SANGFOR-IPSEC-V4.3-2012年度培訓(xùn)06-標(biāo)準(zhǔn)IPSEC-VPN-互聯(lián)配置-20120602

SANGFOR標(biāo)準(zhǔn)IPSECVPN互聯(lián)配置培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)標(biāo)準(zhǔn)IPSECVPN功能介紹1.了解標(biāo)準(zhǔn)IPSECVPN的應(yīng)用背景標(biāo)準(zhǔn)IPSECVPN建立過(guò)程

了解標(biāo)準(zhǔn)IPSECVPN建立連接的過(guò)程SANGFOR設(shè)備標(biāo)準(zhǔn)IPSECVPN互聯(lián)配置案例1.掌握和第三方設(shè)備進(jìn)行標(biāo)準(zhǔn)IPSECVPN互聯(lián)時(shí)，SANGFOR設(shè)備的配置標(biāo)準(zhǔn)IPSECVPN功能介紹標(biāo)準(zhǔn)IPSECVPN建立過(guò)程SANGFOR標(biāo)準(zhǔn)IPSECVPN典型應(yīng)用案例及配置SANGFORIPSEC練練手標(biāo)準(zhǔn)IPSECVPN功能介紹IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過(guò)加密和數(shù)據(jù)摘要(hash)等手段，來(lái)保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私密性(confidentiality)

、完整性(dataintegrity)和真實(shí)性(originauthentication)。標(biāo)準(zhǔn)IPSECVPN功能介紹通過(guò)加密保證數(shù)據(jù)的私密性私密性：防止信息泄漏給未經(jīng)授權(quán)的個(gè)人通過(guò)加密把數(shù)據(jù)從明文變成無(wú)法讀懂的密文，從而確保數(shù)據(jù)的私密性Internet4ehIDx67NMop9eRU78IOPotVBn45TR土豆批發(fā)價(jià)兩塊錢一斤實(shí)在是看不懂加密4ehIDx67NMop9eRU78IOPotVBn45TR解密土豆批發(fā)價(jià)兩塊錢一斤標(biāo)準(zhǔn)IPSECVPN功能介紹

對(duì)數(shù)據(jù)進(jìn)行hash運(yùn)算來(lái)保證完整性完整性：數(shù)據(jù)沒有被非法篡改，通過(guò)對(duì)數(shù)據(jù)進(jìn)行hash運(yùn)算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性。土豆兩塊錢一斤Hash4ehIDx67NMop9土豆兩塊錢一斤4ehIDx67NMop9土豆三塊錢一斤4ehIDx67NMop9我偷改數(shù)據(jù)Hash2fwex67N32rfee3兩者不一致代表數(shù)據(jù)已被篡改標(biāo)準(zhǔn)IPSECVPN功能介紹

