1特性介绍
IPsec(IP security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
IPsec作为一种重要的安全技术得到越来越广泛的应用,但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前,NAT和IPsec之间存在的不兼容性问题主要可以分为以下三类:
?
IP地址和端口不匹配的问题 IPsec不能验证NAT报文的问题 NAT超时影响IPsec的问题
?
?
针对此问题,我司在IKE野蛮模式的基础上实现NAT穿越,很好地解决了此问题。
为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的,用户端设备的IP地址为动态获取的情况,在IKE阶段的协商模式中增加了IKE野蛮模式,它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字,并最终完成协商。IKE野蛮模式相对于主模式来说更加灵活,能够支持协商发起端为动态IP地址的情况。 在IPsec/IKE组建的VPN隧道中,若存在NAT网关设备,且NAT网关设备对VPN业务数据流进行了NAT转换的话,则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备的发现功能,即如果发现NAT网关设备,则将在之后的IPsec数据传输中使用UDP封装(即将IPsec报文封装到IKE协商所使用的UDP连接隧道里)的方法,避免了NAT网关对IPsec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头,对UDP报文封装的IPsec报文将不作修改),从而保证了IPsec报文的完整性(IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。目前仅在IKE野蛮模式下支持NAT穿越,主模式下不支持。
2特性的优点
该特性适合IPsec隧道中间存在NAT设备的组网情况。同时,由于使用了IKE野蛮模式,同样也适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。
3使用指南
3.1使用场合
1) IPsec隧道中间存在NAT设备的组网情况
2) 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。
3.2配置步骤
配置野蛮模式下IPsec穿越NAT,需要以下步骤:
?
配置访问控制列表 配置IKE对等体 定义安全提议 创建安全策略
在接口上应用安全策略
?
?
?
?
1. 配置访问控制列表
IPsec使用高级访问控制列表来判断哪些报文需要受到保护,哪些则不需要,用于IPsec的扩展访问控制列表可称为加密访问控制列表。在本地和远端安全网关上定义的加密访问控制列表应该是相对应的(即互为镜像),这样在某一端加密的数据才能在对端上被解密。否则,会造成一端不能解密另一端发来的数据。 步骤 操作说明 1 操作命令 2 在系统视图下,创[H3C] acl number acl-number [ match-order 建一个高级访问控{ config | auto } ] 制列表 [H3C-acl-adv-3000] rule [ rule-id ] { permit | deny } protocol [ source { sour-addr sour-wildcard | any } ] [ destination { dest-addr dest-wildcard | any } ] [ source-port operator 在高级访问控制列port1 [ port2 ] ] [ destination-port operator 表视图下,配置ACLport1 [ port2 ] ] [ icmp-type {icmp-type 规则 icmp-code | icmp-message} ] [ precedence precedence ] [ dscp dscp ] [ established ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ]
2. 配置IKE对等体
在实施IPsec的过程中,可以使用Internet密钥交换IKE(Internet Key Exchange)协议来建立安全联盟,该协议建立在由Internet安全联盟和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)定义的框架上。IKE为IPsec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPsec的使用和管理。 步骤 操作说明 1 2 3 4 5 6 7
3. 定义安全提议
安全提议保存IPsec需要使用的特定安全性协议以及加密/验证算法,为IPsec协商安全联盟提供各种安全参数。为了能够成功的协商IPsec的安全联盟,两端必须使用相同的安全提议。 步骤 操作说明 1 创建安全提议并进入安全提议视图 设置安全协议对IP报文的封装形式 设置安全提议采用的安全协议 设置ESP协议采用的加密算法 设置ESP协议采用操作命令 [H3C] ipsec proposal proposal-name [H3C-ipsec-proposal-pro] encapsulation-mode { transport | tunnel } [H3C-ipsec-proposal-pro] transform { ah | ah-esp | esp } [H3C-ipsec-proposal-pro] esp encryption-algorithm { 3des | des | aes } [H3C-ipsec-proposal-pro] esp 操作命令 配置一个IKE对等体并进ike peer peer-name 入ike peer视图 配置IKE阶段的协商模式 exchange-mode { aggressive | main } 配置IKE阶段协商所使用pre-shared-key key 的身份验证字 选择IKE阶段的协商过程id-type { ip | name } 中使用ID的类型 指定对端设备的名称 remote-name name remote-address low-ip-address 配置对端设备的IP地址 [ high-ip-address ] 配置IKE/IPsec的NAT穿nat-traversal 越功能 2 3 4 5
的验证算法
4. 创建安全策略
authentication-algorithm { md5 | sha1 } 安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略,前者需要用户手工配置密钥、SPI等参数,在隧道模式下还需要手工配置安全隧道两个端点的IP地址;后者则由IKE自动协商生成这些参数。本文档仅介绍IKE方式创建安全策略。 步骤 操作说明 1 用IKE创建安全策略,进入安全策略视图 设置安全策略所引用的安全提议 设置安全策略引用的访问控制列表 在安全策略中引用IKE对等体。
5. 在接口上应用安全策略组
为使定义的安全联盟生效,应在每个要加密的出站数据、解密的入站数据所在接口(逻辑的或物理的)上应用一个安全策略组,由这个接口根据所配置的安全策略组和对端加密安全网关配合进行报文的加密处理。 步骤 操作 1 2
进入接口视图 应用安全策略组 命令 [H3C] interface type number [H3C-GigabitEthernet0/0] ipsec policy policy-name 操作命令 [H3C] ipsec policy policy-name seq-number isakmp [H3C-ipsec-policy-isakmp-tran-10] proposal proposal-name1 [ proposal-name2... proposal-name6 ] [H3C-ipsec-policy-isakmp-tran-10] security acl acl-number [H3C-ipsec-policy-isakmp-tran-10] ike-peer peer-name 2 3 4 3.3注意事项
当配置野蛮模式IPsec穿越NAT时需要注意以下几点:
