SECPATH典型組網(wǎng)及維護(hù)案例_第1頁(yè)
SECPATH典型組網(wǎng)及維護(hù)案例_第2頁(yè)
SECPATH典型組網(wǎng)及維護(hù)案例_第3頁(yè)
SECPATH典型組網(wǎng)及維護(hù)案例_第4頁(yè)
SECPATH典型組網(wǎng)及維護(hù)案例_第5頁(yè)
已閱讀5頁(yè),還剩29頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

培訓(xùn)提綱產(chǎn)品簡(jiǎn)介產(chǎn)品特色典型組網(wǎng)典型配置常見問(wèn)題分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動(dòng)態(tài)地址和穿越NAT的問(wèn)題,

同時(shí)接受移動(dòng)用戶使用Secpoint分部secpath100N和總部secpath1000實(shí)現(xiàn)GRE+IPSEC隧道IP網(wǎng)絡(luò)遠(yuǎn)程辦公企業(yè)總部企業(yè)分支合作伙伴SecPath100VPN網(wǎng)關(guān)SecPath1000華為3ComVPN客戶端MCU應(yīng)用服務(wù)器群話音設(shè)備語(yǔ)音視頻數(shù)據(jù)語(yǔ)音視頻數(shù)據(jù)VPN隧道SecPath100分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動(dòng)態(tài)地址和穿越NAT的問(wèn)題,

同時(shí)接受移動(dòng)用戶使用Secpoint-----------secpath100----------------Internet----------------secpath1000-------ipsec-----------------------------------------------------ipsec

ikelocal-namezongbu假設(shè)公網(wǎng)地址:secpath100:(動(dòng)態(tài)),secpath1000:(固定)分部Ikelocal-namefenbu總部ikelocal-namezongbuIpsec使用隧道方式封裝私網(wǎng)數(shù)據(jù)流Ipsec安全提議使用esp協(xié)議,認(rèn)證算法MD5,加密算法3DES預(yù)共享密鑰12345同時(shí)總部的secpath1000還接受VPN客戶端Secpoint接入L2tp隧道名Client_Secpoint隧道使用同樣的Ipsec策略加密Aaa驗(yàn)證使用rsaaceserver進(jìn)行radius驗(yàn)證和計(jì)費(fèi)用戶密碼采用雙因素pin碼+Token碼保證安全和唯一相關(guān)配置如下:secpath100:#ikelocal-namefenbu#ikepeer1exchange-modeaggressivepre-shared-key12345id-typenameremote-namezongburemote-addressnattraversal#ipsecproposal1espencryption-algorithm3des#ipsecpolicy11isakmpsecurityacl3000ike-peer1proposal1#interfaceEthernet0/0ipaddress這里可能是動(dòng)態(tài)獲得比如dhcpipsecpolicy1#interfaceEthernet0/1ipaddress私網(wǎng)地址#aclnumber3000rule0permitipsource55destination55定義分部和總部私網(wǎng)之間數(shù)據(jù)流的ACL#分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動(dòng)態(tài)地址和穿越NAT的問(wèn)題,

同時(shí)接受移動(dòng)用戶使用Secpoint總部Secpath1000相關(guān)配置如下:#l2tpenable#ippool100#aaaenableaaaaccounting-schemeoptionalradiusserver00authentication-port1645accounting-port1646radiusshared-keyabcdef98765//radius預(yù)共享密鑰radiustimerresponse-timeout120aaaaccounting-schemepppdefaultstart-stopradiusaaaauthentication-schemepppdefaultradius#ikelocal-namezongbu//總部ikelocal-name#ikepeer1exchange-modeaggressive//野蠻模式pre-shared-key12345//預(yù)共享密鑰id-typenameremote-namefenbunattraversal//nat穿越max-connections1000//此peer最大允許1000個(gè)用戶同時(shí)使用#ipsecproposal1espencryption-algorithm3des#ipsecpolicy-templatetp1//ipsec策略模板配置,不用配置aclike-peer1proposal1#ipsecpolicy11isakmptemplatetp#interfaceVirtual-Template1//接受l2tp接入的虛模板pppauthentication-modepapipaddressremoteaddresspool1#interfaceGigabitEthernet0/0ipaddress//公網(wǎng)固定地址ipsecpolicy1#interfaceGigabitEthernet0/1ipaddress//私網(wǎng)口#interfaceNULL0#l2tp-group1//l2tp配置undotunnelauthentication//不使用隧道驗(yàn)證allowl2tpvirtual-template1remoteClient_Secpoint//指定l2tp對(duì)端隧道名#分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動(dòng)態(tài)地址和穿越NAT的問(wèn)題,

