知识库与软件

IPSec配置界面(HiPER ReOS 2008 VPN配置手册)

文档编号:190
浏览:13709 评分:35
最后更新于:2008-08-15

  IPSec隧道存在于两个网关之间,每个网关需要一个IP 地址。正如前所述,IPSec的密钥管理对IPSecVPN的使用很关键,IPSec支持手动和自动密钥分配方法。手动密钥方式应用于较小和简单的网络,安全性较弱,而且它要求两个网关都使用固定IP地址;自动密钥方式大量应用于实际网络,它不仅可以应用于隧道两端网关均使用固定地址的情况,还可以应用于其中一个网关是动态地址的情况。另外,HiPER VPN网关支持动态DNS,可以将变化的IP地址映射到固定的域名,因此,如果使用HiPER,还可以在两个地址都不固定的情况下建立IPSec隧道。

HiPER VPN网关中,有以下几种配置IPSec隧道的方式:
1.        “手动”方式,网关到网关,使用手动密钥交换;
2.        “自动”方式,网关到网关,使用自动IKE,主模式;
3.        “自动”方式,动态连接到网关,使用自动IKE,野蛮模式;
4.        “自动”方式,对方动态连接到本地,使用自动IKE,野蛮模式。
第3种情况HiPER是通过动态分配得到地址,而隧道对等方网关具有一个固定地址,因为HiPER的地址不固定,所以隧道的发起方是HiPER,发起方必须提供身份,如以Email的形式等;第4种情况是HiPER具有固定IP地址,而隧道对等方网关拥有动态地址,同样,隧道的发起方是HiPER的对等方,它也必须提供身份认证。
最后,当在动态对等方和固定对等方之间建立好隧道之后,如果目的主机有固定的IP 地址,在两个网关之中的任一个网关后面的主机,均可通过隧道发送数据。
 
一、 IPSec的配置参数
在IPSec页面,通过将“设置方式”选择为“手动”实现手动配置IPSec隧道,如图6-1所示;通过将“设置方式”选择为“自动”实现自动配置IPSec隧道,如图6-3所示。
1.        手动方式
手动方式只允许配置网关到网关的隧道。
1)        基本参数配置
 
 
6-1 IPSec配置界面(手动方式)               
 
* 设置名:IPSec隧道的名称(自定义,不可重复,不能超过10个字符);
* 设置方式:手动,通过手动协商方式建立IPSec隧道;
* 远端网关地址(名):IPSec隧道远端网关的地址(或域名),设置为域名时,需要在HiPER上设置DNS服务器,此时HiPER会定期解析该域名,如果IP地址发生了变化,HiPER将重新协商IPSec隧道;
* 远端内网地址:IPSec隧道远端受保护的内网的任一IP地址,如果远端是移动单机用户,则填写该设备的IP地址;
* 远端内网掩码:IPSec隧道远端受保护的内网的子网掩码,如果远端是移动单机用户,则填写255.255.255.255;
* 本地绑定:选择本地接口的类型,接口可以是以太网口,或PPPoE拨号连接,还可以是PPTP/L2TP拨号连接;如果将IPSec隧道配置为绑定到该接口上,那么所有经过该接口的数据包将通过IPSec检查,以确定是否对该数据包进行加密和解密操作;
* 本地内网地址:本地受保护的内网的任一IP地址;
* 本地内网掩码:本地受保护的内网的子网掩码;
* ESP加密算法:使用ESP协议加密时使用的算法,有“DES”、“3DES”、“AES128”、“AES192”、“AES256”、“NONE”六个选项;
* ESP加密密钥:ESP协议加密时使用的密钥,DES需要8个字节,3DES需要24个字节,AES128需要16个字节,AES192需要24字节,AES256需要32字节。在本项中输入的是加密字符串所对应的十六进制的ASCII码,每两个字符的组合表示十六进制格式中的一个字节。如加密密钥为“1K3PM678”,那么需要输入“314B33504D363738”;
* ESP认证算法:ESP协议认证时使用的算法,选项有“MD5”、“SHA”及“NONE”;
* ESP认证密钥:ESP协议认证时使用的密钥,MD5需要16字节,SHA-需要20字节,输入方式同ESP加密密钥。
* AH认证算法:ESP协议加密时使用的算法,选项有“MD5”、“SHA”及“NONE”;
* AH认证密钥:AH协议认证时使用的密钥;MD5需要16字节,SHA需要20字节,输入方式同ESP加密密钥。
* ESP外出SPI:该隧道使用ESP时,外出的SPI;
* ESP进入SPI:该隧道使用ESP时,进入的SPI;
* AH外出SPI:该隧道使用AH时,外出的SPI;
* AH进入SPI:该隧道使用AH时,进入的SPI;
* 保存:IPSec配置参数检查并提交;
* 重填:恢复旧的配置参数数据;
* 帮助:打开IPSec帮助页面。
 
