dvpninterface-typeclient[Client1-Tunnel0]dvpnservertestserver[Client1-Tunnel0]dvpndvpn-id1[Client1-Tunnel0]quit#配置静态路由.
[Client1]iproute-static10.
0.
1.
0255.
255.
255.
010.
0.
0.
1[Client1]iproute-static10.
0.
3.
0255.
255.
255.
010.
0.
0.
3[Client1]iproute-static201.
1.
1.
0255.
255.
255.
0192.
168.
1.
1(4)配置Client2#配置GigabitEthernet1/0接口.
[Client2]interfacegigabitethernet1/0[Client2-GigabitEthernet1/0]ipaddress201.
1.
1.
3255.
255.
255.
0[Client2-GigabitEthernet1/0]quit#配置GigabitEthernet2/0接口.
[Client2]interfacegigabitethernet2/0[Client2-GigabitEthernet2/0]ipaddress10.
0.
3.
1255.
255.
255.
0[Client2-GigabitEthernet2/0]quit#配置dvpn-class.
[Client2]dvpnclasstestserver[Client2-class-testserver]public-ip201.
1.
1.
1[Client2-class-testserver]quit#配置Tunnel0接口属性.
[Client2]interfacetunnel0[Client2-Tunnel0]ipaddress10.
0.
0.
3255.
255.
255.
0[Client2-Tunnel0]tunnel-protocoludpdvpn[Client2-Tunnel0]sourcegigabitethernet1/0[Client2-Tunnel0]dvpninterface-typeclient[Client2-Tunnel0]dvpnservertestserver[Client2-Tunnel0]dvpndvpn-id1[Client2-Tunnel0]quit#配置静态路由.
[Client2]iproute-static10.
0.
1.
0255.
255.
255.
010.
0.
0.
1[Client2]iproute-static10.
0.
2.
0255.
255.
255.
010.
0.
0.
2H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-246.
3.
2DVPN和GRE配合使用典型组网1.
组网需求如下图所示,总部需要与分支A通过DVPN构建虚拟私有网络,与分支B通过GRE构建虚拟私有网络,这样总部与分支A及分支B共同构建一个大的VPN网络.
在该网络中需要实现:zServer对接入DVPN的Client1进行身份认证;zClient1对需要接入的Server也进行身份认证.
2.
组网图Tunnel1:10.
1.
0.
1/24Tunnel0:10.
0.
0.
1/24GE1/0:201.
1.
1.
3Tunnel1:10.
1.
0.
2/24GE1/0:201.
1.
1.
1DVPNServerClient2GREGE2/0:10.
1.
2.
1/24分支分支B总部GE1/0:201.
1.
1.
2/24Tunnel0:10.
0.
0.
2/24Client1GE2/0:10.
0.
2.
1/24InternetGE2/0:10.
0.
1.
1/24图6-4DVPN和GRE配合使用典型组网图3.
配置步骤(1)配置Server#配置GigabitEthernet1/0接口.
[Server]interfacegigabitethernet1/0[Server-GigabitEthernet1/0]ipaddress201.
1.
1.
1255.
255.
255.
0[Server-GigabitEthernet1/0]quit#配置GigabitEthernet2/0接口.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-25[Server]interfacegigabitethernet2/0[Server-GigabitEthernet2/0]ipaddress10.
0.
1.
1255.
255.
255.
0[Server-GigabitEthernet2/0]quit#配置Server的身份pre-shared-key.
[Server]dvpnserverpre-shared-key123456#配置DVPNpolicy.
[Server]dvpnpolicytestpolicy[Server-Policy-testpolicy]authentication-clientmethodchapdomaindvpn[Server-Policy-testpolicy]dataalgorithm-suite7[Server-Policy-testpolicy]sessionalgorithm-suite12[Server-Policy-testpolicy]quit#配置DVPN使用的验证域使用本地验证.
[Server]domaindvpn[Server-isp-dvpn]schemelocal#配置DVPN本地用户.
