SECPATH典型組網(wǎng)及維護案例

培訓(xùn)提綱產(chǎn)品簡介產(chǎn)品特色典型組網(wǎng)典型配置常見問題分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動態(tài)地址和穿越NAT的問題，

同時接受移動用戶使用Secpoint分部secpath100N和總部secpath1000實現(xiàn)GRE+IPSEC隧道IP網(wǎng)絡(luò)遠程辦公企業(yè)總部企業(yè)分支合作伙伴SecPath100VPN網(wǎng)關(guān)SecPath1000華為3ComVPN客戶端MCU應(yīng)用服務(wù)器群話音設(shè)備語音視頻數(shù)據(jù)語音視頻數(shù)據(jù)VPN隧道SecPath100分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動態(tài)地址和穿越NAT的問題，

同時接受移動用戶使用Secpoint-----------secpath100----------------Internet----------------secpath1000-------ipsec-----------------------------------------------------ipsec

ikelocal-namezongbu假設(shè)公網(wǎng)地址：secpath100:(動態(tài)),secpath1000:(固定)分部Ikelocal-namefenbu總部ikelocal-namezongbuIpsec使用隧道方式封裝私網(wǎng)數(shù)據(jù)流Ipsec安全提議使用esp協(xié)議，認(rèn)證算法MD5，加密算法3DES預(yù)共享密鑰12345同時總部的secpath1000還接受VPN客戶端Secpoint接入L2tp隧道名Client_Secpoint隧道使用同樣的Ipsec策略加密Aaa驗證使用rsaaceserver進行radius驗證和計費用戶密碼采用雙因素pin碼+Token碼保證安全和唯一相關(guān)配置如下：secpath100:#ikelocal-namefenbu#ikepeer1exchange-modeaggressivepre-shared-key12345id-typenameremote-namezongburemote-addressnattraversal#ipsecproposal1espencryption-algorithm3des#ipsecpolicy11isakmpsecurityacl3000ike-peer1proposal1#interfaceEthernet0/0ipaddress這里可能是動態(tài)獲得比如dhcpipsecpolicy1#interfaceEthernet0/1ipaddress私網(wǎng)地址#aclnumber3000rule0permitipsource55destination55定義分部和總部私網(wǎng)之間數(shù)據(jù)流的ACL#分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動態(tài)地址和穿越NAT的問題，

同時接受移動用戶使用Secpoint總部Secpath1000相關(guān)配置如下：#l2tpenable#ippool100#aaaenableaaaaccounting-schemeoptionalradiusserver00authentication-port1645accounting-port1646radiusshared-keyabcdef98765//radius預(yù)共享密鑰radiustimerresponse-timeout120aaaaccounting-schemepppdefaultstart-stopradiusaaaauthentication-schemepppdefaultradius#ikelocal-namezongbu//總部ikelocal-name#ikepeer1exchange-modeaggressive//野蠻模式pre-shared-key12345//預(yù)共享密鑰id-typenameremote-namefenbunattraversal//nat穿越max-connections1000//此peer最大允許1000個用戶同時使用#ipsecproposal1espencryption-algorithm3des#ipsecpolicy-templatetp1//ipsec策略模板配置，不用配置aclike-peer1proposal1#ipsecpolicy11isakmptemplatetp#interfaceVirtual-Template1//接受l2tp接入的虛模板pppauthentication-modepapipaddressremoteaddresspool1#interfaceGigabitEthernet0/0ipaddress//公網(wǎng)固定地址ipsecpolicy1#interfaceGigabitEthernet0/1ipaddress//私網(wǎng)口#interfaceNULL0#l2tp-group1//l2tp配置undotunnelauthentication//不使用隧道驗證allowl2tpvirtual-template1remoteClient_Secpoint//指定l2tp對端隧道名#分部secpath100N和總部secpath1000使用IPSec,

IPSec配置使用野蠻模式名字方式加策略模板解決分部動態(tài)地址和穿越NAT的問題，

同時接受移動用戶使用Secpoint詳細(xì)配置步驟請參見如下典型配置注意理解文件中所附的隧道報文格式基本配置如果對報文格式?jīng)]有明晰的概念，則配置VPN很容易出錯DVPN典型配置華為3Com的動態(tài)VPN技術(shù)解決了全網(wǎng)互聯(lián)N/2問題，配置太輕松了！IP網(wǎng)絡(luò)企業(yè)總部企業(yè)分支企業(yè)分支合作伙伴VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)采用C/S結(jié)構(gòu)分支節(jié)點自動建立隧道實現(xiàn)互訪降低總部設(shè)備數(shù)據(jù)壓力維護隧道數(shù)量降到最小N*(N-1)/2-----------N-1

