SANGFOR_IPSEC_2014年渠道初级认证培训05_第三方IPSEC对接互联配置

第三方IPSEC对接互联配置培训内容培训目标标准IPSECVPN功能介绍了解标准IPSecVPN的功能标准IPSECVPN建立过程了解IPSecVPN建立的过程SANGFOR标准IPSECVPN典型应用案例及配置掌握第三方设备与深信服设备建立IPSecVPN的配置标准IPSECVPN功能介绍标准IPSECVPN建立过程SANGFOR标准IPSECVPN典型应用案例及配置SANGFORIPSEC标准IPSECVPN功能介绍标准IPSECVPN功能介绍IPSec是一种开放标准的框架结构，特定的通信方之间在IP层通过加密和数据摘要(hash)等手段，来保证数据包在Internet网上传输时的私密性(confidentiality)、完整性(dataintegrity)和真实性(originauthentication)。标准IPSECVPN功能介绍通过加密保证数据的私密性私密性：防止信息泄漏给未经授权的个人通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性Internet4ehIDx67NMop9eRU78IOPotVBn45TR土豆批发价两块钱一斤实在是看不懂加密4ehIDx67NMop9eRU78IOPotVBn45TR解密土豆批发价两块钱一斤标准IPSECVPN功能介绍对数据进行hash运算来保证完整性完整性：数据没有被非法篡改，通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性。土豆两块钱一斤Hash4ehIDx67NMop9土豆两块钱一斤4ehIDx67NMop9土豆三块钱一斤4ehIDx67NMop9我偷改数据Hash2fwex67N32rfee3两者不一致代表数据已被篡改标准IPSECVPN功能介绍对数据和密钥一起进行hash运算攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。通过把数据和密钥一起进行hash运算，可以有效抵御上述攻击。土豆两块钱一斤Hashfefe23fgrNMop7土豆两块钱一斤fefe23fgrNMop7土豆三块钱一斤2fwex67N32rfee3我同时改数据和摘要两者还是不一致Hashfergergr23frewfgh标准IPSECVPN功能介绍通过身份认证保证数据的真实性真实性：数据确实是由特定的对端发出。通过身份认证可以保证数据的真实性。常用的身份认证方式包括：–Pre-sharedkey，预共享密钥–RSASignature，数字签名标准IPSECVPN建立过程标准IPSECVPN建立的过程需要保护的流量流经路由器，触发路由器启动相关的协商过程。启动IKE(Internetkeyexchange)阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道。启动IKE阶段2，在上述安全通道上协商IPSec参数。按协商好的IPSec参数对数据流进行加密、hash等保护。HostAHostBRouterARouterB标准IPSECVPN建立过程HostAHostBRouterARouterB10.0.1.310.0.2.3IKE阶段1协商建立IKE安全通道所使用的参数交换预共享密钥双方身份认证建立IKE安全通道协商建立IKE安全通道所使用的参数交换预共享密钥双方身份认证建立IKE安全通道标准IPSECVPN建立过程IKE阶段1协商建立IKE安全通道所使用的参数，包括：–加密算法–Hash算法–DH算法–身份认证方法–存活时间标准IPSECVPN建立过程HostAHostBRouterARouterB10.0.1.310.0.2.3IKE阶段2协商IPSec安全参数建立IPSecSA协商IPSec安全参数建立IPSecSA标准IPSECVPN建立过程IKE阶段2双方协商IPSec安全参数，称为变换集transformset，包括：–加密算法–Hash算法–安全协议–封装模式–存活时间–DH算法Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetime标准IPSECVPN建立过程IPSecSA(安全关联，SecurityAssociation)：–达到lifetime以后，原有的IPSecSA就会被删除–如果正在传输数据，系统会在原SA超时之前自动协商建立新的SA，从而保证数据的传输不会因此而中断。SANGFOR标准IPSEC典型应用案例及配置SANGFOR标准IPSEC典型应用案例及配置INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24220.10.10.10/30110.120.10.10/30192.168.20.0/24SANGFOR标准IPSEC典型应用案例及配置环境：一客户购买一台M5100-Q设备部署在深圳，公网地址为：220.10.10.10/30，在北京有一台思科的路由器，公网地址为：110.120.10.10/30。需求：客户希望通过SANGFOR设备的IPSECVPN和思科路由器的VPN互联，实现192.168.10.0/24、192.168.20.0/24与192.168.30/24网段互访。SANGFOR标准IPSEC典型应用案例及配置配置思路：1.确定配置标准IPSEC的前提条件A:确保SANGFOR设备序列号里有分支授权，B:两端设备能正常上网，并且至少保证有一端有固定公网IP2.配置第一阶段，确定传输模式，对通信双方进行身份认证，并在两端建立一条安全通道。（采用主模式或者野蛮模式）3.配置安全选项，包括协议，认证算法，加密算法4.配置第二阶段，在上述安全通道上协商IPSEC参数，设置出入站策略。