[Server]local-userdvpnuser[Server-luser-dvpnuser]passwordsimpledvpnuser[Server-luser-dvpnuser]service-typedvpn[Server-luser-dvpnuser]quit#配置DVPN使用的Tunnel0接口.
[Server]interfacetunnel0[Server-Tunnel0]tunnel-protocoludpdvpn[Server-Tunnel0]dvpninterface-typeserver[Server-Tunnel0]ipaddress10.
0.
0.
1255.
255.
255.
0[Server-Tunnel0]sourcegigabitethernet1/0[Server-Tunnel0]dvpndvpn-id1[Server-Tunnel0]dvpnpolicytestpolicy[Server-Tunnel0]quit#配置GRE使用的Tunnel1接口.
[Server]interfacetunnel1[Server-Tunnel1]ipaddress10.
1.
0.
1255.
255.
255.
0[Server-Tunnel1]destination201.
1.
1.
3[Server-Tunnel1]sourcegigabitethernet1/0[Server-Tunnel1]quit#配置路由信息.
[Server]iproute-static10.
1.
2.
0255.
255.
255.
0tunnel1[Server]iproute-static10.
0.
2.
0255.
255.
255.
010.
0.
0.
2(2)配置Client1H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-26#配置GigabitEthernet1/0接口.
[Client1]interfacegigabitethernet1/0[Client1-GigabitEthernet1/0]ipaddress201.
1.
1.
2255.
255.
255.
0[Client1-GigabitEthernet1/0]quit#配置GigabitEthernet2/0接口.
[Client1]interfacegigabitethernet2/0[Client1-GigabitEthernet2/0]ipaddress10.
0.
2.
1255.
255.
255.
0[Client1-GigabitEthernet2/0]quit#配置dvpn-class.
[Client1]dvpnclasstestserver[Client1-class-testserver]public-ip201.
1.
1.
1[Client1-class-testserver]authentication-servermethodpre-share[Client1-class-testserver]pre-shared-key123456[Client1-class-testserver]local-userdvpnuser@dvpnpasswordsimpledvpnuser[Client1-class-testserver]quit#配置Tunnel0接口属性.
[Client1]interfacetunnel0[Client1-Tunnel0]ipaddress10.
0.
0.
2255.
255.
255.
0[Client1-Tunnel0]tunnel-protocoludpdvpn[Client1-Tunnel0]sourcegigabitethernet1/0[Client1-Tunnel0]dvpninterface-typeclient[Client1-Tunnel0]dvpnservertestserver[Client1-Tunnel0]dvpndvpn-id1[Client1-Tunnel0]quit#配置静态路由.
[Client1]iproute-static10.
0.
1.
0255.
255.
255.
010.
0.
0.
1[Client1]iproute-static10.
1.
2.
0255.
255.
255.
010.
0.
0.
1(3)配置Client2#配置GigabitEthernet1/0接口.
[Client2]interfacegigabitethernet1/0[Client2-GigabitEthernet1/0]ipaddress201.
1.
1.
3255.
255.
255.
0[Client2-GigabitEthernet1/0]quit#配置GigabitEthernet2/0接口.
[Client2]interfacegigabitethernet2/0[Client2-GigabitEthernet2/0]ipaddress10.
1.
2.
1255.
255.
255.
0[Client2-GigabitEthernet2/0]quit#配置Tunnel0接口属性.
H3CMSR50-06路由器操作手册(VPN)第6章动态VPN6-27[Client2]interfacetunnel0[Client2-Tunnel0]ipaddress10.
1.
0.
2255.
255.
255.
0[Client2-Tunnel0]sourcegigabitethernet1/0[Client2-Tunnel0]destination201.
1.
1.
1[Client2-Tunnel0]quit#配置静态路由.
[Client2]iproute-static10.
0.
1.
0255.
255.
255.
010.
1.
0.
1[Client2]iproute-static10.
0.
2.
0255.
255.
255.
010.
1.
0.
1