* 提示:
1.       常用字符的十六进制ASCII码表见附录一;
2.       在“ESP外出SPI”、“ESP进入SPI”、“AH外出SPI”、“AH进入SPI”这几个参数中均需填入十进制数字,最小值是256,最大值是4,294,967,295(0xFFFF FFFF)。本端外出的SPI和对端进入的SPI值必须相等;本端进入的SPI和对端外出的SPI值也必须相等。
2)        高级选项配置
           
6-2 IPSec配置界面(手动方式)——高级选项            
 
* 高级选项:选中后显示IPSec隧道的高级配置参数;
* 协议:需要进行IPSec保护的数据包的协议类型,有“任意”、“TCP”、“UDP”、“ICMP”四个选项;
* 端口:需要进行IPSec保护的数据包的端口号,“0”表示任意端口。注意,“协议”为“任意”时,端口配置无效,因此,如果需要配置“端口”,必须选择“协议”(TCP或UDP);
* 抗重播:启用或取消抗重播功能;选中后,HiPER VPN网关将支持抗重播功能,从而可以拒绝接收过的数据包或数据包拷贝,以保护自己不被攻击。
2.        自动方式
自动方式下有“网关到网关”,“动态连接到网关”和“对方动态连接到本地”三种配置方式可选。每个页面配置包括基本参数配置和高级选项配置,以上三种方式的高级选项配置页面一样,下面先介绍三种方式的基本参数配置,然后统一介绍高级选项配置。
1)        基本参数配置
a)        网关到网关
网关到网关(如图6-3所示)也就是LAN到LAN的IPSec VPN方式,通信双方地址固定,本方式不要配置身份ID。
             
6-3 IPSec配置界面(自动方式——网关到网关) 
 
* 设置名:IPSec隧道的名称(自定义,不可重复,不超过十个字符);
* 设置方式:自动,通过自动协商方式建立IPSec隧道;
* 自动方式:网关到网关;
* 远端网关地址(名):IPSec隧道远端网关的地址(或域名),设置为域名时,需要在HiPER上设置DNS服务器,此时HiPER会定期解析该域名,如果IP地址发生变化,HiPER将重新协商IPSec隧道;
* 远端内网地址:IPSec隧道远端受保护的内网的任一IP地址,如果远端是移动单机用户,则填写该设备的IP地址;
* 远端内网掩码:IPSec隧道远端受保护的内网的子网掩码,如果远端是移动单机用户,则填写255.255.255.255;
* 本地绑定:选择本地接口的类型,接口可以是以太网口,或PPPoE拨号连接,还可以是PPTP/L2TP拨号连接;如果将IPSec隧道配置为绑定到该接口上,那么所有经过该接口的数据包将通过IPSec检查,以确定是否对该数据包进行加密和解密操作;
* 本地内网地址:本地受保护的内网的任一IP地址;
* 本地内网掩码:本地受保护内网的子网掩码;
* 预共享密钥:协商所用的预共享密钥,最长为128个字符;
* 加密认证算法1:可供第二阶段协商使用的首选加密认证算法。
b)       动态连接到网关
动态连接到网关(如图6-4所示)指HiPER VPN网关作为IPSec隧道的发起方,本方式下,HiPER的地址不固定,必须采用野蛮模式进行协商。
6-4 IPSec配置界面(自动方式——动态连接到网关)
 