對(duì)數(shù)據(jù)和密鑰一起進(jìn)行hash運(yùn)算攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。通過(guò)把數(shù)據(jù)和密鑰一起進(jìn)行hash運(yùn)算，可以有效抵御上述攻擊。土豆兩塊錢一斤Hashfefe23fgrNMop7土豆兩塊錢一斤fefe23fgrNMop7土豆三塊錢一斤2fwex67N32rfee3我同時(shí)改數(shù)據(jù)和摘要兩者還是不一致Hashfergergr23frewfgh標(biāo)準(zhǔn)IPSECVPN功能介紹通過(guò)身份認(rèn)證保證數(shù)據(jù)的真實(shí)性真實(shí)性：數(shù)據(jù)確實(shí)是由特定的對(duì)端發(fā)出。通過(guò)身份認(rèn)證可以保證數(shù)據(jù)的真實(shí)性。常用的身份認(rèn)證方式包括：Pre-sharedkey，預(yù)共享密鑰RSASignature，數(shù)字簽名標(biāo)準(zhǔn)IPSECVPN建立過(guò)程標(biāo)準(zhǔn)IPSECVPN建立的過(guò)程需要保護(hù)的流量流經(jīng)路由器，觸發(fā)路由器啟動(dòng)相關(guān)的協(xié)商過(guò)程。啟動(dòng)IKE(Internetkeyexchange)階段1，對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條平安的通道。啟動(dòng)IKE階段2，在上述平安通道上協(xié)商IPSec參數(shù)。按協(xié)商好的IPSec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)。HostAHostBRouterARouterB標(biāo)準(zhǔn)IPSECVPN建立過(guò)程HostAHostBRouterARouterBIKE階段1協(xié)商建立IKE平安通道所使用的參數(shù)交換預(yù)共享密鑰雙方身份認(rèn)證建立IKE平安通道協(xié)商建立IKE平安通道所使用的參數(shù)交換預(yù)共享密鑰雙方身份認(rèn)證建立IKE平安通道標(biāo)準(zhǔn)IPSECVPN建立過(guò)程IKE階段1協(xié)商建立IKE平安通道所使用的參數(shù)，包括：加密算法Hash算法DH算法身份認(rèn)證方法存活時(shí)間標(biāo)準(zhǔn)IPSECVPN建立過(guò)程HostAHostBRouterARouterBIKE階段2協(xié)商IPSec平安參數(shù)建立IPSecSA協(xié)商IPSec平安參數(shù)建立IPSecSA標(biāo)準(zhǔn)IPSECVPN建立過(guò)程IKE階段2雙方協(xié)商IPSec平安參數(shù)，稱為變換集transformset，包括：加密算法Hash算法平安協(xié)議封裝模式存活時(shí)間DH算法Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetime標(biāo)準(zhǔn)IPSECVPN建立過(guò)程IPSecSA(平安關(guān)聯(lián)，SecurityAssociation)：到達(dá)lifetime以后，原有的IPSecSA就會(huì)被刪除如果正在傳輸數(shù)據(jù)，系統(tǒng)會(huì)在原SA超時(shí)之前自動(dòng)協(xié)商建立新的SA，從而保證數(shù)據(jù)的傳輸不會(huì)因此而中斷。SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24220.10.10.10/30110.120.10.10/30192.168.20.0/24SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置環(huán)境：一客戶購(gòu)置一臺(tái)M5100-Q設(shè)備部署在深圳，公網(wǎng)地址為：，在北京有一臺(tái)思科的路由器，公網(wǎng)地址為：。需求：客戶希望通過(guò)SANGFOR設(shè)備的IPSECVPN和思科路由器的VPN互聯(lián)，實(shí)現(xiàn)、與網(wǎng)段互訪。SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置配置思路：1.確定配置標(biāo)準(zhǔn)IPSEC的前提條件A:確保SANGFOR設(shè)備序列號(hào)里有分支授權(quán)，B:兩端設(shè)備能正常上網(wǎng)，并且至少保證有一端有固定公網(wǎng)IP2.配置第一階段，確定傳輸模式，對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端建立一條平安通道?！膊捎弥髂Ｊ交蛘咭靶U模式〕3.配置平安選項(xiàng)，包括協(xié)議，認(rèn)證算法，加密算法4.配置第二階段，在上述平安通道上協(xié)商IPSEC參數(shù)，設(shè)置出入站策略。注：當(dāng)兩端有一端是拔號(hào)的情況下只能采用野蠻模式SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置Cisco路由器配置命令如下：〔Cisco某些版本可能配置命令不一樣，但過(guò)程一樣〕Conft//進(jìn)入特權(quán)模式配置cryptoisakmpkeysangforaddress//創(chuàng)立預(yù)共享密鑰以及對(duì)端地址cryptoisakmppolicy100//創(chuàng)立isakmp策略〔第一階段策略〕hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置認(rèn)證方式〔預(yù)共享密鑰〕exit//退出isakmp策略配置access-list100permitipaccess-list100permitip//創(chuàng)立ACL，類似我們的出入站策略，允許本端網(wǎng)段訪問(wèn)對(duì)端網(wǎng)段主模式互聯(lián)〔雙方都有固定公網(wǎng)IP〕SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//創(chuàng)立變換集及策略modetunnel//配置傳輸模式〔隧道模式〕SANGFOR只支持隧道模式exit//退出變換集cryptomapsangfor100ipsec-isakmp//創(chuàng)立IPsec策略〔第二階段〕setpeer220.10.10.10//配置對(duì)端地址settransform-setsangforvpn//綁定變換集到映射圖setpfsgroup2//配置密鑰完美向前保護(hù)〔請(qǐng)注意跟第一階段DH群一樣〕matchaddress100//配置映射圖匹配的ACL策略exit//退出配置映射圖interfacee0/0//進(jìn)入Cisco外網(wǎng)口cryptomapsangfor//將映射圖綁定到接口exit//退出接口配置SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置主模式互聯(lián)〔雙方都有固定IP〕SANGFOR設(shè)備配置：1.