IPSEC试验局开局指导书
介绍
系统介绍
公司内部 IPSEC VPN项目参照公司购买的netscreen防火墙设备的功能,在原来Quidway系列路由器支持IKE/IPSEC功能的基础上,新开发了下列功能:
野蛮(aggressive)模式。原来路由器支持的模式是网关使用对端的IP地址作为ID,根据IP地址来决定是否建立SA和如何建立SA,这就要求两端必须是固定IP地址,而在实际使用过程中往往一端是固定IP地址,一端是动态分配的IP地址,这种情况下,不能使用IP地址作为ID,因此需要使用用户名作为ID,这就需要使用野蛮模式。
NAT Traversal。传统的IPSEC是无法通过中间进行地址转换的网络的,但实际使用过程中,很多地方用户上网时,使用的地址就是私有网段,为了通过公网,必须使用NAT,因此,需要使用NAT Traversal功能。
TCP-MSS。正常情况下,TCP协商时,会根据接口的MTU来确定数据段的长度,这样,报文加上IP头、TCP头,刚好小于MTU,不用分片就能通过接口发送出去,但使用了IPSEC后,加上IPSEC的报文头,报文长度可能会大于MTU,需要分片,这样就会极大地降低性能,因此,在使用IPSEC的情况下,可以在接口上配置TCP数据段长度的限制,保证最后的报文长度不超过MTU,从而不用分片就能发送,提高设备的性能。
DHCP Client。在很多场合下,网管也需要动态获得IP地址,因此,就必须支持DHCP Client功能。
组网介绍
根据目前实际使用环境中,使用的接入方式有以太网PPPOE接入和ADSL接入,使用的地址有公网和私网两种,但使用的接入方式对配IPSEC没有影响,在此不作考虑,下面介绍使用私网地址上网的应用。
使用私网地址时的典型组网
在这种组网情况下,电信局提供给用户的地址是私网地址,在进入公网之前,电信局做了地址转换。这种情况下,如果使用以太网接入,路由器上行接口使用以太网,下面连接局域网也使用以太网,由于R1760路由器只有一个固定以太网口,需要另外增加一个以太网口。如果上行使用ADSL连接,则需要使用ADSL单板。
系统结构
该ATM单板使用需要8040 V300R002的软件版本支持,bootrom版本应该是6.5以上,在路由器上用display version查看版本应该有如下信息:
Huawei Versatile Routing Platform Software
VRP(tm) software, Version 3.10
Copyright (c) 2000-2002 HUAWEI TECH CO., LTD.
......
BootROM Version:6.50
系统软件版本升级
如果软件版本不符,则需要进行软件升级,如果bootrom不符,则需要对bootrom升级。对bootrom升级请参考其他文档。
下面介绍如何进行软件升级
1、准备升级软件版本文件,一般有两种: M8240RAM.ARJ和M8241RAM.ARJ,或者是Q263XE-36XXE-B03xxx.BIN和Q1760-261X-B03xxx.BIN,M8240Ram.arj和Q263XE.bin是R3680E、R2630E和R2631E等机型的升级文件,M8241Ram.arj 和Q1760.bin的是R1760的升级文件。
2、查看bootrom版本是否是6.50以上,如果不是,请先升级bootrom
3、确定bootrom版本正确后,开机,出现启动画面,在出现提示: Press Ctrl-B to enter Boot Menu时按照提示*作,即此时同时按住计算机的Ctrl和B键,输入bootrom密码后(初始的都没有密码,直接回车进入)进入boot menu菜单,菜单中提供了两种升级方法:第一是通过xmodem升级(即选项1),第二是通过net升级(即选项2),推荐用第二种方式升级。
4、采用第二种方法升级时必须保证路由器上有以太网口,以太网板最好在0槽位,同时有一台PC机的以太口与路由器的以太口直连,PC机上有tftp server或Ftp server的软件,并且将升级版本存放到该PC机上的tftp server主目录或ftp server 主目录下,启动PC机上的Tftp server或Ftp Server。并根据需要设置用户名和口令。
5、上述措施准备好后,在路由器的boot menu菜单下,选择2,用net方法升级,出现“Net Port Download Menu: ”,选择1 “1: Change Net Parameter”进行网络参数设置,有如下参数设置:
boot device : fei0 缺省值即可(即直接回车)
processor number : 0 缺省值即可
host name : 缺省值即可,可输入PC机的主机名称
file name : 输入PC机上的升级文件名称如M8241ram.arj
inet on ethernet (e) : 输入IP地址作为路由器上以太口的IP地址
inet on backplane (b): 缺省值即可
host inet (h) : 输入PC机的IP地址
gateway inet (g) : 如果PC机与待升级路由器不在同一网段,输入网关 IP地址
user (u) : 输入FTP用户名称(如果PC启动的是TFTP,则直接回车)
ftp password (pw) (blank = use rsh): 输入FTP用户的密码
flags (f) : 0x80 输入服务标示号,0x80表示用TFTP升级,0x0表示用FTP升级
target name (tn) : 缺省值即可
startup script (s) : 缺省值即可
other (o) : 缺省值即可
6、上述值设置完后回车又回到“Net Port Download Menu: ”下,此时输入2,选择“2: Download From Net” 则路由器开始用以太网卡从PC机上的TFTP server或ftp server进行升级了。
7、升级完成后,路由器会进行写flash的*作,会有写flash*作的进度条。