本方式中,配置参数 “远端网关地址”、“远端内网地址”、“远端内网掩码”、“本地绑定”、“本地内网地址”、“本地内网掩码”、“预共享密钥”以及“加密认证算法1”的含义与“网关到网关”自动方式中的对应参数含义相同,这里不再重复描述,请参照“网关到网关”方式中的相关解释。
   不同之处在于,本方式中需要进行身份认证,相关参数解释如下:
* 远端身份ID:用来认证远端的身份ID(可选);
* 远端身份类型:远端身份ID的类型,有 “Email地址”、“特殊字节流”、“域名”及“IP地址”四个选项;
* 本地身份ID:本地发送给远端认证的身份ID,必须设置;
* 本地身份类型:本地身份ID的类型,有“Email地址”、“特殊字节流”、“域名”及“IP地址”四个选项,必须设置。
c)        对方动态连接到本地
对方动态连接到本地(如图6-5所示)指HiPER作为IPSec隧道的响应方,本方式下,对方地址不固定。
6-5 IPSec配置界面(自动方式——对方动态连接到本地)
 
本方式中,配置参数 “远端网关地址”、“远端内网地址”、“远端内网掩码”、“本地绑定”、“本地内网地址”、“本地内网掩码”、“预共享密钥”以及“加密认证算法1”的含义与“网关到网关”自动方式中的对应参数含义相同,这里不再重复描述,请参照“网关到网关”方式中的相关解释。
    不同之处在于,本方式中需要进行身份认证,相关参数解释如下:
* 远端身份ID:用来认证远端的身份ID,必须设置;
* 远端身份类型:远端身份ID的类型,有“Email地址”、“特殊字节流”、“域名”及“IP地址”四个选项,必须设置;
* 本地身份ID:本地发送给远端认证的身份ID(可选);不设定时,不主动发送本地身份供远端认证;
* 本地身份类型:本地身份ID的类型,本地身份ID的类型,有“Email地址”、“特殊字节流”、“域名”及“IP地址”四个选项。
2)        高级选项配置
以上三种自动方式的高级选项配置界面基本相同,其中:“网关到网关”方式下,“协商模式”选择为“主模式”(如图6-6);另外两种方式下,“协商模式”选择为“野蛮模式”(如图6-7)。由于野蛮模式和主模式相比,除了多出“野蛮模式加密协商”这个选项,其他配置参数完全相同,故在这里以野蛮模式下的高级选项配置为例进行说明,主模式的配置参数含义参照野蛮模式。
     
6-6 IPSec配置界面(自动方式)——高级选项(主模式)
 
6-7 IPSec配置界面(自动方式)——高级选项(野蛮模式)
 
* 协议:需要进行IPSec保护的数据包的协议类型,有“任意”、“TCP”、“UDP”及“ICMP”四个选项;
* 端口:需要进行IPSec保护的数据包的端口号,“0”表示任意端口。注意,“协议”为“任意”时,端口配置无效,因此,如果需要配置“端口”,必须选择“协议”(TCP或UDP);
* 协商模式(第一阶段):“主模式”或“野蛮模式”,“网关到网关”时选择“主模式”,其他两种方式时选择“野蛮模式”;
* 野蛮模式协商加密:指野蛮模式下,第二个信息包是否加密。HiPER作为响应方时,支持加密和不加密两种方式;
* 生存时间(第一阶段):IKE SA的生存时间,至少600秒,当剩余时间为540秒时,将重新协商IKE SA;
* 加密认证算法1—加密认证算法4(第一阶段):第一阶段协商使用的加密认证算法,可以选择四组,每组为不同的加密算法、认证算法及DH组的组合;
* 加密认证算法2—加密认证算法4(第二阶段):第二阶段协商使用的加密认证算法,可选三组,加上在基本参数配置中已配置的一组,共四组;
* 生存时间(第二阶段):IPSec SA的生存时间,至少600秒,当剩余时间为540秒时,SA将过期,重新协商IPSec SA;
* 最大流量:每次IPSec 会话允许通过的最大流量(单位:千字节数),超过后,SA将重新协商;
* 抗重播:启用或取消抗重播功能;
* DPD:启用或取消DPD功能;
* 心跳:在这里配置时间间隔,单位为秒。配置该值后,HiPER VPN网关会每隔单位时间(“心跳”)向对端发送探测消息,来确定对端是否还存活。
* NAT穿透:启用或取消NAT穿透功能;
* 端口:用来穿透NAT的UDP封包的端口号,缺省值4500;
* 维持:启用NAT功能后,HiPER将每隔单位时间(“维持”)向NAT设备发送一个数据包以维持NAT映射,这样就不需要更改NAT映射,直到第一阶段和第二阶段的SA过期。
 