同時(shí)接受移動(dòng)用戶使用Secpoint詳細(xì)配置步驟請(qǐng)參見如下典型配置注意理解文件中所附的隧道報(bào)文格式基本配置如果對(duì)報(bào)文格式?jīng)]有明晰的概念,則配置VPN很容易出錯(cuò)DVPN典型配置華為3Com的動(dòng)態(tài)VPN技術(shù)解決了全網(wǎng)互聯(lián)N/2問(wèn)題,配置太輕松了!IP網(wǎng)絡(luò)企業(yè)總部企業(yè)分支企業(yè)分支合作伙伴VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)采用C/S結(jié)構(gòu)分支節(jié)點(diǎn)自動(dòng)建立隧道實(shí)現(xiàn)互訪降低總部設(shè)備數(shù)據(jù)壓力維護(hù)隧道數(shù)量降到最小N*(N-1)/2-----------N-1

DVPN優(yōu)點(diǎn)支持NAT穿越動(dòng)態(tài)建立,支持動(dòng)態(tài)地址支持認(rèn)證支持多個(gè)VPN域支持動(dòng)態(tài)路由DVPN典型配置

DVPN原理

動(dòng)態(tài)VPN采用了Client/Server的方式,一臺(tái)路由器作為Server,其他的路由器作為Client。每個(gè)Client都需要到Server進(jìn)行注冊(cè),注冊(cè)成功之后Client就可以互相通訊了。Server在一個(gè)VPN當(dāng)中的主要任務(wù)就是獲得Client的注冊(cè)信息,當(dāng)有一個(gè)Client需要訪問(wèn)另一個(gè)Client時(shí)通知該Client所要到達(dá)目的地的真正地址。DVPN典型配置sever|----------||clientAclientB一個(gè)server,兩個(gè)client,使用udp封裝可以穿越NAT隧道上運(yùn)行OSPF動(dòng)態(tài)路由此配置未使用ipsec加密dvpn數(shù)據(jù)如果需要使用ipsec加密則和前一個(gè)典型配置大致相同,不同的是在客戶端定義acl時(shí)指定Dvpn數(shù)據(jù)流即可DVPN典型配置#sysnameClientA#interfaceDialer0link-protocolpppipaddress#interfaceEthernet1/0ipaddress#interfaceAtm2/0adslstandardgdmt#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceEthernet1/0dvpnserverserverdvpnvpn-id100dvpnudp-port8000ospfnetwork-typep2mp#ospf1areanetwork55network55#dvpnclassserverpublic-ipprivate-ipudp-port8005#return#sysnameClientB#interfaceDialer0link-protocolpppipaddress#interfaceEthernet1/0ipaddress#interfaceAtm2/0adslstandardgdmt#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceEthernet1/0dvpnserverserverdvpnvpn-id100dvpnudp-port8003ospfnetwork-typep2mp#ospf1areanetwork55network55#dvpnclassserverpublic-ipprivate-ipudp-port8005#return#sysnameserver#interfaceAux0asyncmodeflowlink-protocolppp#interfaceDialer0link-protocolpppipaddress#interfaceGigabitEthernet0/0#interfaceGigabitEthernet0/1ipaddress#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceGigabitEthernet0/1dvpninterface-typeserverdvpnvpn-id100dvpnudp-port8005ospfnetwork-typep2mp#interfaceNULL0#ospf1areanetwork55network55#user-interfacecon0user-interfaceaux0user-interfacevty04#returnOSPFoverGREoverIPSec典型配置Internet移動(dòng)辦公SecPoint分支機(jī)構(gòu)L2TP+IPSEC隧道SecPath100N公司總部?jī)?nèi)網(wǎng)SecPath1000SecPath1000RSAACESERVEROSPFOVERGREOVERIPSEC隧道L2TPOVERIPSEC隧道OSPFoverGREoverIPSec典型配置組網(wǎng)說(shuō)明:此方案能夠解決分支機(jī)構(gòu)的IP地址是通過(guò)ISP動(dòng)態(tài)獲取,而且Secpath網(wǎng)關(guān)互相備份,同時(shí)在GRE封裝上實(shí)現(xiàn)ipsec加密等多個(gè)需求。支機(jī)構(gòu)的用戶上網(wǎng)方式?jīng)]有限制,撥號(hào)或者固定IP上網(wǎng)。 分支機(jī)構(gòu)的網(wǎng)關(guān)設(shè)備接口地址是動(dòng)態(tài)獲取的 公司總部有兩臺(tái)SecPath,兩臺(tái)SecPath互相備份 公司總部與分支機(jī)構(gòu)之間的數(shù)據(jù)連接要求IPSEC加密 3680模擬Internet,為分支結(jié)構(gòu)動(dòng)態(tài)分配IP地址

