華為防火墻IPsec點(diǎn)對點(diǎn)配置解析_第1頁
華為防火墻IPsec點(diǎn)對點(diǎn)配置解析_第2頁
華為防火墻IPsec點(diǎn)對點(diǎn)配置解析_第3頁
華為防火墻IPsec點(diǎn)對點(diǎn)配置解析_第4頁
華為防火墻IPsec點(diǎn)對點(diǎn)配置解析_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

華為防火墻IPsec點(diǎn)對點(diǎn)配置解析一、完成基本互聯(lián)主機(jī)直連的接口為trust區(qū)域,防火墻之間互聯(lián)的接口為untrust區(qū)域二、左邊的防火墻IPsec的配置(1)IkeProposal的創(chuàng)建ikeproposalxx//首先創(chuàng)建ikeproposalxx這一步的作用就是創(chuàng)建協(xié)商ikeSA的時(shí)候使用的相關(guān)安全套件,默認(rèn)防火墻就會設(shè)置了一些默認(rèn)的安全套件的組合。這一步設(shè)置的內(nèi)容就是用于IKESA的協(xié)商,IPsec雙方使用協(xié)商好的IKESA去對IPsecSA的協(xié)商進(jìn)行保護(hù)。如下所示:encryption-algorithmaes-256dhgroup14authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256對于AES算法和SHA算法來說,256位是完全足夠保證安全了,對于AES來說使用192位也是可以的。dhgroup14是2048位的DH算法,也是夠用了??梢钥吹侥J(rèn)的認(rèn)證方式是預(yù)共享密鑰,當(dāng)然也有其他的認(rèn)證方式,比如簽名,證書認(rèn)證。但是簽名和證書認(rèn)證比較麻煩,推薦在圖形化界面上做,這邊僅介紹預(yù)共享密鑰(2)Ikepeer的創(chuàng)建ikepeerxx//創(chuàng)建IKE對等體進(jìn)入IKE對等體視圖后:local-id-typexxx//設(shè)置本端id的類型,下面是本端id的類型[Left-ike-peer-xx]local-id-type?dnSelectdnasthelocalIDesnSelectesnasthelocalIDfqdnSelectnameasthelocalID//這個(gè)就是以名字名稱的形式去明明ipSelectIPaddressasthelocalID//以IP的形式去進(jìn)行命名user-fqdnSelectuser-fqdnasthelocalID//以電子郵件的形式去命名local-idxx//創(chuàng)建本端id,這里創(chuàng)建的id和上面的類型要對應(yīng)remote-id-typexx//設(shè)置遠(yuǎn)端id類型,這個(gè)和本地id類型的類似remote-idxx//設(shè)置遠(yuǎn)端id也可以不用設(shè)置local-id,remote-id這些東西,只要輸入remote-address,表示遠(yuǎn)端IP,輸入這個(gè)之后就代表自己使用ip地址標(biāo)識自己,且接受所有的遠(yuǎn)端標(biāo)識,換句話來說只要IPsec對端的IP是remoteaddress指定的IP,那么將無所謂它的的遠(yuǎn)端標(biāo)識。當(dāng)然也可以remoteaddress,local-id,remote-id一起配置,只不過配置更加細(xì)化。這個(gè)也是isakmp協(xié)議中進(jìn)行相關(guān)信息協(xié)商時(shí)使用的身份信息,一定要保證對方設(shè)置的本地標(biāo)識和自己設(shè)置的遠(yuǎn)端標(biāo)識是對應(yīng)的,我覺得主要的原因就是因?yàn)樯矸菪畔⒃谡麄€(gè)SA的協(xié)商過程中起到的作用就是方便IPsec雙方在自身去找到相應(yīng)的信息去進(jìn)行協(xié)商,在一個(gè)設(shè)備中可能存在多個(gè)這種一整套的IPsec的配置信息,而且有的時(shí)候雙方建立的IPsec隧道使用的IP地址不是固定的,所以使用一種身份標(biāo)識去標(biāo)識一個(gè)IPsec隧道來方便IPsec雙方進(jìn)行相關(guān)協(xié)商信息的查找是一個(gè)不錯(cuò)的選擇。