ipsecvpn应用场景分析.pptVIP

* 在配置IPSec安全提议时，可以只需要创建一个安全提议，其它参数采用缺省参数。缺省情况下，安全协议使用esp，AH和ESP协议采用的验证算法为MD5，ESP协议采用的加密算法为DES加密算法。 配置IKE阶段1和阶段2。 选择“VPN IPSec IKE协商”。 单击“阶段1”。 在“新建阶段1”界面中，配置阶段1参数，如图所示。其中，“预共享密钥”设置为abcde。 在第一阶段，通信各方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个ISAKMP安全联盟，即ISAKMP SA（也可称IKE SA）。在安全隧道的两端设置的安全协议、认证算法、加密算法、预共享密钥、完整性算法、DH组等必须相同，否则协商不能通过。 配置对端网关IP时，对端网关IP地址为对端网关建立隧道的接口的IP地址，即IPSec策略应用到的接口的IP地址。 在阶段一中的加密算法、认证算法、完整性算法等参数的缺省配置为图中所示。 在IKE第二阶段交换中，用已经建立的安全联盟（IKE SA）为IPSec协商安全服务，即为IPSec协商具体的安全联盟，建立IPSec SA。IPSec SA用于最终的IP数据安全传送。在第一阶段建立后，才能建立第二阶段，并对第一阶段进行引用。在安全隧道的两端设置的安全协议、报文封装模式、认证算法、加密算法、PFS等必须相同，否则协商不能通过。 应用IPSec策略。 选择“VPN IPSec IPSec策略”。 单击“新建”。 在“新建IPSec策略”界面中，配置IPSec策略参数 在命令行界面的配置中，首先使用ACL定义需要保护的数据流，然后再IPSec安全策略中应用该ACL。但在Web界面的配置中，可以直接在新建IPSec策略时指定需要保护的数据流。 将IPSec策略与接口绑定。 选择“VPN IPSec IPSec策略”。 单击“policy1”后的“应用接口：- NONE - ”。 在下拉列表中选择GE0/0/2。 单击“应用”。 在实际的应用中，经常需要使用HUB-Spoke类型的组网，即一个总部到多个分支机构的组网，分支节点建立到总部的IPSec隧道，各个分支机构之间的通信由总部节点转发和控制。这样的应用场景，为点对多点的IPSec应用场景。 对于场景中的对于USG_A、USG_B和USG_C，配置思路相同。如下： 完成接口基本配置、路由配置，并开启本地策略和转发策略。 配置IKE协商的第一阶段参数，包括IKE版本、协商模式、预共享密钥、对端IP地址等。 其中，USG_A不主动发起连接，不用指定对端网关IP地址。USG_B和USG_C需要指定对端网关IP地址为/24。 在第一阶段基础上建立第二阶段。 配置IPSec安全策略，添加需保护的数据流，即总部、分支机构1和分支机构2网段的通信数据。 将IPSec安全策略应用到接口上。 点到点与点到多点应用场景的配置比较类似，各分支机构的配置大致相同，他们的对端设备都应该为总部的USG防火墙。 * 进入Web配置页面，选择菜单栏中 “快速接入向导—IPSec向导”，选择相应应用场景进行IPSec VPN配置； 1）选择应用场景； 2）配置网络：选择启用“IPSec应用”的网络口，且配置对端网关IP； 3）配置定义爱保护数据流； 4）配置加密与认证：一般情况下可采用默认配置，并保持两端配置统一； * PC1与PC2之间数据通信将触发IKE协商和IPSec VPN建立，成功建立VPN后，PC1与PC2之间进行可以相互访问. * display ike sa命令可以查看到的信息包括：安全通道的标识符、安全联盟的对端IP地址、VPN实例名称、SA所属阶段、SA所属解释域、此安全联盟的状态。 在参数中，Peer表示此安全联盟的对端的IP地址。Phase表示此SA所属阶段，具体说明如下： Phase 1：建立安全通道进行通信的阶段，此阶段建立ISAKMP SA； Phase 2：协商安全服务的阶段，此阶段建立IPSec SA。 Flag显示此安全联盟的状态，其中： RD（READY）：表示此SA已建立成功； ST（STAYALIVE）：表示此端是通道协商发起方； RL（REPLACED）：表示此通道已经被新的通道代替，一段时间后将被删除； FD（FADING）：表示此通道已发生过一次软超时，目前还在使用，在硬超时时会删除此通道； TO（TIMEOUT）：表示此SA在上次keepalive超时发生后还没有收到keepalive报文，如果在下次keepalive超时发生时仍没有收到keepalive报文，此SA将被删除。 TD（DELETING）：表示该条SA即将被删除。 NEG（NEGOTIATING）：表示IKE SA正在协