/24-----2630-----------secpath1----------

3680-------------1760---/24

/24-----3640-----------secpath2----------

OSPFoverGREoverIPSec典型配置參見如下文檔注意事項(xiàng)Tunnel的外層IP不要在OSPF中發(fā)布,否則會(huì)引起路由自環(huán)RSAACESERVER典型配置EncryptedtunnelthroughpublicnetworkInternet華為3Com客戶端軟件移動(dòng)用戶接入動(dòng)態(tài)IP地址動(dòng)態(tài)令牌用戶認(rèn)證,保證用戶的唯一性用戶名和密碼企業(yè)總部用戶動(dòng)態(tài)認(rèn)證服務(wù)器RSAACE/ServerRADIUS服務(wù)器RSAACESERVER典型配置參見如下文檔CA證書驗(yàn)證配置

X.509證書格式對(duì)證書的摘要用私鑰加密數(shù)字簽名

X.509是由國(guó)際電信聯(lián)盟(ITU-T)制定的數(shù)字證書標(biāo)準(zhǔn)。

X.509證書由用戶公共密鑰與用戶標(biāo)識(shí)符組成,此外還包括版本號(hào)、證書序列號(hào)、、CA標(biāo)識(shí)符、簽名算法標(biāo)識(shí)、簽發(fā)者名稱、證書有效期等。#配置PKI域參數(shù)。pkidomainhumancaidentifierWIN2000SERVERcertificaterequesturl/certsrv/mscep/mscep.dllcertificaterequestfromracertificaterequestentitytestcrlcheckdisable##配置PKI實(shí)體參數(shù)。pkientitytestcommon-name1000Aip##配置IKE協(xié)商使用數(shù)字證書。ikeproposal1authentication-methodrsa-signature##配置IKEpeer與PKI域關(guān)聯(lián)。ikepeerpeer1remote-addresscertificatedomainhumanCA證書驗(yàn)證配置#配置完畢,執(zhí)行如下步驟獲取證書#用RSA算法生成本地的密鑰對(duì),可以制定密鑰長(zhǎng)度rsalocal-key-paircreate#手工申請(qǐng)獲得CA證書pkiretrieval-certificatecadomainhuman#手工申請(qǐng)獲得設(shè)備本地證書pkirequest-certificatedomainhuman#手工察看獲得的CA和設(shè)備本地證書dispkicertificatecadomainhumandispkicertificatelocaldomainhumanCA證書驗(yàn)證配置#查看相關(guān)文件<SecPath1000-A>dir/allDirectoryofflash:/10-rw-716Nov18200412:15:51hostkey11-rw-572Nov18200412:15:54serverkey12-rw-3926Nov18200412:19:09human_ca.cer13-rw-1298Nov18200412:19:32human_local.cerCA證書驗(yàn)證配置CA證書驗(yàn)證配置參見如下文檔IPSEC野蠻模式和NAT穿越NATISPISPNAT企業(yè)總部企業(yè)分支企業(yè)分支ISP分配私網(wǎng)IP地址傳統(tǒng)GREVPN隧道ISP分配私網(wǎng)IP地址UDPVPN隧道實(shí)現(xiàn)NAT穿越IP網(wǎng)VPN網(wǎng)關(guān)SecPath1000VPN網(wǎng)關(guān)SecPath100R1760R2610/11AR18-1XIP地址資源緊張ISP采用NAT設(shè)備傳統(tǒng)GREVPN隧道無(wú)法NAT穿越基于UDP協(xié)議的NAT穿越專利技術(shù)華為3Com提供的VPN解決方案可以輕松穿越NAT,可以使線路選擇更輕松。VPN網(wǎng)關(guān)SecPath100R1760R2610/11AR18-1Xikelocal-namefenbuikepeer1exchange-modeaggressivepre-shared-key12345id-typenameremote-namezongburemote-addressnattraversal#IPSEC野蠻模式和NAT穿越配置報(bào)文格式