DVPN優(yōu)點支持NAT穿越動態(tài)建立，支持動態(tài)地址支持認(rèn)證支持多個VPN域支持動態(tài)路由DVPN典型配置

DVPN原理

動態(tài)VPN采用了Client/Server的方式，一臺路由器作為Server，其他的路由器作為Client。每個Client都需要到Server進行注冊，注冊成功之后Client就可以互相通訊了。Server在一個VPN當(dāng)中的主要任務(wù)就是獲得Client的注冊信息，當(dāng)有一個Client需要訪問另一個Client時通知該Client所要到達目的地的真正地址。DVPN典型配置sever|----------||clientAclientB一個server,兩個client,使用udp封裝可以穿越NAT隧道上運行OSPF動態(tài)路由此配置未使用ipsec加密dvpn數(shù)據(jù)如果需要使用ipsec加密則和前一個典型配置大致相同，不同的是在客戶端定義acl時指定Dvpn數(shù)據(jù)流即可DVPN典型配置#sysnameClientA#interfaceDialer0link-protocolpppipaddress#interfaceEthernet1/0ipaddress#interfaceAtm2/0adslstandardgdmt#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceEthernet1/0dvpnserverserverdvpnvpn-id100dvpnudp-port8000ospfnetwork-typep2mp#ospf1areanetwork55network55#dvpnclassserverpublic-ipprivate-ipudp-port8005#return#sysnameClientB#interfaceDialer0link-protocolpppipaddress#interfaceEthernet1/0ipaddress#interfaceAtm2/0adslstandardgdmt#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceEthernet1/0dvpnserverserverdvpnvpn-id100dvpnudp-port8003ospfnetwork-typep2mp#ospf1areanetwork55network55#dvpnclassserverpublic-ipprivate-ipudp-port8005#return#sysnameserver#interfaceAux0asyncmodeflowlink-protocolppp#interfaceDialer0link-protocolpppipaddress#interfaceGigabitEthernet0/0#interfaceGigabitEthernet0/1ipaddress#interfaceTunnel0ipaddresstunnel-protocoludpdvpnsourceGigabitEthernet0/1dvpninterface-typeserverdvpnvpn-id100dvpnudp-port8005ospfnetwork-typep2mp#interfaceNULL0#ospf1areanetwork55network55#user-interfacecon0user-interfaceaux0user-interfacevty04#returnOSPFoverGREoverIPSec典型配置Internet移動辦公SecPoint分支機構(gòu)L2TP+IPSEC隧道SecPath100N公司總部內(nèi)網(wǎng)SecPath1000SecPath1000RSAACESERVEROSPFOVERGREOVERIPSEC隧道L2TPOVERIPSEC隧道OSPFoverGREoverIPSec典型配置組網(wǎng)說明：此方案能夠解決分支機構(gòu)的IP地址是通過ISP動態(tài)獲取，而且Secpath網(wǎng)關(guān)互相備份，同時在GRE封裝上實現(xiàn)ipsec加密等多個需求。支機構(gòu)的用戶上網(wǎng)方式?jīng)]有限制，撥號或者固定IP上網(wǎng)。 分支機構(gòu)的網(wǎng)關(guān)設(shè)備接口地址是動態(tài)獲取的 公司總部有兩臺SecPath，兩臺SecPath互相備份 公司總部與分支機構(gòu)之間的數(shù)據(jù)連接要求IPSEC加密 3680模擬Internet，為分支結(jié)構(gòu)動態(tài)分配IP地址

/24-----2630-----------secpath1----------

3680-------------1760---/24

/24-----3640-----------secpath2----------

OSPFoverGREoverIPSec典型配置參見如下文檔注意事項Tunnel的外層IP不要在OSPF中發(fā)布，否則會引起路由自環(huán)RSAACESERVER典型配置EncryptedtunnelthroughpublicnetworkInternet華為3Com客戶端軟件移動用戶接入動態(tài)IP地址動態(tài)令牌用戶認(rèn)證，保證用戶的唯一性用戶名和密碼企業(yè)總部用戶動態(tài)認(rèn)證服務(wù)器RSAACE/ServerRADIUS服務(wù)器RSAACESERVER典型配置參見如下文檔CA證書驗證配置

