• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

34-IPsec第三方对接典型配置举例

本章节下载 34-IPsec第三方对接典型配置举例  (1.22 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334157_30005_0.htm

34-IPsec第三方对接典型配置举例


1  简介

IPsec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPsec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:

·     数据的机密性:IPsec的发送方对发给对端的数据进行加密。

·     数据的完整性:IPsec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改。

·     数据来源的认证:IPsec接收方验证数据的起源。

·     抗重播:IPsec的接收方可以检测到重播的IP包并且丢弃。

使用IPsec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPsec的典型运用是构建VPN。IPsec使用 “封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ,根据安全策略数据库(SPDB)随IPsec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。

相关术语解释:

·     鉴别头(AH):用于验证数据包的安全协议。

·     封装安全有效载荷(ESP): 用于加密和验证数据包的安全协议;可与AH配合工作也可以单独工作。

·     加密算法:ESP所使用的加密算法。

·     验证算法:AH或ESP用来验证对方的验证算法。

·     密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是缺省的密钥自动交换协议。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3  使用限制

(1)     当使用FQDN、U-FQDN时,只能在野蛮模式下使用,主模式不支持。

(2)     当使用证书认证时,ID类型不可配置,只能使用它内部默认的ASN1DN类型,这是与证书认证配套使用的ID类型。

(3)     IDIKE协商中有校验对端身份的作用,我们设备只有响应方会校验,主动方不校验。

(4)     在野蛮模式下,还可以根据对端ID选用不同的IKE来与对端协商。主模式则不可以,因为主模式的ID是在最后两个交互报文发送的,而野蛮模式则在第一个报文中发送。

(5)     目前我们支持配置的ID类型为FQDN/UFQDNIP地址等类型。

(6)     其中FQDN是域名,U-FQDN是用户邮箱格式,但厂商实现的时候,也并不对这些格式进行校验,因此一般都是字符串。

(7)     IPsec 使用数字证书验证注意事项:

a.     IPSec的校验都是在响应端做的。

b.     本端设备会使用所有的本地CA证书对对端设备配置的用户证书进行校验,所以只要对端设备上有本端设备上IPsec配置的用户证书的CA证书就会验证通过,连接成功,和IPsec中配置的CA证书无关。

c.     当使用数字证书对接时,需要在本地证书处导入CRL。自动更新CRL必须是请求发起方的才行,才能把吊销证书的序列号同步过来,IPsec才能做校验。

d.     用户证书撤销了之后,应该在CA服务器—根CA配置管理——CRL管理,导出CRL,然后把CRL导入本地证书的CRL到才能和用户证书做校验。

e.     已撤销的证书,证书本身是证明不了自己已撤销。从CRL路径中获取revoke-list,然后获取证书的序列号,看该证书的序列号是否在revoke-list中,如果在,则校验失败。即该证书无效。

4  商密IPsec配置举例

4.1  组网需求

图1所示,ACG A 和ACG B之间使用商密标准建立一个安全隧道,对Host A 代表的子网(1.1.1.0/24)与Host B 代表的子网(2.2.2.0/24)之间的数据流进行安全保护。

图1 IPsec组网图

v

 

4.2  配置思路

(1)     按照组网图组网。

(2)     新建IKE协商。

(3)     配置IPsec协商策略。

(4)     新建所需地址对象。

(5)     新建IPsec安全策略。

(6)     新建IPsec隧道。

(7)     配置静态路由。

4.3  使用版本

本举例是在R6608版本上进行配置和验证的。

4.4  配置步骤

4.4.1  配置ACG1000系列产品

(1)     新建IKE协商

对设备ACG A的IKE配置如下图2所示。

图2 ACG A设备IKE配置

 

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

 

对设备ACG B的IKE配置如下图3所示。

图3 ACG B设备IKE配置

 

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

 

(2)     配置IPsec协商策略

对设备ACG A的IPsec协商策略配置如下图4所示。

图4 ACG A设备IPsec协商策略配置

 

对设备ACG B的IPsec协商策略配置如下图5所示。

图5 ACG B设备IPsec协商策略配置

 

(3)     新建所需地址对象配置如下图6所示。

图6 ACG 地址对象配置

 

