GRE OVER IPSEC WITH OSPF配置举例

GREOVERIPSECWITHOSPF配置举例摘要：本文简单描述了应用了OSPF路由的GREOverIPsec的特点，详细描述了在SecPath系列防火墙上配置GREoverIPsecwithOSPF的基本配置方法和详细步骤，给出了一种GREOverIPsecwithOSPF的基本配置案例。缩略语：缩略语英文全名中文解释VPNVirtualPrivateNetwork虚拟私有网IPsecIPsecurityIP安全IKEInternetKeyExchangeInternet密钥交换GREGenericRoutingEncapsulation通用路由封装RIPRoutingInformationProtocol路由信息协议OSPFOpenShortestPathFirst开放最短路由优先协议目录1特性介绍.................................................................32特性的优点...............................................................33使用指南.................................................................33.1使用场合................................................................33.2.1配置IPsec安全联盟....................................................33.2.2配置GRE协议..........................................................53.2.3配置OSPF路由协议.....................................................63.3注意事项................................................................63.4举例....................................................................73.4.1组网需求..............................................................73.4.2组网图................................................................73.4.3配置..................................................................73.4.4验证结果.............................................................123.4.5故障排除.............................................................154关键命令................................................................164.1ipsecpolicy（系统视图）...............................................164.2ipseccard-proposal....................................................174.3ikepeer...............................................................185相关资料................................................................185.1相关协议和标准.........................................................181特性介绍IPsec（IPsecurity）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。GRE协议是对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议，在协议层之间采用了一种被称之为Tunnel的技术。Tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。通常情况下，IPsec不能传输路由协议，例如RIP和OSPF；或者非IP数据流，例如IPX（InternetworkPacketExchange）和AppleTalk。这样，如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议，对路由协议报文等进行封装，使其成为IPsec可以处理的IP报文，这样就可以在IPsecVPN网络中实现不同的网络的路由。2特性的优点该特性适合较为大型的网络中总部与分支机构之间，保证了所有的数据，包括路由信息在内的所有报文都能够得到保护。3使用指南3.1使用场合1)总部与分支机构跨越Internet互联。2)总部与分支机构之间的路由协议为动态路由协议。3.2配置步骤配置GREoverIPsecwithOSPF，需要配置以下内容：配置IPsec安全联盟配置GRE协议配置OSPF路由协议3.2.1配置IPsec安全联盟IPsec的配置主要包含以下几个步骤：配置访问控制列表配置IKE对等体定义安全提议创建安全策略在接口上应用安全策略使能加密卡快转功能1.配置访问控制列表IPsec使用高级访问控制列表来判断哪些报文需要受到保护，哪些则不需要，用于IPsec的扩展访问控制列表可称为加密访问控制列表。发起方的访问控制列表的镜像应该为接收方的访问控制列表的子集，或者双方的访问控制列表互为镜像，这样协商才能成功。建议用户将本端和对端的访问控制列表配置成互为镜像。步骤操作说明操作命令1在系统视图下，创建一个高级访问控制列表[H3C]aclnumberacl-number[match-order{config|auto}]2在高级访问控制列表视图下，配置ACL规则[H3C-acl-adv-3000]rule[rule-id]{permit|deny}protocol[source{sour-addrsour-wildcard|any}][destination{dest-addrdest-wildcard|any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code|icmp-message}][precedenceprecedence][dscpdscp][established][tostos][time-rangetime-name][logging][fragment]2.配置IKE对等体在实施IPsec的过程中，可以使用Internet密钥交换IKE（InternetKeyExchange）协议来建立安全联盟，该协议建立在由Internet安全联盟和密钥管理协议ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）定义的框架上。IKE为IPsec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPsec的使用和管理。步骤操作说明操作命令1配置一个IKE对等体并进入ikepeer视图ikepeerpeer-name2配置IKE阶段协商所使用的身份验证字pre-shared-keykey3配置对端设备的IP地址remote-addresslow-ip-address[high-ip-address]3.定义安全提议安全提议保存IPsec需要使用的特定安全性协议以及加密/验证算法，为IPsec协商安全联盟提供各种安全参数。为了能够成功的协商IPsec的安全联盟，两端必须使用相同的安全提议。步骤操作说明操作命令1创建加密卡安全提议并进入安全提议视图[H3C]ipseccard-proposalproposal-name2指定加密卡安全提议使用的加密卡[H3C-ipsec-card-proposal-card10]useencrypt-cardslot-id3设置安全协议对IP报文的封装形式[H3C-ipsec-card-proposal-card10]encapsulation-mode{transport|tunnel}4设置安全提议采用的安[H3C-ipsec-card-proposal-card10]transform{ah|步骤操作说明操作命令全协议ah-esp|esp}5设置ESP协议采用的加密算法[H3C-ipsec-card-proposal-card10]espencryption-algorithm{3des|des|aes}6设置ESP协议采用的验证算法[H3C-ipsec-card-proposal-card10]espauthentication-algorithm{md5|sha1}4.创建安全策略安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略，前者需要用户手工配置密钥、SPI等参数，在隧道模式下还需要手工配置安全隧道两个端点的IP地址；后者则由IKE自动协商生成这些参数。本文档仅介绍IKE方式创建安全策略。步骤操作说明操作命令1用IKE创建安全策略，进入安全策略视图[H3C]ipsecpolicypolicy-nameseq-numberisakmp2设置安全策略所引用的安全提议[H3C-ipsec-policy-isakmp-tran-10]proposalproposal-name1[proposal-name2...proposal-name6]3设置安全策略引用的访问控制列表[H3C-ipsec-policy-isakmp-tran-10]securityaclacl-number4在安全策略中引用IKE对等体[H3C-ipsec-policy-isakmp-tran-10]ike-peerpeer-name5.在接口上应用安全策略组为使定义的安全联盟生效，应在每个要加密的出站数据、解密的入站数据所在接口（逻辑的或物理的）上应用一个安全策略组，由这个接口根据所配置的安全策略组和对端加密安全网关配合进行报文的加密处理。步骤操作命令1进入接口视图[H3C]interfacetypenumber2应用安全策略组[H3C-GigabitEthernet0/0]ipsecpolicypolicy-name6.启用加密卡快转功能加密卡快转指的是对于[SourIP,SourPort,DestIP,DestPort,Prot]五元组相同的一系列报文，安全网关在接收或发送第一个报文时就会创建一个快转表项，之后符合此表项的所有报文都会直接被发往加密卡进行加密或解密，然后再由加密卡发往目的出口。这样省去了对每个报文逐一进行从IP到IPsec的处理，加速了处理过程。步骤操作命令1使能加密卡快转功能[H3C]encrypt-cardfast-switch3.2.2配置GRE协议在各项配置中，必须先创建虚拟Tunnel接口，才能在虚拟Tunnel接口上进行其它功能特性的配置。当删除虚