8、写flash*作完成后,路由器会提示“Press Enter to reboot ”,此时回车待路由器重起,出现“Press ENTER to get started.”,回车进入配置视图,表明升级成功。可以用display version查看软件的大版本是否是Version 3.10,在系统视图下用_hide命令进入隐含模式用命令vrbd查看软件的详细版本信息。
典型配置
IPSEC/IKE典型配置
所有配置的组网环境请见上面的1.1组网介绍,下面配置中所用ATM接口号以及pvc均以1.1组网介绍中的为依据。
配置本端IKE ID
ike local id test //此处ID和公司总部配置对应
配置IKE peer
ike peer test
exchange-mode aggressive //使用野蛮模式
pre-shared-key key4test //此处的密钥由公司总部设定
id-type name //使用用户名作为ID
remote-address 202.1.1.1 //公司总部netscreen公网地址
nat traversal //设置nat tranversal,如果直接使用公网 地址,可以不用配置
配置IKE proposal
ike proposal 1
encryption-algorithm 3des-cbc //配置IKE加密算法,和总部配置一致
authentication-algorithm sha //配置IKE验证算法,和总部配置一致
配置IPSEC proposal
ipsec proposal test
transform ah-esp //配置加密和验证方式,公司总部配置 一般是ESP,这是缺省设置,可以不用 配置
ah authentication-algorithm sha1 //配置ah的验证算法,缺省是md5
esp authentication-algorithm md5 //配置esp的验证算法,缺省是md5
esp encryption-algorithm 3des //配置ESP的加密算法
配置IPSEC policy
ipsec policy test 1 isakmp //IPSEC policy名字为test
security acl 100 //设置加密数据使用的ACL
pfs dh-group2 //设置完美前向保护方式
ike-peer test //引用前面定义的IKE peer
proposal test //引用前面定义的IPSEC proposal
配置加密数据使用的ACL
acl number 100
rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
rule 1 deny ip
在上行接口下引用前面配置的IPSEC policy.
interface Ethernet0/0 //这里使用的是以太网,根据实际使用 的接口指定,下同。
ipsec policy test //引用前面配置的ipsec policy
在接口下配置TCP MSS。
在路由器上行接口和下行的接口配置TCP MSS,防止报文分片。
Interface ethernet 0/0
TCP-MSS 1400 //可以根据需要调整
Interface ethernet 1/0
TCP-MSS 1400
在上行接口上配置NAT //访问公网需要做地址转换
Interface ethernet 0/0
Nat outbound 101 //符合ACL 101的数据要做NAT
Acl number 101
Rule 0 deny ip source 192.168.0.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 //公司内部网数据不做NAT
Rule 1 per ip
I
3.2 IPSEC/IKE配置注意事项
ACL设置必须合理,保证公司内部的数据都加密,而访问公网不受影响。
使用NAT tranversal的情况下,不能使用ah,只能使用ESP。
Netscreen上如果配置多条ACL permit规则也会出错,因此,注意Netcreeen上只能配置一条,路由器上可以配置多条permit规则。
3.3 PPPOE典型配置
配置PPPOE拨号规则
dialer-rule 11 ip permit //配置拨号过滤规则
配置拨号口参数
interface Dialer11
link-protocol ppp
ip address ppp-negotiate //通过PPP协商获取IP地址
dialer user aa //启用PPPOE拨号用户,用户名可以任意取
dialer-group 11 //使用前面设定的拨号规则
dialer bundle 111 //指定绑定号
绑定拨号口和以太网口
interface Ethernet0/0
pppoe-client dial-bundle-number 111 //用PPPoE客户端命令和dialer口绑定
3.4 PPPOEOA典型配置
配置PPPOE拨号规则
dialer-rule 10 ip permit //配置拨号过滤规则
配置拨号口参数
interface Dialer0
link-protocol ppp
ppp authentication-mode chap //配置PPP认证 不要这一句
ppp chap user huawei 认证通不过可以加pap认证
ppp chap password simple 1234
ip address ppp-negotiate //配置PPP地址协商
dialer user abcde //启动拨号用户,用户名称随意
dialer-group 10 //使用前面设定的拨号规则
dialer bundle 12 //指定绑定号
配置ADSL接口
interface Atm7/0
pvc 0/32 //配置PVC
map bridge Virtual-Ethernet0 0011-0022-0030 //对VE进行桥接配置
配置VE和dialer接口的绑定
interface Virtual-Ethernet0
pppoe-client dial-bundle-number 12 //用PPPoE客户端命令通过绑 定号和dialer口绑定
工程安装注意事项
参数设置
版本组合特性
测试项目列表
目前还存在的问题,需要安装维护中注意的事项
扩容及改造方法