(4)     新建IPSec安全策略配置如下图7所示。

图7  ACG  A设备配置信息

 

图8  ACG B设备配置信息配置如下图8所示。

 

(5)     新建IPSEC隧道接口

对设备ACG A的隧道接口配置如下图9所示。

图9 ACG A的隧道接口配置

 

对设备ACG B的隧道接口如下图10所示。

图10 ACG B的隧道接口配置

 

(6)     配置静态路由

需要将感兴趣流的路由指向tunnel口,配置如下图11所示。

图11 ACG A静态路由配置

 

图12 ACG B静态路由配置

 

4.5  验证配置

在导航栏中选择“VPN > IPsec-VPN > IPsec监控”,查看IPsec SA。

图13 ACG A的IPsec SA

 

图14 ACG B的IPsec SA

 

5  国密IPsec配置举例

5.1  组网需求

图15所示,在ACG A和ACG B之间使用国密标准建立一个安全隧道,对Host A 代表的子网(1.1.1.0/24)与Host B 代表的子网(2.2.2.0/24)之间的数据流进行安全保护。

图15 IPsec组网图

v

 

5.2  配置思路

(1)     按照组网图组网。

(2)     导入国密CA证书

(3)     导入国密用户证书

(4)     新建IKE协商

(5)     配置IPsec协商策略

(6)     新建所需地址对象

(7)     新建IPsec安全策略

(8)     新建IPsec隧道

(9)     配置静态路由

5.3  使用版本

本举例是在R6608版本上进行配置和验证的。

5.4  配置步骤

(1)     导入国密CA证书

注:国密证书需要向国密局申请,本案例中的国密证书是已申请下来的。

ACG A:进入对象管理>CA服务器>本地证书>证书>CA,点击导入。配置如下图16所示。

图16 ACG A导入国密CA证书

 

ACG B:进入对象管理>CA服务器>本地证书>证书>CA,点击导入。配置如下图17所示。

图17 ACG B导入国密CA证书

 

(2)     导入国密用户证书

ACG A:进入对象管理>CA服务器>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如下图18所示。

图18 ACG A导入本端国密用户证书

图19 ACG A导入对端国密用户证书

 

ACG B:进入对象管理>CA服务器>本地证书>证书>国密,点击导入。上传证书类型选择证书秘钥分离。配置如下图20所示。

图20 ACG B导入本端国密用户证书

图21 ACG B导入对端国密用户证书

 

(3)     新建IKE协商

对设备ACG A的IKE配置如下图22所示。

图22 ACG A设备IKE配置

 

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

对设备ACG B的IKE配置如下图23所示。

图23 ACG B设备IKE配置

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

 

(4)     配置IPsec协商策略

对设备ACG A的IPsec协商策略配置如下图24所示。

图24 ACG A设备IPsec协商策略配置

 

对设备ACG B的IPsec协商策略配置如下图25所示。

图25 ACG B设备IPsec协商策略配置

 

(5)     新建所需地址对象配置如下(4)图25所示。

图26 ACG 地址对象配置

 

(6)     新建IPSec安全策略   配置如下图27所示。

图27 ACG A设备配置信息

 

图28 ACG B设备配置信息

 

(7)     新建IPSEC隧道接口配置。

对设备ACG A的隧道接口如图29下所示。

图29 ACG A的隧道接口配置

 

对设备ACG B的隧道接口如下图30所示。

图30 ACG B的隧道接口配置

 

(8)     配置静态路由

需要将感兴趣流的路由指向tunnel口。

图31 ACG A静态路由配置

出接口配置方式:

 

图32 ACG B静态路由配置

出接口配置方式:

 

5.4.2  验证配置结果

在导航栏中选择“VPN > IPsec-VPN > IPsec监控”,查看IPsec SA。

图33 ACG A的IPsec SA

 

图34 ACG B的IPsec SA

6  HuB-Spoke组网IPsec配置举例

6.1  组网需求

图35所示,公司总部需要与两个分支建立IPsec,保证分支可以和总部内网互通,并且在ACG A 和ACG B之间通过总部的IPsec也可以互通。总部公网IP为固定地址(202.38.160.1),两分支出口IP为动态地址.需要对总部Sever子网(30.1.1.1/24),分支Host A 的子网(10.1.1.1/24)与分支Host B 的子网(20.1.1.0/24)之间的数据流进行安全保护。