DPDmsg:設(shè)置DPD報(bào)文里面的信息packet:后面跟著的完整的命令是dpdpacketreceiveif-relatedenable,就是當(dāng)隧道上發(fā)送的IPsec報(bào)文如果和該設(shè)備存在的IPsecSA關(guān)聯(lián)性進(jìn)行檢測,如果關(guān)聯(lián)的話則不會刪除設(shè)備上的IPsecSA,如果不關(guān)聯(lián)就會刪除idle-time:這個(gè)主要用于按需的DPD檢測,當(dāng)IPsec空閑一段時(shí)間后將會進(jìn)行DPD的檢測,這個(gè)空閑的時(shí)間由這個(gè)選項(xiàng)決定。retransmit-interval:這個(gè)選項(xiàng)決定了DPD報(bào)文的重傳時(shí)延retry-limit:這個(gè)表示當(dāng)DPD報(bào)文超時(shí)了幾次后將刪除IPsecSA這個(gè)DPD的相關(guān)操作可以在ikepeer里面設(shè)置表示只針對這個(gè)ikepeer也可以在系統(tǒng)視圖下配置,代表影響全部的ikepeerDPD是檢測對端存活的一種手段,DPD有兩種類型:on-demand:也就是按需的,當(dāng)雙方?jīng)]有IPsec報(bào)文交互的時(shí)候,就會發(fā)送DPD報(bào)文進(jìn)行探測periodic:也就是周期性的pre-shared-keyxx//表示設(shè)置預(yù)共享密鑰的值(3)創(chuàng)建IPsecproposaltranform//表示設(shè)置隧道的使用的相關(guān)協(xié)議是ah還是espencapsulation-mode//表示設(shè)置隧道的傳輸模式,有自動,傳輸,隧道模式esp//設(shè)置esp協(xié)議下使用的加密算法和簽名算法,那么這里為什么沒有認(rèn)證方式?因?yàn)樵贗KESA協(xié)商的過程中已經(jīng)驗(yàn)證了雙方的身份了,所以就不需要再次驗(yàn)證雙方的身份了。ah//設(shè)置ah協(xié)議下的驗(yàn)證算法,ah協(xié)議只有驗(yàn)證功能(3)IPsecpolicy的創(chuàng)建ipsecpolicyxxxxisakmp//表示創(chuàng)建一個(gè)名為xxx的ipsecpolicy,它的序號為x為什么要有序號?在有些情況下,一個(gè)ipsecpolicy可能與多個(gè)對端的ipsecpolicy建立不同的隧道,所以就需要序號進(jìn)行區(qū)分ike-peerxx//將ike對等體與ipsecpolicy進(jìn)行綁定proposalxx//將ipsecproposal與ipsecpolicy進(jìn)行綁定securityaclxx//將acl,也就是感興趣流與ipsecpolicy綁定(4)將IPsecpolicy綁定到出接口上進(jìn)入接口視圖:ipsecpolicyxxx//將接口與IPsecpolicy進(jìn)行綁定綁定后只要有感興趣流出現(xiàn)就會以加密的形式出去安全策略的配置原理解析1、放行isakmp協(xié)議的相關(guān)協(xié)商流量isakmp協(xié)議主要用于IKESA和IPsecSA的協(xié)商,所以我們要放行該協(xié)議的流量,該協(xié)議的源目端口都是500。這個(gè)需要我們自定義協(xié)議放行源目端口500即可,同時(shí)因?yàn)閕sakmp協(xié)議的協(xié)商雙方都是防火墻,所以放行的源目區(qū)域?yàn)閡ntrust<--->local,即untrust到local,local到untrust的與isakmp的相關(guān)流量都要放行,否則將無法正常進(jìn)行SA的協(xié)商。2、放行ESP,AH的相關(guān)流量ESP和AH的相關(guān)流量都是先到防火墻后,經(jīng)過IPsec功能模塊的處理后才發(fā)送給目的主機(jī)的,所以無論是ESP還是AH流量的主要涉及的源目區(qū)域是local和untrust,所以我們只要放行l(wèi)ocal到untrust,untrust到local有關(guān)ESP和AH的相關(guān)流量即可,ESP和AH協(xié)議都是基于IP層的寫,它們的協(xié)議號是51和50,這個(gè)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論