* 提示:
IPSec中使用AH协议和ESP协议保护IP层的通信,使用AH协议可对数据包进行认证,使用ESP协议可对数据包进行加密并认证、仅加密或仅认证。
HiPER VPN网关中,提供DES、3DES、AES(包括AES128、AES192、AES256)这五种加密算法,同时提供MD5、SHA这两种认证算法。
第一阶段还支持DH交换,提供DH1、DH2和DH5这三个DH组。
第一阶段的加密算法的结构为“加密算法+认证算法+DH组”,由于在第一阶段中,每组加密认证算法均包含上述结构中的三项,故共有5×3×2=30种组合。例如,如果选择“3des-md5-group2”即表示选择的加密算法为3DES、认证算法为MD5、DH组为DH2。
WEB UI方式下,由于系统提供4组缺省的第一阶段加密认证算法以供选择,故某些情况下,无需配置第一阶段的加密认证算法;另外,每次最多可以配置4组第一阶段加密认证算法(CLI方式下最多可提供12组),以供选择。
第二阶段的加密算法的结构为“加密算法(使用ESP)+认证算法(使用ESP)+认证算法(使用AH)”,由于在第二阶段中,每组加密认证算法可以包含上述结构中的三项,也可以仅包含一项或两项(至少一项),故共有6×3×3-1=53种组合。具体组合形式如下:
1.        使用ESP加密(5种)
例如,如果选择“esp-des”,即表示使用ESP加密(算法为DES);
2.        使用ESP认证(2种)
例如,如果选择“esp-md5”,即表示使用ESP认证(算法为MD5);
3.        使用AH认证(2种)
例如,如果选择“ah-sha”,即表示使用AH认证(算法为SHA);
4.        使用ESP加密和ESP认证(5×2=10种)
例如,如果选择“esp-aes128-sha”,即表示使用ESP加密和认证(算法分别为AES128、SHA);
5.        使用ESP加密和AH认证(5×2=10种)
例如,如果选择“esp-aes192-ah-md5”,即表示使用ESP加密(算法为AES192),同时使用AH认证(算法为MD5);
6.        使用ESP认证和AH认证(2×2=4种)
例如,如果选择“esp-md5-ah-sha”,即表示使用ESP认证(算法为MD5),同时使用AH认证(算法为SHA);
7.        使用ESP加密、ESP认证和AH认证(5×2×2=20种)
例如,如果选择“esp-aes256-sha-ah-md5”,即表示使用ESP加密和认证(算法分别为AES256、SHA),同时使用AH认证(算法为MD5)。
WEB UI方式下,系统提供1组缺省的第二阶段加密认证算法(即“安全选项”中配置的“加密认证算法1”);另外,最多可以配置4组第二阶段的加密认证算法(包括在“安全选项”中配置的“加密认证算法1”)(CLI方式下最多可提供12组),以供选择。
 
二、   IPSec信息列表
6-1 IPSec信息列表
 
6-2 IPSec信息列表(续表6-1)
 