图35 IPsec组网图

v

 

6.2  配置思路

(1)     按照组网图组网。

(2)     配置路由模式以及接口,使设备可以访问外网;

(3)     配置IKE;

(4)     配置IPsec;

(5)     配置地址对象

(6)     配置Tunnel口;

(7)     配置路由使Tunnel口互通;

(8)     配置安全策略;

(9)     查看IPSEC SA是否协商成功。

6.3  使用版本

本举例是在R6608版本上进行配置和验证的。

6.4  配置步骤

(1)     配置路由模式,使3台设备能够访问外网(基本访问外网的配置不再截图)。

(2)     配置IKE

配置HUB的IKE,进入VPN>IPsec-VPN>IPsec,点击新建,选择新建IKE。配置如下图36所示。

图36 HUB-Spoke的IKE配置

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

配置SPOKE A的IKE,进入VPN>IPsec-VPN>IPsec,点击新建,选择新建IKE。如下图37所示。

图37 SPOKE A的IKE配置

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

在SPOKE_B上配置与SPOKE_A协商参数一致的IKE,对端网关配置静态IP地址:202.38.160.1。

(3)     配置IPsec协商策略

配置HUB的IPSec,进入VPN>IPsec-VPN>IPsec,点击新建,选择新建IPsec协商策略配置如下图38所示。

图38 HUB的IPSec协商策略配置

 

配置SPOKE A的IPSec,进入VPN>IPsec-VPN>IPsec,点击新建,选择新建IPsec。配置如下图39所示。

图39 SPOKE A的IPSec协商策略配置

 

在SPOKE B上配置与ACG A协商参数一致的IPSec(分支端的ipsec配置自动连接,中心端的不配置自动连接)。

(4)     新建所需地址对象配置如下图40所示。

图40 ACG 地址对象配置

 

在Spoke A、Spoke B上也配置同样的地址对象。

(5)     HUB上配置安全策略,进入上网行为管理>策略配置>IPv4策略,点击新建。配置如下图41所示。

图41 ACG A设备配置信息

 

Spoke A、Spoke B上配置相同的全通策略。

(6)     新建IPSEC隧道接口

配置HUB的Tunnel口,进入VPN>IPsec-VPN>IPsec隧道接口,点击新建。配置如下图42所示。

图42 HUB的Tunnel口配置

 

配置Spoke A的Tunnel口,进入VPN>IPsec-VPN>IPsec隧道接口,点击新建。如下图43所示。

图43 Spoke A的Tunnel口配置

 

配置Spoke B的Tunnel口,进入VPN>IPsec-VPN>IPsec隧道接口,点击新建。如下图44所示。

图44 SpokeB的Tunnel口配置

 

(7)     配置路由使Tunnel口互通

配置hub为路由模式,进入网络配置>路由>静态路由,点击新建。配置如下图45所示。

图45 hub静态路由配置

 

配置Spoke_A为路由模式,进入网络配置>路由>静态路由,点击新建。配置如下图46所示。

图46 Spoke_A路由配置。

 

配置Spoke_B为路由模式,进入网络配置>路由>静态路由,点击新建。配置如下图47所示。

图47 Spoke_B路由配置

 

(8)     查看IPSec是否协商成功

HUB:进入VPN>IPsec-VPN>IPsec监控.如下图48所示。

图48 Spoke 设备SA状态

 

Spoke A:进入VPN>IPsec-VPN>IPsec监控.如下图49所示。

图49 Spoke A 设备SA状态

 

 

Spoke B:进入VPN>IPsec-VPN>IPsec监控.如下图50所示。

图50 Spoke B设备SA状态

 

 