設(shè)置第一階段，雙方身份認(rèn)證，設(shè)置參數(shù)和CISCO保持一致。選擇為主模式配置對(duì)端的固定公網(wǎng)IP設(shè)置IKE參數(shù)，與對(duì)端設(shè)備保持一致SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置2.按協(xié)商好的IPSec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)，保持和CISCO配置一致。選擇協(xié)議，認(rèn)證算法和加密算法，與對(duì)端設(shè)備一致。SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置3.第二階段，在上述平安通道上協(xié)商IPSec參數(shù)，設(shè)備出入站策略，出站策略為，，入站策略為。配置入站策略，源地址為對(duì)端的內(nèi)網(wǎng)地址出站策略中，源地址為本地內(nèi)網(wǎng)IP以上步驟完成，即完成了本例所有配置，實(shí)現(xiàn)SANGFOR與CISCO建立IPSECVPN連接勾選啟用策略和啟用密鑰完美向前保密SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備撥號(hào)，CISCO為固定IP〕，拓樸如下：INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24ADSL110.120.10.10/30192.168.20.0/24SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備撥號(hào)，CISCO為固定IP〕Cisco路由器的配置命令如下：Conft//進(jìn)入特權(quán)模式配置hostnamecisco//創(chuàng)立路由器名字，該名字就是它的野蠻模式身份IDcryptoisakmpkeysangforhostnamesangfor//創(chuàng)立預(yù)共享密鑰，以及對(duì)端野蠻模式身份IDcryptoisakmpidentityhostname//用hostname再次校驗(yàn)身份cryptoisakmppolicy100//創(chuàng)立isakmp策略〔第一階段策略〕hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置認(rèn)證方式〔預(yù)共享密鑰〕exit//退出isakmp策略配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//創(chuàng)立變換集及策略modetunnel//配置傳輸模式〔隧道模式〕SANGFOR只支持隧道模式exit//退出變換集配置SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置access-list100permitipaccess-list100permitip//創(chuàng)立ACL，類似我們的出入站策略，允許本端網(wǎng)段訪問(wèn)對(duì)端網(wǎng)段cryptodynamic-mapsangfor100//創(chuàng)立動(dòng)態(tài)映射圖settransform-setsangforvpn//綁定變換集到映射圖setpfsgroup2//配置完美密鑰向前保護(hù)〔跟第一階段一致〕matchaddress100//匹配ACL策略exit//退出映射圖配置cryptomapsangfor100ipsec-isakmpdynamicsangfor//創(chuàng)立IPsec策略〔第二階段〕inte0/0//進(jìn)入Cisco外網(wǎng)口cryptomapsangfor//將映射圖綁定到接口exit//退出接口配置SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備撥號(hào)，CISCO為固定IP〕SANGFOR設(shè)備配置：1.設(shè)置第一階段，雙方身份認(rèn)證，設(shè)置參數(shù)和CISCO保持一致。選擇野蠻模式遠(yuǎn)程IP為對(duì)端的公網(wǎng)IPIKE參數(shù)與對(duì)端保持一致野蠻模式時(shí)，需要填寫我方身份ID與對(duì)端的ID，注意對(duì)端ID后要加.SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置2.按協(xié)商好的IPSec參數(shù)對(duì)數(shù)據(jù)流進(jìn)行加密、hash等保護(hù)，保持和CISCO配置一致。在平安選項(xiàng)中選擇協(xié)議，認(rèn)證算法和加密碼算法，與對(duì)端設(shè)備一致SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置3.第二階段，在上述平安通道上協(xié)商IPSec參數(shù)，設(shè)置出入站策略，出站策略為，，入站策略為。設(shè)置出入站策略SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備固定IP，CISCO為撥號(hào)〕，拓樸如下：INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24220.10.10.10/30ADSL192.168.20.0/24SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置野蠻模式互聯(lián)〔SANGFOR設(shè)備固定IP，CISCO為撥號(hào)〕conft//進(jìn)入特權(quán)模式配置cryptoisakmppolicy100//創(chuàng)立isakmp策略〔第一階段〕hashmd5//hash算法encry3des//加密算法group2//DH群authpre-share//身份認(rèn)證方式exit//退出isakmp策略配置cryptoisakmppeeraddress201.1.1.2//創(chuàng)立isakmp對(duì)端地址setaggressive-modepasswordsangfor//創(chuàng)立預(yù)共享密鑰setaggressive-modeclient-endpointfqdncisco//創(chuàng)立本端野蠻模式IDexit//退出cryptoipsectransform-setsangforesp-3desesp-md5-hmac//創(chuàng)立變換集及策略modetunnel//配置成隧道模式exit//退出SANGFOR標(biāo)準(zhǔn)IPSEC典型應(yīng)用案例及配置access-list100permitipaccess-list100permitip//創(chuàng)立ACL，類似我們的出入站策略，允許本端網(wǎng)段訪問(wèn)對(duì)端網(wǎng)段cryptomapsangfor100ipsec-isakmp//創(chuàng)立映射圖setpeer//配置對(duì)端地址setpfsgroup2//配置完美密鑰向前保護(hù)〔跟第一階段一致〕settransform-setsangfor//綁定變換集到映射圖setsecurity-assoc