6-3 IPSec信息列表(续表6-2)
 
一旦IPSec隧道配置完成提交以后,即可在IPSec配置页面的“IPSec信息列表”(如表6-1、表6-2、表6-3所示)中查看已建立的IPSec隧道的配置及状态信息,各参数含义解释如下:
* 设置名:IPSec隧道的名称;
* 设置方式:IPSec隧道的设置方式,“手动”或“自动”;
* SA状态:SA建立的状态,共有四种状态,如表6-4所示:
 
状态
描述
未建立
IPSec SA没有建立
IKE协商
IKE SA没有建立,正在进行第一阶段协商
IPSec协商
IKE SA已建立,正在进行第二阶段协商
已建立
IPSec SA已建立
      6-4 SA状态
 
* 远端网关:IPSec隧道远端网关的地址;
* 远端内网地址:IPSec隧道远端受保护内网的IP地址(配置时填入的值);
* 外出加密包个数:通过IPSec隧道外出的加密数据包的个数;
* 进入解密包个数:通过IPSec隧道进入的解密数据包的个数;
* 本地绑定:该隧道的外出和进入绑定的连接,eth2表示WAN口,使用PPPoE绑定时显
示的是PPPoE连接的名称,使用IPSec over L2TP/PPTP时显示的是L2TP/PPTP隧道的“设置名”;
* 本地内网地址:本地受保护内网的IP地址(配置时填入的值);
* 协商模式:IKE协商的模式,有“主模式”和“野蛮模式”两种;
* 加密认证算法:该隧道使用的加密和认证算法,ESP加密算法有DES、3DES、AES,ESP认证算法有MD5和SHA-1,AH认证算法有MD5和SHA-1;
* ESP外出SPI:该隧道使用ESP外出的SPI(安全协议索引),给出十进制和十六进制两
种表示方式;
* ESP进入SPI:该隧道使用ESP进入的SPI,给出十进制和十六进制两种表示方式;
* AH外出SPI:该隧道使用AH外出的SPI,给出十进制和十六进制两种表示方式;
* AH进入SPI:该隧道使用AH进入的SPI,给出十进制和十六进制两种表示方式;
* 生存时间(剩余):SA在过期之前的生存时间,当剩余时间为540秒时,IPSec遂道将重新协商SA;手动方式下,显示为“永久”,表示该SA一直有效(单位:天:时:分:秒);
* 筛选协议:需要进行IPSec加密的协议类型,“0”表示任意协议;
* 筛选端口:需要进行IPSec加密的协议端口,“0”表示任意端口;
* 建立:“自动”方式下,只有通过流量或手工触发,才能建立IPSec隧道的连接;“手动”方式下,只有通过手工触发,才能建立IPSec隧道的连接。如果选中“设置名”前面的单选框,单击“建立”按钮,就可以通过手动的方式建立该条IPSec隧道的连接;
* 挂断:选中“设置名”前面的单选框,单击“挂断”按钮,可以通过手动的方式挂断该条IPSec隧道的连接;
* 刷新:单击“刷新”,可以显示最新的“IPSec信息列表”。
 
三、 IPSec隧道的增加、浏览、编辑与删除
* 增加IPSec隧道:选中“添加”选项,输入IPSec隧道信息,单击“保存”按钮,生成新的IPSec隧道,如图6-1、图6-3、图6-4及图6-5所示;
* 浏览IPSec隧道:如果已经生成了IPSec隧道,可以在“IPSec信息列表”中查看相关信息及状态,如表6-1到表6-3所示;
* 编辑IPSec隧道:如果想编辑某一IPSec隧道,首先点击该IPSec隧道的“设置名”超链接,该IPSec隧道的信息将填充到相应的编辑框内,然后修改它,再单击“保存”按钮,修改完毕;
* 删除IPSec隧道:只需选中IPSec隧道(在最左边的方框中打“√”),单击左下角的“删除”按钮,即可删除那些被选中的IPSec隧道。

 

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号