注：当两端有一端是拔号的情况下只能采用野蛮模式SANGFOR标准IPSEC典型应用案例及配置Cisco路由器配置命令如下：（Cisco某些版本可能配置命令不一样，但过程一样）Conft//进入特权模式配置cryptoisakmpkeysangforaddress220.10.10.10//创建预共享密钥以及对端地址cryptoisakmppolicy100//创建isakmp策略（第一阶段策略）hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置认证方式（预共享密钥）exit//退出isakmp策略配置access-list100permitip192.168.30.00.0.0.255192.168.10.00.0.0.255access-list100permitip192.168.30.00.0.0.255192.168.20.00.0.0.255//创建ACL，类似我们的出入站策略，允许本端网段访问对端网段主模式互联（双方都有固定公网IP）SANGFOR标准IPSEC典型应用案例及配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//创建变换集及策略modetunnel//配置传输模式（隧道模式）SANGFOR只支持隧道模式exit//退出变换集cryptomapsangfor100ipsec-isakmp//创建IPsec策略（第二阶段）setpeer220.10.10.10//配置对端地址settransform-setsangforvpn//绑定变换集到映射图setpfsgroup2//配置密钥完美向前保护（请注意跟第一阶段DH群一样）matchaddress100//配置映射图匹配的ACL策略exit//退出配置映射图interfacee0/0//进入Cisco外网口cryptomapsangfor//将映射图绑定到接口exit//退出接口配置SANGFOR标准IPSEC典型应用案例及配置主模式互联（双方都有固定IP）SANGFOR设备配置：1.设置第一阶段，双方身份认证，设置参数和CISCO保持一致。选择为主模式配置对端的固定公网IP设置IKE参数，与对端设备保持一致SANGFOR标准IPSEC典型应用案例及配置2.按协商好的IPSec参数对数据流进行加密、hash等保护，保持和CISCO配置一致。选择协议，认证算法和加密算法，与对端设备一致。SANGFOR标准IPSEC典型应用案例及配置3.第二阶段，在上述安全通道上协商IPSec参数，设备出入站策略，出站策略为192.168.10.0/24，192.168.20.0/24，入站策略为192.168.30.0/24。配置入站策略，源地址为对端的内网地址出站策略中，源地址为本地内网IP以上步骤完成，即完成了本例所有配置，实现SANGFOR与CISCO建立IPSECVPN连接勾选启用策略和启用密钥完美向前保密SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联（SANGFOR设备拨号，CISCO为固定IP），拓朴如下：INTERNETIPSECVPNSANGFORCISCO192.168.10.0/24192.168.30.0/24ADSL110.120.10.10/30192.168.20.0/24SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联（SANGFOR设备拨号，CISCO为固定IP）Cisco路由器的配置命令如下：Conft//进入特权模式配置hostnamecisco//创建路由器名字，该名字就是它的野蛮模式身份IDcryptoisakmpkeysangforhostnamesangfor//创建预共享密钥，以及对端野蛮模式身份IDcryptoisakmpidentityhostname//用hostname再次校验身份cryptoisakmppolicy100//创建isakmp策略（第一阶段策略）hashmd5//配置hash算法encry3des//配置加密算法group2//配置DH群authpre-share//配置认证方式（预共享密钥）exit//退出isakmp策略配置cryptoipsectransform-setsangforvpnesp-3desesp-md5-hmac//创建变换集及策略modetunnel//配置传输模式（隧道模式）SANGFOR只支持隧道模式exit//退出变换集配置SANGFOR标准IPSEC典型应用案例及配置access-list100permitip192.168.30.00.0.0.255192.168.10.00.0.0.255access-list100permitip192.168.30.00.0.0.255192.168.20.00.0.0.255//创建ACL，类似我们的出入站策略，允许本端网段访问对端网段cryptodynamic-mapsangfor100//创建动态映射图settransform-setsangforvpn//绑定变换集到映射图setpfsgroup2//配置完美密钥向前保护（跟第一阶段一致）matchaddress100//匹配ACL策略exit//退出映射图配置cryptomapsangfor100ipsec-isakmpdynamicsangfor//创建IPsec策略（第二阶段）inte0/0//进入Cisco外网口cryptomapsangfor//将映射图绑定到接口exit//退出接口配置SANGFOR标准IPSEC典型应用案例及配置野蛮模式互联（SANGFOR设备拨号，CISCO为固定IP）SANGFOR设备配置：1.设置第一阶段，双方身份认证，设置参数和CISCO保持一致。选择野蛮模式远程IP为对端的公网IPIKE参数与对端保持一致配置两端身份IDSANGFOR标准IPSEC典型应用案例及配置2.按协商好的IPSec参数对数据流进行加密、hash等保护，保持和CISCO配置一致。在安全选项中选择协议，认证算法和加密码算法，与对端设备一致SANGFOR标准IPSEC典型应用案例及配置3.第二阶段，在上述安全通道上协商IP