6.4.2  验证配置结果

PC访问Server:Host A ping Host B IPsec SA。

host# display ip connection protocol icmp ip source any dest any app-name any

matched connection count: 10

Protocol:   ICMP State:Complete    PolicyID:-       VrfId:0

               Status: 0x00000c0a                   FastCode: 0x80010206

               UserName: 10.1.1.100                 AppName: -

               Expire: 00:00:03                     Existed: 00:02:05

               Source Dir: 10.1.1.100:8          >  20.1.1.100:0           PKTS 124

               Reply  Dir: 20.1.1.100:0          >  10.1.1.100:8           PKTS 124

 

host# display ip connection protocol tcp ip source 10.1.1.100 dest any app-name any

matched connection count: 12

Protocol:   ICMP State:Complete    PolicyID:-       VrfId:0

               Status: 0x00000c0e                   FastCode: 0x80010207

               UserName: 10.1.1.100                 AppName: FTP

               Expire: 00:00:09                     Existed: 00:00:13

               Source Dir: 10.1.1.100:3417       >  30.1.1.100:21          PKTS 3

               Reply  Dir: 30.1.1.100:21         >  10.1.1.100:3417        PKTS 0

7  客户端接入IPsec配置举例

7.1  组网需求

图51所示,由于公司业务扩大,在外办公人员较多,为了方便在外人员能够及时的访问到公司内部资料。在公司出口搭建remote IPsec建立一个安全隧道,对IPsec客户端的子网(172.16.190.1/24)与Server的子网(192.168.1.0/24)之间的数据流进行安全保护。

图51 IPsec组网图

 

7.2  配置思路

按照组网图组网。配置接口ip,路由以及NAT,使内网pc可以访问外网(基本配置不再赘述)。

(1)     配置IPsec IKE

(2)     配置IPSec VPN

(3)     配置本地用户

(4)     配置IPSec隧道接口

(5)     配置路由

(6)     配置策略

(7)     配置客户端

7.3  使用版本

本举例是在R6607版本上进行配置和验证的。

7.4  配置步骤

7.4.1  配置ACG1000系列产品

(1)     新建IKE协商

对设备ACG A的IKE配置如下(1)图52示。

图52 ACG A设备IKE配置

 

注意:如果本端有多个出口可以到达对端,则必须指定本地源IP或本地源接口。

地址池,点击新建,配置分配给客户端的子网。配置如下图53所示。

图53 Remote vpn地址池配置

 

(2)     配置IPsec协商策略

对设备ACG A的IPsec协商策略配置如下图54所示。

图54 ACG A设备IPsec协商策略配置

 

(3)     配置本地用户

进入用户管理>用户,点击新建。密码为123456。配置如下图55所示。

图55 新建本地用户配置

 

(4)     新建IPSec安全策略配置如下图56所示。

图56  ACG A设备配置信息

 

(5)     新建IPSEC隧道接口

进入VPN>IPSec-VPN>IPSec隧道接口,点击新建。配置如下图57所示。

图57 隧道接口配置

 

(6)     配置静态路由

进入网络配置>路由>静态路由,点击新建。配置如下图58所示。

图58 静态路由配置

 

(7)     PC客户端配置(vpn客户端使用的开源TheGreenBow IPsec VPN Client

PC安装好IPSec VPN客户端,新建一条隧道,网关ip地址为124.202.226.34,远端子网配置想要访问的子网(设置为192.168.1.0/24),认证方式:与共享密钥;密钥:123456,选择扩展认证,点设置,用户名为test,密码默认为123456。配置如下图59所示。

图59 TheGreenBow IPsec VPN Client配置

 

点高级,网关VPN的协商模式为主模式,具体参数与网关IPSec VPN的参数一致。

 

 

提交后,在二阶段tgbtest鼠标右键开启隧道出现认证页面输入用户名密码点击ok,详见下图。

7.5  验证配置

连接成功后,分配的ip地址为172.16.190.0/24,pc可以访问公司server。

8  相关资料

·     《H3C SecPath ACG1000系列应用控制网关Web配置手册》中的“标准IPsec”

·     《H3C SecPath ACG1000系列应用控制网关 典型配置举例》中的“标准IPsec”

·     《H3C SecPath ACG1000系列应用控制网关对外测试手册》中的“标准IPsec”

·     《H3C SecPath ACG1000系列应用控制网关 用户FAQ》中的“IPsec”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们