X.509證書格式對證書的摘要用私鑰加密數(shù)字簽名

X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標(biāo)準(zhǔn)。

X.509證書由用戶公共密鑰與用戶標(biāo)識符組成，此外還包括版本號、證書序列號、、CA標(biāo)識符、簽名算法標(biāo)識、簽發(fā)者名稱、證書有效期等。#配置PKI域參數(shù)。pkidomainhumancaidentifierWIN2000SERVERcertificaterequesturl/certsrv/mscep/mscep.dllcertificaterequestfromracertificaterequestentitytestcrlcheckdisable##配置PKI實體參數(shù)。pkientitytestcommon-name1000Aip##配置IKE協(xié)商使用數(shù)字證書。ikeproposal1authentication-methodrsa-signature##配置IKEpeer與PKI域關(guān)聯(lián)。ikepeerpeer1remote-addresscertificatedomainhumanCA證書驗證配置#配置完畢，執(zhí)行如下步驟獲取證書#用RSA算法生成本地的密鑰對，可以制定密鑰長度rsalocal-key-paircreate#手工申請獲得CA證書pkiretrieval-certificatecadomainhuman#手工申請獲得設(shè)備本地證書pkirequest-certificatedomainhuman#手工察看獲得的CA和設(shè)備本地證書dispkicertificatecadomainhumandispkicertificatelocaldomainhumanCA證書驗證配置＃查看相關(guān)文件<SecPath1000-A>dir/allDirectoryofflash:/10-rw-716Nov18200412:15:51hostkey11-rw-572Nov18200412:15:54serverkey12-rw-3926Nov18200412:19:09human_ca.cer13-rw-1298Nov18200412:19:32human_local.cerCA證書驗證配置CA證書驗證配置參見如下文檔IPSEC野蠻模式和NAT穿越NATISPISPNAT企業(yè)總部企業(yè)分支企業(yè)分支ISP分配私網(wǎng)IP地址傳統(tǒng)GREVPN隧道ISP分配私網(wǎng)IP地址UDPVPN隧道實現(xiàn)NAT穿越IP網(wǎng)VPN網(wǎng)關(guān)SecPath1000VPN網(wǎng)關(guān)SecPath100R1760R2610/11AR18-1XIP地址資源緊張ISP采用NAT設(shè)備傳統(tǒng)GREVPN隧道無法NAT穿越基于UDP協(xié)議的NAT穿越專利技術(shù)華為3Com提供的VPN解決方案可以輕松穿越NAT，可以使線路選擇更輕松。VPN網(wǎng)關(guān)SecPath100R1760R2610/11AR18-1Xikelocal-namefenbuikepeer1exchange-modeaggressivepre-shared-key12345id-typenameremote-namezongburemote-addressnattraversal#IPSEC野蠻模式和NAT穿越配置報文格式

Secpoint如何同時上公網(wǎng)和私網(wǎng)去掉該選項將需要訪問的私網(wǎng)網(wǎng)段手工加入Secpoint連接后，在DOS提示符下輸入”routeprint”，可以看到有這么幾條路由：200020//第1條指公網(wǎng)默認(rèn)路由。去公網(wǎng)數(shù)據(jù)仍然走默認(rèn)路由。//第2條中的“0”指Secpoint動態(tài)獲得的路由，所有去往私網(wǎng)的數(shù)據(jù)走這條路由。培訓(xùn)提綱產(chǎn)品簡介產(chǎn)品特色典型組網(wǎng)典型配置常見問題路由問題路由設(shè)置常見錯誤一：

啟用IPSEC或GRE后無指向?qū)Χ怂骄W(wǎng)的路由。

IPSEC時去往對端私網(wǎng)的路由指向公網(wǎng)的上端路由。

GRE時去往對端私網(wǎng)的路由指向相應(yīng)的Tunnel口。常見錯誤二：

DVPN去往對端私網(wǎng)的路由直接指向Tunnel口。

如：Iproute24tunnel0

由于DVPN支持與多個遠端建立隧道，因此必須指定遠端隧道的地址。

要更改為：iproute24IPSEC的ACL問題

ACL設(shè)定常見錯誤一：

Acl

nu3000

Ruledenyip

Rulepermitip

sou55des55

所有數(shù)據(jù)流被deny常見錯誤二：

總部采用模板配置

ipsecpolicypolicy11isatemptemp

ike-peer1

prp1

分部有兩條具體的ACL

Acl

nu3000

Rulepermitip

sou55des55

Rulepermitip

sou55des55

導(dǎo)致的數(shù)據(jù)無法返回常見錯誤三：

總部對應(yīng)多個隧道，去往每個隧道的數(shù)據(jù)流重疊。

Acl

nu3000

Rulepermitip

sou55desany

acl

nu3001

Rulepermitip

sou55des55

無法匹配3001的數(shù)據(jù)流隧道上啟用動態(tài)路由隧道的外層IP頭

OSPFoverGREoverIPSEC：

inttunnel0

ipadd24

sou

des

int

loopback0

ip

sou32

隧道地址只是起路由作用，不封裝在外層IP頭。外層IP頭為SOU和DES地址。

OSPFoverGREoverIPSEC：

ospf

area0

network

network

network55

外層IP頭和外網(wǎng)IP都不能放在OSPF中，否則引起路由自環(huán)。路由啟用錯誤隧道如何嵌套GREoverIPSEC

安全性高

安全性低DVPNoverIPSECL2TPoverIPSECIPSECoverGREIPSECoverL2TPIPSECoverDVPN隧道與MTU分片發(fā)送MTU1200PCVPN網(wǎng)關(guān)internet網(wǎng)站

MTU工作過程IP,LENGTH>1200,DF=0IP,最大長度1200IP,LENGTH>1200,DF=1ICMP不可達，需要分片，MTU=1200（2）報文不可分片（1）報文可分片隧道與MTU