Secpoint如何同時(shí)上公網(wǎng)和私網(wǎng)去掉該選項(xiàng)將需要訪問(wèn)的私網(wǎng)網(wǎng)段手工加入Secpoint連接后,在DOS提示符下輸入”routeprint”,可以看到有這么幾條路由:200020//第1條指公網(wǎng)默認(rèn)路由。去公網(wǎng)數(shù)據(jù)仍然走默認(rèn)路由。//第2條中的“0”指Secpoint動(dòng)態(tài)獲得的路由,所有去往私網(wǎng)的數(shù)據(jù)走這條路由。培訓(xùn)提綱產(chǎn)品簡(jiǎn)介產(chǎn)品特色典型組網(wǎng)典型配置常見問(wèn)題路由問(wèn)題路由設(shè)置常見錯(cuò)誤一:

啟用IPSEC或GRE后無(wú)指向?qū)Χ怂骄W(wǎng)的路由。

IPSEC時(shí)去往對(duì)端私網(wǎng)的路由指向公網(wǎng)的上端路由。

GRE時(shí)去往對(duì)端私網(wǎng)的路由指向相應(yīng)的Tunnel口。常見錯(cuò)誤二:

DVPN去往對(duì)端私網(wǎng)的路由直接指向Tunnel口。

如:Iproute24tunnel0

由于DVPN支持與多個(gè)遠(yuǎn)端建立隧道,因此必須指定遠(yuǎn)端隧道的地址。

要更改為:iproute24IPSEC的ACL問(wèn)題

ACL設(shè)定常見錯(cuò)誤一:

Acl

nu3000

Ruledenyip

Rulepermitip

sou55des55

所有數(shù)據(jù)流被deny常見錯(cuò)誤二:

總部采用模板配置

ipsecpolicypolicy11isatemptemp

ike-peer1

prp1

分部有兩條具體的ACL

Acl

nu3000

Rulepermitip

sou55des55

Rulepermitip

sou55des55

導(dǎo)致的數(shù)據(jù)無(wú)法返回常見錯(cuò)誤三:

總部對(duì)應(yīng)多個(gè)隧道,去往每個(gè)隧道的數(shù)據(jù)流重疊。

Acl

nu3000

Rulepermitip

sou55desany

acl

nu3001

Rulepermitip

sou55des55

無(wú)法匹配3001的數(shù)據(jù)流隧道上啟用動(dòng)態(tài)路由隧道的外層IP頭

OSPFoverGREoverIPSEC:

inttunnel0

ipadd24

sou

des

int

loopback0

ip

sou32

隧道地址只是起路由作用,不封裝在外層IP頭。外層IP頭為SOU和DES地址。

OSPFoverGREoverIPSEC:

ospf

area0

network

network

network55

外層IP頭和外網(wǎng)IP都不能放在OSPF中,否則引起路由自環(huán)。路由啟用錯(cuò)誤隧道如何嵌套GREoverIPSEC

安全性高

安全性低DVPNoverIPSECL2TPoverIPSECIPSECoverGREIPSECoverL2TPIPSECoverDVPN隧道與MTU分片發(fā)送MTU1200PCVPN網(wǎng)關(guān)internet網(wǎng)站

MTU工作過(guò)程IP,LENGTH>1200,DF=0IP,最大長(zhǎng)度1200IP,LENGTH>1200,DF=1ICMP不可達(dá),需要分片,MTU=1200(2)報(bào)文不可分片(1)報(bào)文可分片隧道與MTU

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論